一、概述
在使用捉包工具之前,必须要对数据包的结构、协议有所了解,不然捉到包也不会分析
注释:
option:可选参数,可以指定相关参数,输出特定信息。
proto:类过滤器,指定某种协议的数据包。如 tcp。
direction:类过滤器,根据数据流向进行过滤,可识别的关键字有:src, dst,同时你可以使用逻辑运算符进行组合,比如 src or dst。
type:类过滤器,可识别的关键词有:host, net, port, portrange,这些词后边需要再接参数。
二、例子
1.centos安装tcpdump yum -y install tcpdump
2.tcpdump (不加网卡则默认抓取第一张网卡的全部数据)
3.tcpdump -i ens33(抓取网卡ens33的数据)
4.tcpdump -i ens33 host 192.168.142.146 (抓取经过网卡ens33IP地址为192.168.142.146的所有数据包)
5.tcpdump -i ens33 dst host 192.168.142.146 (抓取经过网卡ens33,目的地址为192.168.142.146的数据包)
6.tcpdump -i ens33 src host 192.168.142.146(抓取经过网卡ens33,源地址为192.168.142.146数据包)
7.c
8.tcpdump -i ens33 host 192.168.142.146 and port 80 -w test.cap(抓取192.168.142.146 端口为80的数据包,并保存再test.cap中)
9.tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.142.0/24 -w test.cap
tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
-i ens33 : 只抓经过接口ens33的包
-t : 不显示时间戳
-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
-c 100 : 只抓取100个数据包
dst port ! 22 : 不抓取目标端口是22的数据包
src net 192.168.142.0/24 : 数据包的源网络地址为192.168.142.0/24
-w test.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
参考:https://m.zhipin.com/mpa/html/get/column?contentId=d6d569f15cf0ad96qxB43Nq4&identity=0&userId=504009779
