title: TCPDUMP初识
date: 2016-04-10 11:48:52
tags: kali第五章 基本工具
TCPDUP已经默认安装在unix和linux系统的,但它是NO-GUI抓包分析工具的,所以tcpdump的一切操作都是基于字符界面的!
0x00 tcpdump-抓包
.默认情况下tcpdum默认情况下只抓取数据包的68个字节,所以所抓取的信息是有限的,如果需要抓取更多的数据就需要添加tcpdump的参数
0x01 TCPDUMP的常用参数
- 选项与参数:
root@$: tcpdump -i eth0 -s 0 -w file.pcap
-i:指定哪个接口来进行抓包
-s:指定抓取多少的数据,0代表无限即原始数据包有多大就抓取多杀!
-w:将抓取到的数据包保存到指定文件里
-r:查看抓取的数据包内容!
0x02 tcpdumpd的筛选器
抓取特定端口下的某种协议的数据包:
root@ $ :tcpdump -i eth0 tcp port 22
tcpdump的显示筛选器
root@ $: tcpdump -n -r http.cap | awk '(print $3)' | sort -u
选项与参数:
-n:不对IP地址进行域名解析,而是直接显示IP地址!
打印出该文件的第三列的内容(即是显示出所有的ip地址 啦)
最后剔除掉重复的内容!
对源,目标ip进行显示筛选:
root@ $: tcpdump -n src(dst) host [IP] -r http.cap
根据端口号进行筛选
root@ $: tcpdump -n [-X:会以16进制进行显示] udp port 53 -r http.cap
tcpdump的高级筛选
除了对ip,端口,协议的筛选之外,tcpdump还可以进行其他更为高级的筛选.
