1.tcpdump使用
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
(1) 安装tcpdump
Ubuntu 下安装: (Kali 自带)
# apt install tcpdump
CentOS 下安装:
# yum install tcpdump
(2)监视指定网络接口的数据包
tcpdump -i eth1
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
(3)监视指定主机的包
tcpdump host 210.27.48.1
(4) 监听指定端口
tcpdump host 210.27.48.1 and port 80
(5) tcpdump抓取http协议的包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
(6)tcpdump和wireshark联合使用
2. nethogs使用
NetHogs是一个开源的命令行工具(类似于Linux的top命令),用来按进程或程序实时统计网络带宽使用率。
NetHogs是一个小型的net top工具,不像大多数工具那样拖慢每个协议或者是每个子网的速度而是按照进程进行带宽分组。NetHogs不需要依赖载入某个特殊的内核模块。如果发生了网络阻塞你可以启动NetHogs立即看到哪个PID造成的这种状况。这样就很容易找出哪个程序跑飞了然后突然占用你的带宽。
(1)nethogs安装
Ubuntu下安装: (kali 自带)
# apt install nethogs
CentOS下安装:
# yum install epel-release.noarch
# yum install nethogs
(2)参数
nethogs -d 5 : 5秒刷新一次数据 (缺省为1秒)
nethogs eth0 :监控网卡eth0数据
nethogs eth0 eth1 :同时监视eth0和eth1接口
3. iftop使用
TX:发送流量
RX:接收流量
TOTAL:总流量
Cumm:运行iftop到目前时间的总流量
peak:流量峰值
rates:分别表示过去 2s 10s 40s 的平均流量
