Linux、Unix默认安装了tcpdump
纯字符抓包工具
抓包
tcpdump -i eth0 -s 0 -w file.pcap(将抓包信息保存到file.pcap,从第0位开始---tcpdump默认只抓取前68个字节)
tcpdump -i eth0 port 22(只抓取端口是22的包)
tcpdump -r file.pcap(读取file.pcap的信息)
抓包筛选
tcpdump -n -r http.cap | awk '{print $3}' | sort -u(查看http.cap信息的第三列,不显示重复的IP---显示当前文件里所有的IP地址)
tcpdump -n src host 0.0.0.0 -r http.cap(查看来源IP是0.0.0.0的信息)src改为dst---目标IP
tcpdump -n port 53 -r http.cap(显示53端口的信息)
tcpdump -n tcp port 53 -r http.cap(显示53端口的tcp信息)
tcpdump -nX port 53 -r http.cap(16进制的方式显示53端口的信息)-A是ASCII码的方式显示
高级筛选
tcpdump -An 'tcp[13]=24' -r http.cap
这里tcp[13]是指下图里的res.(保留位),等于24就是对应控制位中的ACK、PSH两个标识位
