内容
linux下网络抓包是常见网络分析操作,使用tcpdump
1.抓包后拆包 自动压缩
抓包命令:
ucp登录以下服务器 切换目录到/data/ucp/rubbish/ 创建目录mkdir 20200408执行命令 窗口不要关闭,会显示抓包的数量一直增加
软件园
tcpdump -i any -C 50 -W 1000 -w bicc4.pcap -v
tcpdump -i any -C 50 -W 1000 -w bicc5.pcap -v
tcpdump -i any -C 50 -W 1000 -w bicc6.pcap -v
tcpdump -i any -C 50 -W 1000 -w bicc7.pcap -v
tcpdump -i any -C 50 -W 1000 -w bicc8.pcap -v
如果出现如下问题
由于权限造成的问题,使用如下命令:
tcpdump -i any -C 50 -W 1000 -w bicc4.pcap -v -Z root
2.抓取特定ip和port的包
2.1 语法
类型的关键字
host(缺省类型): 指明一台主机,如:host 210.27.48.2
net: 指明一个网络地址,如:net 202.0.0.0
port: 指明端口号,如:port 23
i: 指定网卡,如:-i eth3 本次指定eth3
确定方向的关键字
src: src 210.27.48.2, IP包源地址是210.27.48.2
dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0
dst or src(缺省值)
dst and src
例子
例如我本次抓取指定ip、指定网卡、指定端口的包。语句如下:
tcpdump -i eth3 tcp port 5236 and host 172.16.24.13 -w dm.cap
抓取127.0.0.1下端口8296的包:
tcpdump -w dataAll.pcap host 127.0.0.1 and port 8296抓取127.0.0.1下包:
tcpdump -w dataAll.pcap host 127.0.0.1
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。