文章链接:https://codemouse.online/archives/2020-03-13181100
tcpdump安装
yum install tcpdump
apt install tcpdump
抓包选项
-c:指定要抓取的包数量。
-i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。
特殊功能
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-w:将抓包数据输出到文件中而不是标准输出。
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
实用操作
// 抓包到文件中
sudo tcpdump -i eht0 -w file.pcap
// 现场抓包
sudo tcpdump -i any dst host 127.0.0.1 and port 6379
如果不知道自己的网络端口,使用ifconfig命令查看
获取到的pcap文件可以使用wireshark分析
Wireshark下载地址:https://www.wireshark.org/download.html