tcpdump的使用

大耗子 2020年03月13日 184次浏览

文章链接:https://codemouse.online/archives/2020-03-13181100

tcpdump安装

yum install tcpdump
apt install tcpdump

抓包选项

-c:指定要抓取的包数量。

-i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口

-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。

-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。

-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。

-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。

特殊功能

-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。

-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。

-w:将抓包数据输出到文件中而不是标准输出。

-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

实用操作

// 抓包到文件中
sudo tcpdump -i eht0  -w file.pcap
// 现场抓包
sudo tcpdump -i any dst host 127.0.0.1 and port 6379
如果不知道自己的网络端口,使用ifconfig命令查看

获取到的pcap文件可以使用wireshark分析

Wireshark下载地址:https://www.wireshark.org/download.html