一, tcpdump的引數介紹
-a 將網路位址和廣播位址轉變成名字;
-d 將匹配資訊包的**以人們能夠理解的彙編格式給出;
-dd 將匹配資訊包的**以c語言程式段的格式給出;
-ddd 將匹配資訊包的**以十進位制的形式給出;
-e 在輸出行列印出資料鏈路層的頭部資訊,包括源mac和目的mac,以及網路層的協議;
-f 將外部的internet位址以數字的形式列印出來;
-l 使標準輸出變為緩衝行形式;
-n 指定將每個監聽到資料報中的網域名稱轉換成ip位址後顯示,不把網路位址轉換成名字;
-nn: 指定將每個監聽到的資料報中的網域名稱轉換成ip、埠從應用名稱轉換成埠號後顯示
-t 在輸出的每一行不列印時間戳;
-v 輸出乙個稍微詳細的資訊,例如在ip包中可以包括ttl和服務型別的資訊;
-vv 輸出詳細的報文資訊;
-c 在收到指定的包的數目後,tcpdump就會停止;
-f 從指定的檔案中讀取表示式,忽略其它的表示式;
-i 指定監聽的網路介面;
-p: 將網絡卡設定為非混雜模式,不能與host或broadcast一起使用
-r 從指定的檔案中讀取包(這些包一般通過-w選項產生);
-w 直接將包寫入檔案中,並不分析和列印出來;
-s snaplen snaplen表示從乙個包中擷取的位元組數。0表示包不截斷,抓完整的資料報。預設的話 tcpdump 只顯示部分資料報,預設68位元組。
-t 將監聽到的包直接解釋為指定的型別的報文,常見的型別有rpc (遠端過程呼叫)和snmp(簡單網路管理協議;)
-x 告訴tcpdump命令,需要把協議頭和包內容都原原本本的顯示出來(tcpdump會以16進製制和ascii的形式顯示),這在進行協議分析時是絕對的利器。
tcpdump -xvvennss 0 -i eth0 tcp[20:2]
=0x4745 or tcp[20:2]
=0x4854
tcpdump -i eth1 -s 1500 port not 22 and port not 53tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap(2)-i eth1 : 只抓經過介面eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取資料報時預設抓取長度為68位元組。加上-s 0 後可以抓到完整的資料報
(5)-c 100 : 只抓取100個資料報
(6)dst port ! 22 : 不抓取目標埠是22的資料報
(7)src net 192.168.1.0/24 : 資料報的源網路位址為192.168.1.0/24
(8)-w ./target.cap : 儲存成cap檔案,方便用ethereal(即wireshark)分析
DNS抓包及檢視(tcpdump)
1.抓包,抓包時過濾出dns服務的埠53即可。2.根據抓到的包檢視dns伺服器 jva82ugigc9hva8是一台連線在路由器下的電腦,192.168.100.1是電腦的閘道器及dns伺服器,192.168.225.37是路由器的wan介面位址,路由器的wan介面已配置公用dns伺服器8.8.8....
tcpdump本機抓包
在進行網路測試 的時候,我們經常需要進行抓包的工作,當然有許多測試 工具可以使用,比如sniffer,ethreal等.但最為方便和簡單得就非tcpdump莫屬.linux的發行版裡基本都包括了這個工具.tcpdump將網路介面設定成混雜模式以便捕獲到達的每乙個資料報.下面給出tcpdump的部分常...
TCPdump抓包命令
tcpdump抓包命令 tcpdump是乙個用於擷取網路分組,並輸出分組內容的工具。tcpdump憑藉強大的功能和靈活的擷取策略,使其成為類unix系統下用於網路分析和問題排查的首選工具。選項介紹 a 以ascii格式列印出所有分組,並將鏈路層的頭最小化。c 在收到指定的數量的分組後,tcpdump...