Linux、Unix默認(rèn)安裝了tcpdump
純字符抓包工具
抓包
tcpdump -i eth0 -s 0 -w file.pcap(將抓包信息保存到file.pcap摹芙,從第0位開(kāi)始---tcpdump默認(rèn)只抓取前68個(gè)字節(jié))
tcpdump -i eth0 port 22(只抓取端口是22的包)
tcpdump -r file.pcap(讀取file.pcap的信息)
抓包篩選
tcpdump -n -r http.cap | awk '{print $3}' | sort -u(查看http.cap信息的第三列陕壹,不顯示重復(fù)的IP---顯示當(dāng)前文件里所有的IP地址)
tcpdump -n src host 0.0.0.0 -r http.cap(查看來(lái)源IP是0.0.0.0的信息)src改為dst---目標(biāo)IP
tcpdump -n port 53 -r http.cap(顯示53端口的信息)
tcpdump -n tcp port 53 -r http.cap(顯示53端口的tcp信息)
tcpdump -nX port 53 -r http.cap(16進(jìn)制的方式顯示53端口的信息)-A是ASCII碼的方式顯示
高級(jí)篩選
tcpdump -An 'tcp[13]=24' -r http.cap
這里tcp[13]是指下圖里的res.(保留位)奸鸯,等于24就是對(duì)應(yīng)控制位中的ACK免绿、PSH兩個(gè)標(biāo)識(shí)位
