linux系统下使用tcpdump进行抓包方法
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行抓包的方法和相关知识点,需要的朋友们学习下。
我先看下实例代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 | 1.常见参数tcpdump -i eth0 -nn -s0 -v port 80-i 选择监控的网卡-nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度-s0 捕获长度无限制-v 增加输出中显示的详细信息量port 80 端口过滤器,只捕获80端口的流量,通常是HTTP2.tcpdump -A -s0 port 80-A 输出ASCII数据-X 输出十六进制数据和ASCII数据3.tcpdump -i eth0 udpudp 过滤器,只捕获udp数据proto 17 协议17等效于udpproto 6 等效于tcp4.tcpdump -i eth0 host 10.10.1.1host 过滤器,基于IP地址过滤5.tcpdump -i eth0 dst 10.105.38.204dst 过滤器,根据目的IP过滤src 过滤器,根据来源IP过滤6.tcpdump -i eth0 -s0 -w test.pcap-w 写入一个文件,可以在Wireshark中分析7.tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'-l 配合一些管道命令的时候例如grep8.组合过滤and or &&or or ||not or !9.快速提取HTTP UAtcpdump -nn -A -s1500 -l | grep "User-Agent:"使用egrep 匹配 UA和Hosttcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'10.匹配GET的数据包tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'匹配POST包,POST的数据可能不在包里tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'11.匹配HTTP请求头tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"匹配一些POST的数据tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"匹配一些cookie信息tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'12.捕获DNS请求和响应tcpdump -i eth0 -s0 port 5313.使用tcpdump捕获并在Wireshark中查看使用ssh远程连接服务器执行tcpdump命令,并在本地的wireshark分析ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -ssh ubuntu@115.159.28.111 'sudo tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -14.配合shell获取最高的IP数tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 2015.捕获DHCP的请求和响应tcpdump -v -n port 67 or 68 |
