tcpdump命令是基于unix系統(tǒng)的命令行的數(shù)據(jù)報(bào)嗅探工具��,可以抓取流動(dòng)在網(wǎng)卡上的數(shù)據(jù)包。它的原理大概如下:**linux抓包是通過注冊(cè)一種虛擬的底層網(wǎng)絡(luò)協(xié)議來完成對(duì)網(wǎng)絡(luò)報(bào)文(準(zhǔn)確的是網(wǎng)絡(luò)設(shè)備)消息的處理權(quán)����。**當(dāng)網(wǎng)卡接收到一個(gè)網(wǎng)絡(luò)報(bào)文之后���,它會(huì)遍歷系統(tǒng)中所有已經(jīng)注冊(cè)的網(wǎng)絡(luò)協(xié)議��,如以太網(wǎng)協(xié)議�、x25協(xié)議處理模塊來嘗試進(jìn)行報(bào)文的解析處理����。當(dāng)抓包模塊把自己偽裝成一個(gè)網(wǎng)絡(luò)協(xié)議的時(shí)候,系統(tǒng)在收到報(bào)文的時(shí)候就會(huì)給這個(gè)偽協(xié)議一次機(jī)會(huì)��,讓它對(duì)網(wǎng)卡收到的保溫進(jìn)行一次處理����,此時(shí)該模塊就會(huì)趁機(jī)對(duì)報(bào)文進(jìn)行窺探,也就是啊這個(gè)報(bào)文完完整整的復(fù)制一份����,假裝是自己接收的報(bào)文,匯報(bào)給抓包模塊�。
池州網(wǎng)站制作公司哪家好,找成都創(chuàng)新互聯(lián)公司!從網(wǎng)頁設(shè)計(jì)�����、網(wǎng)站建設(shè)�、微信開發(fā)、APP開發(fā)��、響應(yīng)式網(wǎng)站開發(fā)等網(wǎng)站項(xiàng)目制作����,到程序開發(fā),運(yùn)營維護(hù)��。成都創(chuàng)新互聯(lián)公司成立于2013年到現(xiàn)在10年的時(shí)間�����,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)�,來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司��。
一般情況下Linux系統(tǒng)會(huì)自帶tcpdump工具����,如果系統(tǒng)沒有安裝,直接用命令安裝就行了。
安裝命令:yum install -y tcpdump
查看安裝版本命令:tcpdump --help
查看網(wǎng)卡命令:
知道了網(wǎng)卡�,就可以使用tcpdump工具針對(duì)服務(wù)器上的網(wǎng)卡監(jiān)控、過濾網(wǎng)絡(luò)數(shù)據(jù)�。
tcpdump常用命令:
#抓取所有經(jīng)過 eth0,目的或源地址是 192.168.29.162 的網(wǎng)絡(luò)數(shù)據(jù)
命令:tcpdump -n -i eth0 host 192.168.29.162
# 源地址
命令:tcpdump -i eth1 src host 192.168.29.162
# 目的地址
命令:tcpdump -i eth1 dst host 192.168.29.162
#抓取當(dāng)前服務(wù)器eth0網(wǎng)卡端口8080的網(wǎng)絡(luò)數(shù)據(jù)
命令:tcpdump -n -i eth0 port 8080
#抓取mysql執(zhí)行的sql語句
命令:tcpdump -i eth1 -s 0 -l -w - dst port 3306 | strings
#抓取mysql通訊的網(wǎng)絡(luò)包(cap用wireshark打開)
命令tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap
#抓取SMTP 數(shù)據(jù)
命令:tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
#抓取HTTP GET數(shù)據(jù)����,”GET “的十六進(jìn)制是 47455420
命令:tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
#抓取SSH返回�����,”SSH-“的十六進(jìn)制是 0x5353482D
命令:tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
#實(shí)時(shí)抓取端口號(hào)8080的GET包�,然后寫入GET.log
命令:tcpdump -i eth0 '((port 8080) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log
#抓取指定SYN個(gè)數(shù),-c 參數(shù)指定抓多少個(gè)包�����。
命令:time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10
網(wǎng)站名稱:Linuxtcpdump命令進(jìn)階使用方法
瀏覽路徑:
http://uogjgqi.cn/article/ccecgog.html
