首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 软件管理 > PowerDesigner >

tcpdump 精确捕包【转】

2012-06-28 
tcpdump 精确抓包【转】tcpdump 保存文件 -w *.cap -c ip包个数-e 打印数据链路层信息,可以查看数据包的MAC

tcpdump 精确抓包【转】

tcpdump 保存文件 -w *.cap -c ip包个数
-e 打印数据链路层信息,可以查看数据包的MAC地址

tcpdump中的协议关键字:
(1) 过滤ip包长度
tcpdump -i eth0 -n -vv icmp and 'ip[2:2] > 100'
(2) 过滤相关的tcp类型包
tcp类型包包括:
URG(带外数据)
ACK(应答包)
PSH(PSH传送)
RST(重置包)
SYN(握手包)
FIN(结束包)

这几个标志分别在tcp头部第14字节的后6位,为1则表示该包是哪个具体的tcp包.
比如二进制000001(十进制1)表示FIN结束包,000010(十进制2)表示SYN握手包,
000011(十进制3)则表示FIN和SYN都可以捕获 

捕获所有的FIN和SYN包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 3 != 0'

捕获含有FIN的包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 1 != 0'

捕获RST包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 4 != 0'

依此类推其他协议也可以这样处理

?

或者使用如下形式:

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0' 抓取所有tcp syn和fin包,依此类推

热点排行