首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 软件管理 > PowerDesigner >

tcpdump范例

2013-11-03 
tcpdump实例1.tcpdump -D 获取网络适配器列表linux:~ # tcpdump –D?1.eth02.br03.any (Pseudo-device that

tcpdump实例

1.tcpdump -D 获取网络适配器列表

linux:~ # tcpdump –D

?

1.eth0

2.br0

3.any (Pseudo-device that captures on all interfaces)

4.lo

?

2.?tcpdump -i <需要监控的网络适配器编号/名称>

当我们不加任何选项执行tcpdump时,tcpdump将抓取通过所有网口的包;使用-i选项,我们可以在某个指定的网口抓包:

?

linux:~ # tcpdump -i eth0

?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

19:56:11.936986 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650267677 win 16241

?

3.抓取指定数目的包(-c选项)

默认情况下tcpdump将一直抓包,直到按下”ctrl+c”中止,使用-c选项我们可以指定抓包的数量

?

linux:~ # tcpdump -c 1

?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

19:57:45.442444 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650271151 win 15950

1 packets captured

4 packets received by filter

0 packets dropped by kernel

?

4. 抓取特定目标ip和端口的包

linux:~ # tcpdump host 192.9.200.59 and tcp port 8000

?

5. 如果想要显示数据包的内容,需要使用-X参数

linux:~ # tcpdump -i eth0 –X

?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

20:05:13.368589 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650272030 win 15071

??????? 0x0000:? 4500 0028 c239 4000 7d06 1281 0a72 0994? E..(.9@.}....r..

??????? 0x0010:? 0a72 0a9e 0a47 0017 0f63 294c d992 bb1e? .r...G...c)L....

??????? 0x0020:? 5010 3adf 7421 0000 0000 0000 0000?????? P.:.t!........

?

6.捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,需要使用-w参数:

linux:~ #tcpdump -X -s 0 -w test.cap host 192.9.200.59 and tcp port 8000

则将之前显示在屏幕中的内容,写入tcpdump可执行文件同级目录下的test.cap文件中。

?

文件查看方式如下,需要使用-r参数:

linux:~ #tcpdump -X -s 0 -r test.cap host 192.9.200.59 and tcp port 8000

?

如果这样写:

linux:~ #tcpdump -r test.cap

则只能看到最简单的数据传输交互过程,看不到数据包内容,查看时也需要使用相应的参数。

?

?

7.增加抓包时间戳(-tttt选项)

使用-tttt选项,抓包结果中将包含抓包日期:

linux:~ # tcpdump -tttt -i eth0

?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

2013-10-24 20:09:01.064206 IP 192.168.0.148.sitaradir > linux.site.telnet: . ack 3650285440 win 15823

2013-10-24 20:09:01.064221 IP linux.site.telnet > 192.168.0.148.sitaradir: P 1:148(147) ack 0 win 5840

2013-10-24 20:09:01.064482 IP linux.site.47588 > dns1.zte.com.cn.domain: 4185+ PTR? 148.9.114.10.in-addr.arpa. (43)

?

8.抓取特定目标ip和端口的包

linux:~ # tcpdump -tttt -i eth0 -s 0 -w test.cap host 192.168.0.148 and tcp port 23

?

注:-s 0 表示不限制包长度,全部写入。

热点排行