linux抓包_Linux抓包

tcpdump这个命令是用来抓包的&＃xff0c;默认情况下这个命令是没有的&＃xff0c;需要安装一下&＃xff1a;

yum install -y tcpdump

  使用这个命令的时候最好是加上你网卡的名称&＃xff0c;不然可能使用不了&＃xff1a;

在命令的选选项中&＃xff0c;加上-nn选项是表示显示IP地址和端口号&＃xff0c;如果不加则会显示主机名和进程名&＃xff0c;第一列显示的是当前时间&＃xff0c;后面会有两个IP地址&＃xff0c;第一个IP地址是源IP第二个则是目标IP&＃xff0c;IP地址后面跟的是数据包的相关信息&＃xff0c;所以tcpdump这个命令主要就是看网络数据的流向。

使用port抓取指定端口的包&＃xff0c;例如我要抓22端口的包&＃xff1a;

  还可以使用not port过滤掉某个端口的包&＃xff0c;例如我过滤掉22端口的&＃xff1a;

还可以加个条件&＃xff0c;指定抓取某个IP的包&＃xff1a;

加上-c选项可以指定抓取数据包的数量&＃xff0c;例如指定只抓取20个数据包&＃xff1a;

加上-w还可以指定抓取出来的数据包存放到哪里去&＃xff0c;例如我要放到tmp目录下的1.cap文件中&＃xff1a;

  可以使用file命令查看这个文件的相关信息&＃xff0c;不能使用cat直接查看&＃xff0c;因为里面都是数据&＃xff1a;

不过使用tcpdump -r可以看到这个文件里的数据流信息&＃xff1a;

tshark命令介绍&＃xff1a;

tshark命令默认情况下这个命令是没有的&＃xff0c;需要安装一个wireshark包&＃xff0c;tshark和tcpdump是类似的工具&＃xff0c;也是用来抓包的&＃xff1a;

tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

使用这个命令可以抓取监听的80端口的数据包&＃xff0c;类似于web的访问日志&＃xff1a;