tcpdump

tcpdump

http://blog.csdn.net/s_k_yliu/article/details/6665673/  

抓包和分析

tcpdump 和 tcptrace      tcmdump 和 tcptrace 提供了一种更细致的分析方法，先用 tcpdump 按要求捕获数据包把结果输出到某一文件，然后再用 tcptrace 分析其文件格式。这个工具组合可以提供一些难以用其他工具发现的信息：   

监听ip

查看IP数据 #tcpdump -i ppp0 host 183.16.149.252(抓取外网) #tcpdump host 192.168.0.110(抓取内网IP) #tcpdump -i eth0 port  2010或22端口等(抓取内网端口) #tcpdump -i eth0 net 192.168.0.0(抓取内网段) #tcpdump -i eth0 -p arp(抓取ARP协议，病毒) 如：10.1.1.11这个IP有问题 09:16:38.031323 arp who-has 10.1.167.2 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.3 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.4 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.5 tell 10.1.1.11   #iptraf(查看流量工具) #iftop(实时查看流量)  

tcpdump 与wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。 tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型 (2)-i eth1 : 只抓经过接口eth1的包 (3)-t : 不显示时间戳 (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包 (5)-c 100 : 只抓取100个数据包 (6)dst port ! 22 : 不抓取目标端口是22的数据包 (7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24 (8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析  

使用tcpdump抓取HTTP包

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。   https://www.jianshu.com/p/c46f8fc1dd1d tcpdump -i eth0 -A -s 0 'src host 113.65.28.93 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'   1.监听eth0网卡HTTP 80端口的request和response tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 2.监听eth0网卡HTTP 80端口的request(不包括response)，指定来源域名"example.com"，也可以指定IP"192.168.1.107" tcpdump -i eth0 -A -s 0 'src example.com and tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 3.监听本机发送至本机的HTTP 80端口的request和response tcpdump -i lo -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 4.监听eth0网卡HTTP 80端口的request和response，结果另存为cap文件 tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w ./dump.cap 注1：如果报错"tcpdump: Bluetooth link-layer type filtering not implemented"，是因为默认网卡不是ech0，需要用-i参数指定作者：lewzylu链接：https://www.jianshu.com/p/c46f8fc1dd1d来源：简书著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

标签：10.1,ip,抓取,tcp,tcpdump,eth0
来源： https://www.cnblogs.com/colin88/p/16279555.html