本文详细介绍了如何在Linux环境下利用TCPdump进行高效抓包,并通过Wireshark进行细致分析。通过具体命令解析,展示了如何过滤特定类型的网络数据包、限制抓包范围、保存抓包数据等实用技巧。
Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
————————————————————————————————————————
在本项目中实际用的命令:
tcpdump -s 0 host 10.1.1.53 and 115.168.94.105 -w /target2.cap
每个服务器下执行这个命令
根据服务器Ip地址不同 53改为相应的ip地址
然后再根目录下 找 target2.cap 这就是抓的包
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
