tcpdump 保存文件 -w *.cap -c ip包个数
-e 打印数据链路层信息,可以查看数据包的MAC地址
tcpdump中的协议关键字:
(1) 过滤ip包长度
tcpdump -i eth0 -n -vv icmp and 'ip[2:2] > 100'
(2) 过滤相关的tcp类型包
tcp类型包包括:
URG(带外数据)
ACK(应答包)
PSH(PSH传送)
RST(重置包)
SYN(握手包)
FIN(结束包)
这几个标志分别在tcp头部第14字节的后6位,为1则表示该包是哪个具体的tcp包.
比如二进制000001(十进制1)表示FIN结束包,000010(十进制2)表示SYN握手包,
000011(十进制3)则表示FIN和SYN都可以捕获
捕获所有的FIN和SYN包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 3 != 0'
捕获含有FIN的包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 1 != 0'
捕获RST包
tcpdump -i eth0 -n -vv tcp and 'tcp[13] & 4 != 0'
依此类推其他协议也可以这样处理
或者使用如下形式:
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0' 抓取所有tcp syn和fin包,依此类推
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
