10.10 linux抓包
命令tcpdump 默认没有安装, yum install tcpdump
tcpdump 最简单的用法: tcpdump -nn
命令这边的 -nn 中第1个 n 表示IP用数字的形式显示出来,如果不加就会显示成主机名
指定端口: tcpdump -nn port 22
排除相关端口: tcpdump -nn not port 22
加入条件查询: tcpdump -nn not port and host 115.192.98.9
指定数据包长度和个数:
tcpdump -nn -c 100
还可以指定存放的文件,文件名随便取:
tcpdump -nn -c 100 -w /root/network.cap
file 查看文件信息: file /root/network.cap ,查看到文件的大致信息
这个文件无法用 cat 命令查看,结果会出现一堆乱码,可以使用 file 命令查看一下大致信息,也可以使用 tcpdump 命令查看,需要加上 -r
tcpdump -r /root/network.cap
结果就是一些数据流
tshark命令
需要安装wiresherk : yum install wireshark
安装完毕,往下操作,输入命令 tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" ,回车,见下图,
这个命令的结果类似于web的访问日志,包含时间、IP地址、访问的域名,链接等信息。
总结:
tcpdump -nn -i ens33 查看数据的流向,可查看ip地址和端口
tcpdump -i ens33 不加-nn查看主机名,没有ip地址和端口
tcpdump -nn -i ens33 port 123 查看指定端口123的数据流向
tcpdump -nn -i ens33 not port 22 查看非指定端口22的数据流向
tcpdump -nn -i ens33 not port 22 and host 192.168.218.128 查看非指定端口22和ip地址是 192.168.218.128 的数据流向
tcpdump -nn -i ens33 -c 10 查看10个数据的流向
tcpdump -nn -i ens33 -c 10 -w /tmp/1.cap 查看10个数据的流向并且指定存放的路径/tmp/1.cap
tcpdump -r /tmp/1.cap 查看数据存放的文件