本文图片基于Qualcomm WIFI For Android配置截图。
tcpdump
monitor相关命令
#adb shell tcpdump -i any -nnXSs -p -s 0 -w /data/tcpdump.pcap
或者#tcpdump -i wlan0 -vv -w /data/tcpdump.pcap
-i 选择过滤的网络接口
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中,而不是不分析并打印出来。
保持手机与电脑usb连接
#adb pull /data/tcpdump.pcap
捕获完成后,在电脑端执行:
adb pull /data/op_pcap.pcap 即可在当前目录下看到op_pcap.pcap这个文件。
用wireshark分析查看。
抓包不全原因:用Tcpdump进行抓包时,没有用-s参数指定抓取数据的长度,采用了默认长度为68或96字节;-s0则表示没有长度的限制。
说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令
:在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
参考链接:tcpdump详解&实战 - 知乎 (zhihu.com)