tcpdump 是一个运行在命令行下的抓包工具。
1.在linux下可以直接执行,默认监视第一张网卡上经过的所有流量。如图:
2.tcpdump的 host参数(指定主机,类似还有net、port),这里用本机的dns server(114.114.114.114)来测试,如图1
在另一个窗口已经打开的nslookup中,输入baidu.com,按回车,可以得到出百度的ip地址。如图2
此时tcpdump中收到的信息如下:
扫描二维码关注公众号,回复:
994263 查看本文章
3.tcpdump的 -w 参数,-w file :将原始包写入文件,而不是解析和打印出来。如图(通上,在另一个窗口查询baidu.com):
4.常用参数
使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用
使用-c参数指定要监听的数据包数量
使用-s参数指定从一个包中截取的字符数,0为不截断,默认值为62字节(在我的虚拟机中默认值是262144字节)。
5.使用tcpdump抓的包,可以在wireshark中直接打开,如图
6.使用wireshark分析tcpdump出来的pcap文件,链接:https://blog.csdn.net/zeze_Z/article/details/57919479