十一、Tcpdump

默认情况下，只抓68个字节的信息，也就是只抓一些源地址、目标地址等基础信息

• 1、基础语法

#tcpdump -i eth0 -s 0 -w file.pcap    //-s表示不只是抓68字节，而是抓所有的数据
#tcpdump –i eth0 port 22
#tcpdump –r file.pcap  //读取抓包文件

• 2、筛选

 #tcpdump –n –r http.cap | awk ‘{print $3}’ | sort –u  //-n表示不转换地址，不用dns转换域名

tcpdump

 #tcpdump –n src host 1.1.1.1 –r http.cap

tcpdump

#tcpdump –n dst host 2.2.2.2 –r http.cap
#tcpdump –n port 53 –r http.cap
#tcpdump –nX port 80 –r http.cap

tcpdump

• 3、高级筛选
  通过CWR、ECE、URG、ACK、PSH、RSY、SYN、FIN位进行选择
  CEUAPRSF=00011000 (24 indecimal)

  
  
  

  tcpdump