十一、Tcpdump

默认情况下,只抓68个字节的信息,也就是只抓一些源地址、目标地址等基础信息

  • 1、基础语法
#tcpdump -i eth0 -s 0 -w file.pcap    //-s表示不只是抓68字节,而是抓所有的数据
#tcpdump –i eth0 port 22
#tcpdump –r file.pcap  //读取抓包文件
  • 2、筛选
 #tcpdump –n –r http.cap | awk ‘{print $3}’ | sort –u  //-n表示不转换地址,不用dns转换域名
tcpdump
 #tcpdump –n src host 1.1.1.1 –r http.cap
tcpdump
#tcpdump –n dst host 2.2.2.2 –r http.cap
#tcpdump –n port 53 –r http.cap
#tcpdump –nX port 80 –r http.cap
十一、Tcpdump_第1张图片
tcpdump
  • 3、高级筛选
    通过CWR、ECE、URG、ACK、PSH、RSY、SYN、FIN位进行选择
    CEUAPRSF=00011000 (24 indecimal)


    tcpdump

你可能感兴趣的:(十一、Tcpdump)