Tcpdump使用(未完待续)

一、linux 安装tcpdump
1. 使用yum 直接安装tcpdump

yum install tcpdump

  • 查询已经安装的tcpdump
    rpm -qa| grep tcpdump
  • 查询已经安装的tcpdump版本
$ tcpdump --version
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips  26 Jan 2017
2.使用源码安装tcpdump

Tcpdump是开源工具,其本身需要链接libpcap库还需要flex、bison、m4等支持

#安装flex
yum install flex
#安装bison
yum -y install bison
#下载tcpdump包
wget tcpdump地址
#下载libpcap包
wget libpcap地址
#解压包
tar -xvzf 
tar -xvzf 
#注意顺序
cd 
./configure
sudo make install
cd 
./configure
sudo make install

安装过程中遇见问题
⚠️./configure提示没有GCC编译器环境

# ./configure
checking build system type... x86_64-pc-linux-gnu
checking host system type... x86_64-pc-linux-gnu
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: in `/root/tcpdump-4.9.3':
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details

解决方法
yum -y install gcc
⚠️ 安装过程中,一定要先安装libpcap

二、使用tcpdum进行抓包
抓包

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

  1. tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
  1. -i eth1 : 只抓经过接口eth1的包
  2. -t : 不显示时间戳
  3. -s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
  4. -c 100 : 只抓取100个数据包
  5. dst port ! 22 : 不抓取目标端口是22的数据包
  6. src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
  7. -w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

参考资料
Tcpdump的官方网址:https://www.tcpdump.org/
备注:后续再继续补充。。。

你可能感兴趣的:(Tcpdump使用(未完待续))