1.8 抓包工具tcpdump和tshark

回复 收藏

yum install -y tcpdump 

tcpdump  -nn  //实时数据流,-nn 域名显示为ip和应用显示为端口

tcpdump  -nn -c 100 // -c 包数

时间                                源ip:端口                 目标ip:端口                             三次握手

-nn 域名显示为ip和应用显示为端口

-c 包数

-i eth1 //指定网卡eth1

    port 22 //指定端口

    tcp and port 22 //指定tcp和22端口

    

    udp 指定udp包

    

指定tcp 端口 ip(不分源和目的)

    

    

    #tcpdump -nn tcp adn port 80 and host 117.44.160.154 -w 1.cap //二进制的包 只能去wireshark看

    ctrl +c  停止:抓到89个包

    

而#tcpdump -r 1.cap //可以查看到包的具体流向,但不是包的内容

查看一个图片,用tcpdump只是可以看到网卡的数据流向(即访问这个图片的来源ip目的ip、端口等流向数据),而包的内容就是图片的内容

    #tcpdump -nn tcp adn port 80 -c 10 > 1.cap //不加w,就不能查看到包的内容,只能看到网卡数据包流向

-s0 //要抓一个完整的包就要加这个参数

#yum -y install wireshark

#tshark -nn 

使用命令:

#tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

                                            来源ip            目标                 行为        路径

2016-09-27 21:29 举报
已邀请:

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: