yum install -y tcpdump
tcpdump -nn //实时数据流,-nn 域名显示为ip和应用显示为端口
tcpdump -nn -c 100 // -c 包数
时间 源ip:端口 目标ip:端口 三次握手
-nn 域名显示为ip和应用显示为端口
-c 包数
-i eth1 //指定网卡eth1
port 22 //指定端口
tcp and port 22 //指定tcp和22端口
udp 指定udp包
指定tcp 端口 ip(不分源和目的)
#tcpdump -nn tcp adn port 80 and host 117.44.160.154 -w 1.cap //二进制的包 只能去wireshark看
ctrl +c 停止:抓到89个包
而#tcpdump -r 1.cap //可以查看到包的具体流向,但不是包的内容
查看一个图片,用tcpdump只是可以看到网卡的数据流向(即访问这个图片的来源ip目的ip、端口等流向数据),而包的内容就是图片的内容
#tcpdump -nn tcp adn port 80 -c 10 > 1.cap //不加w,就不能查看到包的内容,只能看到网卡数据包流向
-s0 //要抓一个完整的包就要加这个参数
#yum -y install wireshark
#tshark -nn
使用命令:
#tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
来源ip 目标 行为 路径
编辑回复