有时候,想看一下某个网卡上都有哪些数据包,尤其是初步判定服务器上有流量攻击时,使用抓包工具来
抓一下数据包,就可以知道有哪些IP在攻击了。
安装:yum install -y tcpdump
用法:
tcpdump -nn
-nn选项的作用是让第三列和第四列显示成IP+端口号的形式,如果不加-nn则显示的是主机名+服务名称。
第三列和第四列显示的信息为哪一个IP+port在连接哪一个IP+port,后面的信息是该数据包的相关信息
指定包数抓取: tcpdump -nn -c 100
指定网卡抓取: tcpdump -nn -i eht1 ,默认eth0
指定端口抓取: tcpdump -nn port 22
还可以指定tcp,udp和IP: tcpdump -nn tcp and port 22 and host 192.168.0.104
tcpdump -nn udp
把抓到的包写入1.cap中: tcpdump -nn tcp and port 22 and host 192.168.0.104 -w 1.cap
查看:tcpdump -r 1.cap
-s0抓完整的包: tcpdump -nn -s0 tcp and port 22 and host 192.168.0.104 -w 1.cap
tshark
安装:yum install -y wireshark
tshark -nn 与 tcpdump -nn 差不多一样
抓取更明确更直观化的信息: tshark -n -t a -R http.request -T fields -e "frame.time" -e
"ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" (用得多)
编辑回复