tcpdump 是一個(gè)Linux的網(wǎng)絡(luò)抓包工具。它允許用戶攔截和顯示發(fā)送或收到過網(wǎng)絡(luò)連接到該計(jì)算機(jī)的TCP/IP和其他數(shù)據(jù)包。tcpdump 適用于大多數(shù)的類Unix系統(tǒng)操作系統(tǒng),如路由器、debian、centos等均可安裝。

安裝

若系統(tǒng)沒有安裝此工具，我們可以執(zhí)行下面命令進(jìn)行安裝。

查看幫助

參數(shù)說明

• -c 指定要抓取的包數(shù)量，-c 10將獲取10個(gè)包。

• -i interface：指定tcpdump需要監(jiān)聽的接口。

• -n 對(duì)地址以數(shù)字方式顯式，否則顯式為主機(jī)名。

• -nn除了-n的作用外，還把端口顯示為數(shù)值，否則顯示端口服務(wù)名。

• -P：指定要抓取的包是流入還是流出的包?？梢越o定的值為in、out和inout(默認(rèn))

• -r 從給定的數(shù)據(jù)包文件中讀取數(shù)據(jù)。

食用

默認(rèn)情況下，我們可以直接執(zhí)行命令tcpdump。這樣便可以抓取所有通過本機(jī)的流量了。

列出可以抓包的網(wǎng)絡(luò)接口

我們可以用ifconfig或者下面命令，查看可用的網(wǎng)絡(luò)設(shè)備。

抓取指定網(wǎng)卡的數(shù)據(jù)包

抓取指定IP的數(shù)據(jù)包

抓取ping包

抓取到本機(jī)22端口包

保存數(shù)據(jù)包

tcpdump 提供了保存抓包數(shù)據(jù)的功能以便后續(xù)分析數(shù)據(jù)包，也可以利用wireshark等圖形化工具進(jìn)行分析。

打開保存的數(shù)據(jù)包

使用 -r選項(xiàng)參數(shù)來閱讀該文件中的報(bào)文內(nèi)容

當(dāng)然，我們可以利用wireshark來進(jìn)行分析。在后面的文章中，我們會(huì)有所講解。