linux下的抓包工具tcpdump
2012-05-14 10:00
411 查看
linux下的抓包工具。
抓包工具比较好用的有两个,一个是snort,一个是tcpdump,这次不说snort了,觉得这个工具虽然很强大,但是比较复杂,还是tcpdump比较简单。tcpdump windows、linux版本均有。linux版本可以在以下网站下载:www.tcpdump.org.
安装好tcpdump之后,运行tcpdump:
1. tcpdump -D 获取网络适配器列表,以下是在windows上获取到的结果:
2. tcpdump -i <需要监控的网络适配器编号>,例如我想监控lo(127.0.0.1),即上面列表中的1.\Device\PssdkLoopback: (windows上特有的,linux不适用)
如果不使用-i来定义监控适配器的话,默认使用列表中的第一个;
3. 监控主机为192.9.200.59上8000端口的tcp协议:
4. 如果想要显示数据包的内容,需要使用-X参数,如,我想要显示捕获的http数据包http header的内容:
显示结果如下:
可以看到该结果只显示了http头的一部分,没有显示全,是因为tcpdump默认将显示的数据长度截断了,可以使用-s后面加数据长度,来设置数据显示长度:
以上的例子中,-s 0 表示自动设置长度使其能够显示所有数据。
5. 捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,需要使用-w参数:
则将之前显示在屏幕中的内容,写入tcpdump可执行文件同级目录下的aaa文件中。
文件查看方式如下,需要使用-r参数:
如果这样写:
则只能看到最简单的数据传输交互过程,看不到数据包内容,查看时也需要使用相应的参数。
6.总结
总结一下,tcpdump的参数分两个部分,选项(Options)和表达式(expression):
tcpdump[ -adeflnNOpqRStuvxX] [ -c count]
[ -C file _ size] [ -F file]
[ -i interface] [ -m module] [ -r file]
[ -s snaplen] [ -T type] [ -w file]
[ -E algo:secret] [ expression] 原文地址:http://www.51testing.com/?uid-22578-action-viewspace-itemid-142353 本文出自 “prothes blog” 博客,请务必保留此出处http://prothesman.blog.51cto.com/8610862/1411550
抓包工具比较好用的有两个,一个是snort,一个是tcpdump,这次不说snort了,觉得这个工具虽然很强大,但是比较复杂,还是tcpdump比较简单。tcpdump windows、linux版本均有。linux版本可以在以下网站下载:www.tcpdump.org.
安装好tcpdump之后,运行tcpdump:
1. tcpdump -D 获取网络适配器列表,以下是在windows上获取到的结果:
1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter) 2.\Device\{CF587901-C85F-4FD6-896F-D977DEFE76EC} (Intel(R) PRO/100 VE Network Co nnection) |
tcpdump -i 1 |
3. 监控主机为192.9.200.59上8000端口的tcp协议:
tcpdump host 192.9.200.59 and tcp port 8000 |
tcpdump -X host 192.9.200.59 and tcp port 8000 |
22:13:19.717472 IP testhost59.12535 > liujuan59.8000: . 1:330(329) ack 1 win 327 8 0x0000: 4500 0171 e616 0000 8006 cb2b 0000 0000 E..q.......+.... 0x0010: c009 c83b 30f7 1f40 0000 0002 0000 0002 ...;0..@........ 0x0020: 5010 8000 b066 0000 504f 5354 202f 2048 P....f..POST./.H 0x0030: 5454 502f 312e 310d 0a43 6f6e 7465 6e74 TTP/1.1..Content 0x0040: 2d54 7970 653a 2074 6578 742f 786d 6c3b -Type:.text/xml; 0x0050: 2063 .c |
tcpdump -X -s 0 host 192.9.200.59 and tcp port 8000 |
5. 捕获的数据太多,不断刷屏,可能需要将数据内容记录到文件里,需要使用-w参数:
tcpdump -X -s 0 -w aaa host 192.9.200.59 and tcp port 8000 |
文件查看方式如下,需要使用-r参数:
tcpdump -X -s 0 -r aaa host 192.9.200.59 and tcp port 8000 |
tcpdump -r aaa |
6.总结
总结一下,tcpdump的参数分两个部分,选项(Options)和表达式(expression):
tcpdump[ -adeflnNOpqRStuvxX] [ -c count]
[ -C file _ size] [ -F file]
[ -i interface] [ -m module] [ -r file]
[ -s snaplen] [ -T type] [ -w file]
[ -E algo:secret] [ expression] 原文地址:http://www.51testing.com/?uid-22578-action-viewspace-itemid-142353 本文出自 “prothes blog” 博客,请务必保留此出处http://prothesman.blog.51cto.com/8610862/1411550
相关文章推荐
- linux下的抓包工具tcpdump用法
- Linux下抓包工具tcpdump应用详解
- linux下的抓包工具tcpdump
- tcpdump_linux下的抓包工具tcpdump
- Tcpdump详解linux tcpdump抓包分析工具
- Linux下Tcpdump抓包工具的使用详解
- tcpdump-抓包工具-Linux
- 【Linux抓包工具之tcpdump】
- Linux抓包工具tcpdump详解
- linux使用tcpdump抓包工具抓取网络数据包
- Linux网络抓包工具——tcpdump
- linux下抓包工具tcpdump命令详解
- Linux网络抓包分析工具Tcpdump基础篇[参数说明]
- Linux下抓包工具tcpdump应用详解
- linux下 tcpdump 抓包工具
- Linux下的抓包工具――tcpdump
- Linux抓包工具tcpdump
- Linux下抓包工具tcpdump应用详解
- LINUX抓包工具TCPDUMP详解
- linux 下的抓包工具Tcpdump