tcpdump小黑板抓包

Linux、Unix默认安装了tcpdump
纯字符抓包工具

抓包

tcpdump -i eth0 -s 0 -w file.pcap(将抓包信息保存到file.pcap，从第0位开始---tcpdump默认只抓取前68个字节)

tcpdump -i eth0 port 22(只抓取端口是22的包)

tcpdump -r file.pcap(读取file.pcap的信息)

抓包筛选

tcpdump -n -r http.cap | awk '{print $3}' | sort -u(查看http.cap信息的第三列，不显示重复的IP---显示当前文件里所有的IP地址)

tcpdump -n src host 0.0.0.0 -r http.cap(查看来源IP是0.0.0.0的信息)src改为dst---目标IP

tcpdump -n port 53 -r http.cap(显示53端口的信息)

tcpdump -n tcp port 53 -r http.cap(显示53端口的tcp信息)

tcpdump -nX port 53 -r http.cap(16进制的方式显示53端口的信息)-A是ASCII码的方式显示

高级筛选

tcpdump -An 'tcp[13]=24' -r http.cap

这里tcp[13]是指下图里的res.(保留位)，等于24就是对应控制位中的ACK、PSH两个标识位

2019-02-14-201718-1026x655-scrot.png

TCP/IP详情信息参考