Tcpdump抓包学习笔记

数据包写入

tcpdump -w 文件名.pcap

 

或者抓取指定数量的数据包

tcpdump -c 数字

 

数据包读取

tcpdump -r 文件名.pcap

 

读取多个dump文件

先gedit dump.txt

 

插入

test1.pacp

test2.pacp

test3.pacp

 

tcpdump -V dump.txt

 

数据包的状态

• 有5个数据包被抓取
• 37个数据包被过滤
• 5个数据包被丢弃

 

 

 

抓取指定网卡流量

有时一台服务器有多个网卡，需要针对某一个网卡抓取数据流量。

 

 查看可以抓取流量的网卡名称

tcpdump -D

 

默认会使用编号最小的网卡，如下图的eth0

lo网卡为本地换回网卡

any为指定所有网卡

 

 

指定网卡抓取数据流量

tcpdump -i eth0

 

指定输出格式

默认输出本地主机名而非IP地址

 

举例抓取该站点数据

 

tcpdump host 172.16.1.1

使用-n 输出主机对应的IP地址和端口号

tcpdump host 172.16.1.1 -n

使用-n参数抓包后，可以看到kali的主机名被替换成了本机eth0的网卡IP地址

 

指定数据包抓取方向

• 流入 in
• 流出 out
• 流入流出 inout

如：

tcpdump host 172.16.1.1 -n -Q inout

 

输出选项

输出数据链路层头部信息

-e

 

快速打印输出 

-q

 

输出简洁信息

tcpdump host 172.16.1.1. -n -q

 

输出包的头部信息

• -X
• -XX 更加详细

tcpdump host 172.16.1.1 -n -XX

 

详细参数 

• -v
• -vv
• -vvv

 

tcpdump host 172.16.1.1 -n -vvv

 

Tcpdump表达式 （用于筛选哪些类型的数据包）

 

抓取指定协议

tcpdump icmp -n -v

 

表达式中Type的确定

抓取80端口数据包

 

抓取指定端口范围数据包

 

只抓取http协议80端口数据包 限定网络范围为172.16.XXX.XXX