Loading

tcpdump抓包

  • 命令安装
yum -y install tcpdump

tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 来源 ip.
-i interface:指定 tcpdump 需要监听的接口
-n 对地址以数字方式显式,否则显式为主机名
-nn 除了-n 的作用外,还把端口显示为数值,否则显示端口服务名
-X 输出包的头部数据,会以 16 进制和 ASCII 两种方式同时输出
-vv 产生更详细的输出
  • ping测试
[root@localhost ~]# ping 192.168.108.88 -c 1
PING 192.168.108.88 (192.168.108.88) 56(84) bytes of data.
64 bytes from 192.168.108.88: icmp_seq=1 ttl=64 time=0.120 ms

--- 192.168.108.88 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.120/0.120/0.120/0.000 ms
  • 抓包显示

[root@Yong-Test ~]# tcpdump -i ens160 -nn -X -vv icmp  and ip host 192.168.108.44
第一组显示ip从192.168.108.44到192.168.108.88,接收数据包
18:35:55.376897 IP (tos 0x0, ttl 64, id 58011, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.108.44 > 192.168.108.88: ICMP echo request, id 24347, seq 1, length 64
	0x0000:  4500 0054 e29b 4000 4001 fe37 c0a8 6c2c  E..T..@.@..7..l,
	0x0010:  c0a8 6c58 0800 ebd1 5f1b 0001 0b26 e55c  ..lX...._....&.\
	0x0020:  0000 0000 f8bb 0500 0000 0000 1011 1213  ................
	0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
	0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
	0x0050:  3435 3637                                4567
第二组显示ip从192.168.108.88到192.168.108.44,返回数据包
18:35:55.376937 IP (tos 0x0, ttl 64, id 10350, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.108.88 > 192.168.108.44: ICMP echo reply, id 24347, seq 1, length 64
	0x0000:  4500 0054 286e 0000 4001 f865 c0a8 6c58  E..T(n..@..e..lX
	0x0010:  c0a8 6c2c 0000 f3d1 5f1b 0001 0b26 e55c  ..l,...._....&.\
	0x0020:  0000 0000 f8bb 0500 0000 0000 1011 1213  ................
	0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
	0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
	0x0050:  3435 3637                                4567
2 packets captured
2 packets received by filter
0 packets dropped by kernel
  • 保存到文件(-w 参数),使用Wireshark分析
tcpdump -i eth0 -nn -X -vv  tcp port 80  and ip host 10.10.10.32 -w ./filename.cap
  • 保存到文件(-w 参数),同时使用-C 参数,可以切割保存文件大小,单位1,000,000字节。
# -C 100 指定保存文件filename.cap的大小为100*1,000,000字节,即不大于100Mb。大概为95兆左右。
tcpdump -i eth0 -nn -X -vv  tcp port 80 -C 100 -w ./filename.cap
  • 抓取 ftp 登录过程,21端口,来自于192.168.160.1,在eth网卡,tcp协议
tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 192.168.160.1
  • 抓的80端口的包
tcpdump -i eth0 -nn -X -vv tcp port 80

  • ping 简介

    • ping是ICMP协议,并不是通常所说的 TCP/UDP 端口。
    • ping也属于一个通信协议,是TCP/IP协议的一部分。
    • 利用"ping"命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。
    • Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议;
    • 回声请求消息给目的地并报告是否收到所希望的ICMPecho (ICMP回声应答)。
    • 它是用来检查网络是否通畅或者网络连接速度的命令。
posted @ 2019-07-13 10:00  Outsrkem  阅读(337)  评论(0编辑  收藏  举报