tcpdump抓包

tcpdump

 

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

 

　　(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
　　(2)-i eth1 : 只抓经过接口eth1的包
　　(3)-t : 不显示时间戳
　　(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
　　(5)-c 100 : 只抓取100个数据包
　　(6)dst port ! 22 : 不抓取目标端口是22的数据包
　　(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
　　(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

读取

tcpdump -r target.cap

　　读取 target.cap 包

tcpdump -n -vv -X -r target.cap

　　-X 以16进制显示抓包内容
　　-A 以ASCII码显示
　　-vv 显示更详细的信息
　　-n 只显示ip地址不显示域名

tcpdump -w或者-r 出现premission denied的解决办法

输入 

grep tcpdump /sys/kernel/security/apparmor/profiles

显示

/usr/sbin/tcpdump (enforce)

当前为enforce模式，要改成complain模式才行

要先安装对应的utils工具

sudo apt-get install apparmor-utils

然后转换成complain模式

sudo aa-complain /usr/sbin/tcpdump

如果想转回来

sudo aa-enforce /usr/sbin/tcpdump

 

tcpdump详细链接地址：
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

linux下查看端口占用情况、查看所有tcp端口情况

linux下查看所有占用端口情况

netstat -ntlp

 

查看所有某个端口使用情况，如80端口

netstat -ntulp | grep 80

 

netstat命令各个参数说明如下：

　　-a：列出所有网络状态，包括 Socket 程序；
　　-c秒数：指定每隔几秒刷新一次网络状态；
　　-n：使用 IP 地址和端口号显示，不使用域名与服务名；
　　-p：显示 PID 和程序名；
　　-t：显示使用 TCP 协议端口的连接状况；
　　-u：显示使用 UDP 协议端口的连接状况；
　　-I：仅显示监听状态的连接；
　　-r：显示路由表；
　　即可显示当前服务器上所有端口及进程服务，于grep结合可查看某个具体端口及服务情况。

　　详细链接地址

　　https://my.oschina.net/u/3383229/blog/4572682