第五章九析带你轻松完爆tcpdump

本系列文章:

第一章:九析带你玩转linux -内核升级篇

第二章:九析带你玩转linux——流浪的安装篇

第三章:九析带你玩转linux -僵尸进程(僵尸)

第四章:九析带你玩linux——转自建DNS

第五章:九析带你玩转linux - tcpdump

1前言

2使用

<人力资源/>

tcpdump是一款命令行抓包工具,普遍适用于linux、unix、windows操作系统中.tcpdump工具本身依赖于库文件去获取网卡流量信息,比如在windows下就是winpcap,在linux下就是libpcap等等。其中pcap就是包捕获的缩写。

<人力资源/>

直接使用如下命令查看流量信息:

tcpdump

命令执行会会抓取通过该主机的所有网络流量。每一行表示一条流量记录,比如:

18:23:11.591431 ARP,请求他192.168.31.100告诉192.168.31.85,长度28

这行表示一个数据包是在什么时间发生的,属于什么协议(ARP),协议内容是网络上一台主机广播寻找IP为192.168.31.100的主机。

使用- c(计数)抓取指定数量的数据包:

3

tcpdump - c

使用- w(写)保存抓包记录:

tcpdump - c 6 - w tcpdump。

2.3读取抓包记录

使用- r(读)从指定文件读取抓包记录:

tcpdump - r tcpdump。

2.4查询当前网卡

使用- d列出宿主机所有网卡信息:

tcpdump - d

2.5查看指定网络流量数据

有时我们只想查看通过指定网卡的网络流量数据,可以使用我(接口)参数轻松完爆,比如我想查看环回网卡(瞧,也就是127. . x.x.x)的流量信息,就可以直接使用如下命令:

tcpdump - lo0

再打开一个命令行终端:

萍127.0.0.1

再回到运行tcpdump命令行终端中,可以看到已经捕捉并显示出流量信息数据。

自此,轻松完爆tcpdump。

第五章九析带你轻松完爆tcpdump