我先看下实例代码:
1 .常见参数 tcpdump - eth0 nn - s0 - v端口80 我选择监控的网卡 神经网络不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度 - s0捕获长度无限制 - v增加输出中显示的详细信息量 端口80端口过滤器,只捕获80端口的流量,通常是HTTP 2. tcpdump - - s0端口80 ——输出ASCII数据 - x输出十六进制数据和ASCII数据 3. tcpdump - eth0 udp udp过滤器,只捕获udp数据 原型17协议17等效于udp 原型6等效于tcp 4. tcpdump - eth0主机10.10.1.1 主持过滤器,基于IP地址过滤 5. tcpdump -我eth0 dst 10.105.38.204 dst过滤器,根据目的IP过滤 src过滤器,根据来源IP过滤 6. tcpdump - i - w test.pcap eth0 - s0 - w写入一个文件,可以在Wireshark中分析 7. tcpdump - eth0 - s0 - l端口80 | grep的服务器: - l配合一些管道命令的时候例如grep 8. 组合过滤 或,, 或| | 不或! 9. 快速提取HTTP UA tcpdump nn - s1500 - l | grep“用户代理: 使用egrep匹配UA和主机 tcpdump nn - s1500 - l | egrep -我的用户代理:|主机: 10. 匹配得到的数据包 tcpdump - s 0——vv tcp (((tcp (12:1),0 xf0)在祝辞2):4]=0 x47455420 ' 匹配发布包,发布的数据可能不在包里 tcpdump - s 0——vv tcp (((tcp (12:1),0 xf0)在祝辞2):4]=0 x504f5354 ' 11. 匹配HTTP请求头 tcpdump - s 0 - v - n - l | egrep我“POST/| GET/|主机:” 匹配一些文章的数据 tcpdump - s 0 - a - n - l | egrep我“发布/| pwd=| passwd==| |密码主持人:“ 匹配一些饼干信息 tcpdump nn - - s0 - l | egrep -我的主机:set - Cookie | |饼干:“ 12. 捕获DNS请求和响应 tcpdump - eth0 53 - s0港口 13. 使用tcpdump捕获并在Wireshark中查看 使用ssh远程连接服务器执行tcpdump命令,并在本地的wireshark分析 ssh root@remotesystem tcpdump - s0 - c 1000 nn - w——不是端口22”| wireshark - k -我- ssh ubuntu@115.159.28.111的sudo tcpdump - s0 - c 1000 nn - w -不是端口22 | wireshark - k -我- 14. 配合壳获取最高的IP数 tcpdump nnn - t - c 200 | - f 1, 2, 3, 4 - d’。“排序| | uniq排序nr - c | | 20头- n 15。捕获DHCP的请求和响应 tcpdump - v - n端口67或68