数据包写入
tcpdump -w 文件名.pcap
或者抓取指定数量的数据包
tcpdump -c 数字
数据包读取
tcpdump -r 文件名.pcap
读取多个dump文件
先gedit dump.txt
插入
test1.pacp
test2.pacp
test3.pacp
tcpdump -V dump.txt
数据包的状态
- 有5个数据包被抓取
- 37个数据包被过滤
- 5个数据包被丢弃
抓取指定网卡流量
有时一台服务器有多个网卡,需要针对某一个网卡抓取数据流量。
查看可以抓取流量的网卡名称
tcpdump -D
默认会使用编号最小的网卡,如下图的eth0
lo网卡为本地换回网卡
any为指定所有网卡
指定网卡抓取数据流量
tcpdump -i eth0
指定输出格式
默认输出本地主机名而非IP地址
举例抓取该站点数据
tcpdump host 172.16.1.1
使用-n 输出主机对应的IP地址和端口号
tcpdump host 172.16.1.1 -n
使用-n参数抓包后,可以看到kali的主机名被替换成了本机eth0的网卡IP地址
指定数据包抓取方向
- 流入 in
- 流出 out
- 流入流出 inout
如:
tcpdump host 172.16.1.1 -n -Q inout
输出选项
输出数据链路层头部信息
-e
快速打印输出
-q
输出简洁信息
tcpdump host 172.16.1.1. -n -q
输出包的头部信息
- -X
- -XX 更加详细
tcpdump host 172.16.1.1 -n -XX
详细参数
- -v
- -vv
- -vvv
tcpdump host 172.16.1.1 -n -vvv
Tcpdump表达式 (用于筛选哪些类型的数据包)
抓取指定协议
tcpdump icmp -n -v
表达式中Type的确定
抓取80端口数据包
抓取指定端口范围数据包
只抓取http协议80端口数据包 限定网络范围为172.16.XXX.XXX
