一、tcpdump
必须使用root身份执行
tcpdump -Aennqx -i 接口 -w 存储文件名 -c 次数 -r 文件 所要摘取的数据包数据格式
-A 数据包的内容以ASCII显示
-e 使用数据链路层的MAC数据包来显示、
-nn 直接以IP和端口显示
-q 仅列出较为简短的数据包信息
-X 可以列出十六进制以及ASCII的数据包内容
-i 后面接要监听的网络接口,例如eth0,lo,ppp0等
-w 数据包数据保存下来
-r 数据包数据读取
-c 监听的数据包数,没有这个参数的话,会一直监听
最后的数据包数据格式:host foo,host 127.0.0.1,net 192.168,src host 127.0.0.1(来源),dst net 192.168(目标),通信协议:tcp port 22等
范例:
1、以端口和IP获取网卡eth0上的数据包,持续时间3s
tcpdump -i eth0 -nn 3s后ctrl+c结束
仅获取21端口的数据
tcpdump -i eth0 -nn port 21
2、监听终端数据包
tcpdump -i lo -nn
3、监听eth0网卡且通信协议端口22,目标数据包来源是192.168.1.101
tcpdump -i eth0 -nn ‘port 22 and src host 192.168.1.101’