乐趣区

关于后端:019-Linux-tcpdump-抓包案例入门可真简单啊

1 tcpdump 是什么?

tcpdump 能够将网络中传送的数据包齐全截获下来提供剖析。它反对针对网络层、协定、主机、端口的过滤,并提供 and、or、not 等逻辑语句来帮忙你过滤掉不关注的信息。
通常用 tcpdump 抓包数据输入到文件(如在 linux 服务器上抓包数据),把文件下载拖到工作电脑 Wireshark 软件上配合剖析(Wireshark 应用自行白度,也能够应用 wireshark 间接抓包剖析)。

2 tcpdump 常用命令参数

还有十分多的参数,只简略备注一些罕用的

  • -i< 网络界面 > 应用指定的网络截面送出数据包。
  • -w< 数据包文件 > 把数据包数据写入指定的文件。
  • -v 具体显示指令执行过程。
  • -n 不把主机的网络地址转换成名字。

3 tcpdump 抓包 wss,配合 Wireshark 剖析

//ip 瞎写的哈,脱敏
tcpdump -i en0  '((src or dst host 163.235.251.6) or (src or dst host 163.235.251.7) or (src or  dst host 163.235.251.8))'   -w wss-log.cap
  • (1)eth0 是网卡,能够通过 ifconfig 查看你的网卡。
  • (2)((src or dst host 163.235.251.6) or (src or dst host 163.235.251.7) or (src or dst host 163.235.251.8)) 这一段示意,一次监听抓取多个远端的主机地址,src or dst 能够把交互都抓进去,就是从这台收回来的,到这台回复的都能够抓进去,能够看到 TCP 残缺的握手挥手过程。
  • (3)-w wss-log.cap 这个是把抓取的日志,写到 wss-log.cap,文件名以.cap 结尾。
  • (4)工作电脑下载 Wireshark 并关上,把下面的文件 wss-log.cap 拖到 Wireshark 界面即可看到协定交互过程。
  • (5)上面是一次 wss 的抓包(websocket+TLS),图片信息做脱敏解决。

4 tcpdump 抓包白度,配合 Wireshark 剖析)

(1)抓包命令

tcpdump -i  en0  'src or dst   host www.baidu.com' -w baidu.cap

(2)拜访下白度

curl www.baidu.com

(3)Wireshark 剖析下抓的数据

5 tcpdump 其余一些用例

1 抓取通过指定端口的数据包,不指定网卡

tcpdump -vn -i  any  port 7280  -w tcptemp.cap
  • (1)-i interface 指定 tcpdump 须要监听的接口,’any’ 这个虚构网络接口可被用来接管所有网络接口上的数据包。
  • (2)-v 当剖析和打印的时候,产生具体的输入。比方包的生存工夫,标识,总长度以及 IP 包的一些选项。这也会关上一些附加的包完整性检测,比方对 IP 或 ICMP 包头部的校验和。
  • (3)-n 不对地址 (比方主机地址,端口号) 进行数字示意到名字示意的转换。

2 指定主机,ip 抓包

tcpdump tcp port 23 and host 163.235.251.6

6 小结

tcpdump 能够将网络中传送的数据包齐全截获下来提供剖析。通常用 tcpdump 抓包数据输入到文件(如在 linux 服务器上抓包数据),把文件下载拖到工作电脑 Wireshark 软件上配合剖析。本文记录了最简略的一些 case 应用,起到抛砖引玉的作用。

「不甩锅的码农」原创,转载请注明起源,未经受权禁止商业用途!同名 GZH 请关注!

退出移动版