TCPDump是一款强大的网络抓包工具,它可以帮助网络管理员或安全专家监视和分析网络数据包。本文将详细介绍TCPDump的使用方法,以及如何解读TCPDump抓包结果。
安装
TCPDump在Linux中已经默认安装。如果没有安装可以利用yum apt opkg等命令直接进行安装。
查看帮助
tcpdump -h
常用命令
| 🐨参数 | 🌏命令说明 |
|---|---|
-a |
尝试将网络和广播地址转换成名称 |
-d |
把编译过的数据包编码转换成可阅读的格式。 |
-e |
在每列上显示连接层级的文件头 |
-f |
用数字显示网际网络地址 |
-i |
使用指定的网络设备送出数据包 |
-v |
详细显示指令执行过程 |
-w |
把数据包数据写入指定的文件 |
实列
捕捉数据包,并将其保存为pcap格式数据包。保存完成的数据包,我们可以利用wireshark工具打开。默认监听的网卡为eth0,运行一段时间后,按ctrl+c停止抓包,数据会自动保存。
tcpdump -w output.pcap
🦉捕获指定IP
通常情况下,TCPDump会捕获全局域网的数据包。这样会造成数据包很大,不易分析数据,因为我们可以对其进行简单的过滤。如,只捕获192.168.123.43这台设备的数据包。
tcpdump host 192.168.123.43
🐌捕获特定协议
TCPDump 可以通过协议名称(tcp udp icmp arp)过滤要捕获的数据包。
tcpdump tcp #只捕获TCP流量
🐼捕获特定端口
tcpdump port 80
🐼捕获HTTP
tcpdump -i eth0 -w kali.pcap port 80
更多精彩文章 欢迎关注我们
原文始发于微信公众号(kali黑客笔记):TCPDump抓包工具的使用
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/152000.html
