1.tcpdump简介
1.1 tcpdump是一个抓包工具。可以运行在liunx上。
1.2 官方网址
http://www.tcpdump.org/tcpdump_man.html
1.3 centos安装
yum install tcpdump -y
2.tcpdump常用
2.1 指定设备
tcpdump -i eth1
抓取eth1网卡的所有数据包
2.2 指定端口
tcpdump port 80
抓取80端口的所有数据包
2.3 指定ip
tcpdump host 192.168.1.0
指定192.168.1.0此ip的所有数据包(一台服务器可能会有多个ip)
2.4 指定协议
tcpdump tcp
tcpdump udp
目前tcpdump不能直接抓http协议,需要做一些操作。具体操作,可以参考下面的博文。
https://www.cnblogs.com/ppsunlight/p/4000455.html
2.5 输出到文件
因为tcpdump抓的数据库包解码不彻底,数据包内的大部分内容是使用十六进制的形式直接打印输出的。这样不利于分析,所以一般都是先把抓到的数据保存下来,然后使用wireshark分析。
tcpdump -w 1.pcap
2.6 tcpdump的复杂应用
tcpdump可以配合一些逻辑表达式,来实现一些复杂的查询,下面举一些例子。
查找eth1网卡下,80端口的数据包
tcpdump -i eth1 and port 80
查找eth1网卡或80端口的数据包
tcpdump -i eth1 or port 80
2.7 如何查看
使用wireshark查看,点击下面的链接
3.参考博客
https://www.cnblogs.com/ppsunlight/p/4000455.html
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
