linux系统下使用tcpdump进行抓包方法

我先看下实例代码：

1. 1.常见参数
3. tcpdump -i eth0 -nn -s0 -v port 80
5. -i 选择监控的网卡
7. -nn 不解析主机名和端口号，捕获大量数据，名称解析会降低解析速度
9. -s0 捕获长度无限制
11. -v 增加输出中显示的详细信息量
13. port 80 端口过滤器，只捕获80端口的流量，通常是HTTP
15. 2.
17. tcpdump -A -s0 port 80
19. -A 输出ASCII数据
21. -X 输出十六进制数据和ASCII数据
23. 3.
25. tcpdump -i eth0 udp
27. udp 过滤器，只捕获udp数据
29. proto 17 协议17等效于udp
31. proto 6 等效于tcp
33. 4.
35. tcpdump -i eth0 host 10.10.1.1
37. host 过滤器，基于IP地址过滤
39. 5.
41. tcpdump -i eth0 dst 10.105.38.204
43. dst 过滤器，根据目的IP过滤
45. src 过滤器，根据来源IP过滤
47. 6.
49. tcpdump -i eth0 -s0 -w test.pcap
51. -w 写入一个文件，可以在Wireshark中分析
53. 7.
55. tcpdump -i eth0 -s0 -l port 80 | grep ‘Server:’
57. -l 配合一些管道命令的时候例如grep
59. 8.
61. 组合过滤
63. and or &&
65. or or ||
67. not or !
69. 9.
71. 快速提取HTTP UA
73. tcpdump -nn -A -s1500 -l | grep “User-Agent:”
75. 使用egrep 匹配 UA和Host
77. tcpdump -nn -A -s1500 -l | egrep -i ‘User-Agent:|Host:’
79. 10.
81. 匹配GET的数据包
83. tcpdump -s 0 -A -vv ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420’
85. 匹配POST包，POST的数据可能不在包里
87. tcpdump -s 0 -A -vv ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354’
89. 11.
91. 匹配HTTP请求头
93. tcpdump -s 0 -v -n -l | egrep -i “POST /|GET /|Host:”
95. 匹配一些POST的数据
97. tcpdump -s 0 -A -n -l | egrep -i “POST /|pwd=|passwd=|password=|Host:”
99. 匹配一些cookie信息
101. tcpdump -nn -A -s0 -l | egrep -i ‘Set-Cookie|Host:|Cookie:’
103. 12.
105. 捕获DNS请求和响应
107. tcpdump -i eth0 -s0 port 53
109. 13.
111. 使用tcpdump捕获并在Wireshark中查看
113. 使用ssh远程连接服务器执行tcpdump命令，并在本地的wireshark分析
115. ssh root@remotesystem ‘tcpdump -s0 -c 1000 -nn -w – not port 22’ | wireshark -k -i –
117. ssh ubuntu@115.159.28.111 ‘sudo tcpdump -s0 -c 1000 -nn -w – not port 22’ | wireshark -k -i –
119. 14.
121. 配合shell获取最高的IP数
123. tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d ‘.’ | sort | uniq -c | sort -nr | head -n 20
125. 15.捕获DHCP的请求和响应
127. tcpdump -v -n port 67 or 68

复制代码