tcpdump、windump

2020/03 23 00:03

用之前,先用ifconfig列出当前设备的网络接口,示例:

ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.53.206  netmask 255.255.240.0  broadcast 172.16.63.255
        ether 00:16:3e:11:fc:e4  txqueuelen 1000  (Ethernet)
        RX packets 26585809  bytes 16352217278 (15.2 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 18579541  bytes 13413764446 (12.4 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

那么当前网络首选接口为eth0

筛选80端口
tcpdump -i eth0 port 80

筛选80端口,只抓10个包
tcpdump -i etch0 port 80 -c 10

筛选:与8.8.8.8交互,并且80端口
tcpdump -i etch0 port host 8.8.8.8

筛选主机8.8.8.8发送的所有数据
tcpdump -i eth0 src host 8.8.8.8

筛选所有送到主机8.8.8.8的数据包
tcpdump -i eth0 dst host 8.8.8.8
以下为可选输出选项:
-e   输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q   快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X   输出包的头部数据,会以16进制和ASCII两种方式同时输出
-XX  比-X更详细
-v   当分析和打印的时候,产生详细的输出
-vv  比-v更详细
-vvv 比-vv更详细
-w   接文件名,可写到文件中

以下为配置选项:
-n   对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn  除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-P   指定要抓取的包是流入还是流出的包。可以给定的值为in/out/inout 默认inout
     -Pin / -Pout / -Pinout
-s len  设置最大抓包长度,不设置默认为65535

在Windows环境下的名称为WinDump,官方网址为:
https://www.winpcap.org/


在Windows10环境下直接运行会丢失DLL,需要安装Win10Pcap-v10.2-5002.msi;

点击这里打包下载

--转载请注明: http://blog.coolcoding.cn/?p=1426

发表回复

欢迎回来 (打开)

(必填)