windows中的抓包工具:wireshark
linux中的抓包工具:tcpdump
cpdump是Linux系统中自带抓包工具
[root@IKUN ~]# rpm -q tcpdump
tcpdump-4.9.0-5.el7.x86_64
[root@IKUN ~]#
tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
解释:
(1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
(2)-i ens33 :只抓经过接口ens33的包。
(3)-t:不显示时间戳
(4)-s0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。
(5)-c 100 :只抓取100个数据包。
(6)dst port ! 22 :不抓取目标端口是22的数据包。
(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。
tcpdump -D //查看网卡
tcpdump -i ens33 //指定查看ens33 网卡
tcpdump host 192.168.136.133 -i ens33
//监听特定主机,监听主机10.0.0.100 的通信包,注意:出、入的包都会被监听。
tcpdump src host hostname //特定来源
tcpdump dst host hostname //特定目标地址
如果不指定src跟dst,那么来源或者目标是hostname的通信都会被监听
tcpdump -i ens33 -nn icmp and src host 192.168.136.134 and dst host 192.168.136.133
//监听ens33网卡源地址是192.168.136.134 目的地址是192.168.136.133的数据
tcpdump ip host 192.168.136.133 and 192.168.136.134 -i ens33
//只抓取 特定主机之间的数据包
#抓取特定端口
tcpdump port 3000
tcpdump tcp port 22 and src host 10.0.0.100 -i ens33
进行动态抓包处理(一旦遇到有指定数据包的出现,开始运转)
[root@IKUN opt]# tcpdump -i ens35 -s0 -w ./ens35.cap //指定网卡ens35,取完整包的长度,保存在当前目录
用客户机访问web服务器,且停止抓包