ღ Miranda

命令行抓包工具tcpdump

Tcpdump prints out a description of the contents of packets on a network interface that match the boolean expression. It can also read saved packet files.

由于tcpdump是一个命令行的抓包工具,所以可以与shell脚本结合对大的流量包进行分析,不用再使用Wireshark打开包并对包应用筛选器,当包文件很大时,使用Wireshark会十分的慢。

命令参数

需要使用root权限运行tcpdump:

-D参数可以查看当前可监听的网卡:

然后用-i参数指定要监听的网卡就可以开始抓包,也可以使用默网卡。

-n参数就是显示主机ip而不显示主机名,可以指定-w参数把数据包写入文件保存,还可以用tcpdump的筛选功能来抓包。

只显示来往192.168.1.1的包:

所有在192.168.1.100与其他主机之间的包,但不包含和192.168.1.101的包:

所有SYNFIN包,但不包含localhost主机的包:

所有TCP协议80端口包含数据的包:

所有IP包大小大于576并且经过192.168.1.1网关的包:

抓所有ICMP包,但不是ping包:

用shell脚本处理

可以使用shell脚本配合tcpdump的筛选器对数据包进行筛选合并。

显示包中所有ARP包:

将所有a.pcapng中和106.38.179.32的包写入b.cap文件:

这可以运用在大流量包处理当中,比如如下脚本:

这段脚本在当前目录下读取流量包文件,将目标IP筛选出来写到新文件中,判断文件大小,为24字节则为空文件,就删除,否则就移到一个目录下。

最后可以在目录里手动合并文件:

发表评论

电子邮件地址不会被公开。