前提条件:
1. 一台安装有Linux的机器….这个是必要的;
2. Tcpdump程序;
3. 以下所有均是root用户登录操作,且命令不支持直接复制到Linux控制台,请手工输入!
4.工具以及教程文档下载地址 点我
操作步骤:
1. 将tcpdump上传到Linux,首先执行赋权,我是直接赋777的权限,如果考虑到其他,可以赋755的权限,
赋权命令:
chomd 777 tcpdump
如下图
赋权成功后执行命令
ll tcpdump
可看到赋权结果,如下图。
2. 查看网卡信息。如果碰到多网卡的机器,就要选择执行网卡的信息,
先查看网卡信息命令:
ifconfig
如下图。下图是一个单网卡机器,我们抓包的时候只要监听eth0 。
3. 执行简单抓包命令
tcpdump -i eth0 -s 0 -vv -w /root/test.pcap
如下图,即开始抓包。
参数详解:
-i eth0 监视指定网络接口
-s 0 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
-vv 显示详细抓包信息
-w /root/test.pcap 保存成pcap文件,方便用wireshark分析
4.抓取指定端口的报文命令
tcpdump -i eth0 -s 0 -vv -w /root/test.pcap port 8080
5.抓取指定出入IP报文命令
tcpdump -i eth0 -s 0 -vv -w /root/test.pcap host 192.168.0.20
6.抓取指定IP和端口的命令
tcpdump -i eth0 -s 0 –vv -w /root/test.pcap port 23 and host 192.168.0.20
目前用以上抓包命令就够用了,后面还在继续研究。