Linux抓包总结

一、端口信息

方法:使用netstat,得知你所关心进程的监听端口,或者某一个端口的使用情况

[[email protected] mpf]# netstat -pan | grep csm
tcp        0      0 0.0.0.0:6801                0.0.0.0:*                   LISTEN      7417/csm    ---监听端口
tcp        0      0 192.168.12.223:33004        192.168.5.186:3311          ESTABLISHED 7417/csm    ---数据库链接
tcp        0      0 192.168.12.223:33003        192.168.5.186:3311          ESTABLISHED 7417/csm
tcp        0      0 192.168.12.223:33002        192.168.5.186:3311          ESTABLISHED 7417/csm
tcp        0      0 192.168.12.223:6801         192.168.5.220:2845          ESTABLISHED 7417/csm    ---与im客户端的链接
tcp        0      0 127.0.0.1:32994             127.0.0.1:6847              ESTABLISHED 7417/csm    ---与rooter的链接
tcp        0      0 127.0.0.1:32998             127.0.0.1:6872              ESTABLISHED 7417/csm    ---与online的链接
tcp        0      0 192.168.12.223:6801         192.168.5.220:2812          ESTABLISHED 7417/csm    ---与im客户端的链接
[[email protected] mpf]# netstat -pan | grep mucsvr
tcp        0      0 127.0.0.1:32989             127.0.0.1:6847              ESTABLISHED 7416/mucsvr  --与rooter的链接
tcp        0      0 127.0.0.1:32988             127.0.0.1:6847              ESTABLISHED 7416/mucsvr  --与rooter的链接
[[email protected] mpf]# netstat -pan | grep online
tcp        0      0 0.0.0.0:6872                0.0.0.0:*                   LISTEN      7413/online  --监听端口
tcp        0      0 192.168.12.223:33005        192.168.5.186:3311          ESTABLISHED 7413/online  --数据库链接
tcp        0      0 127.0.0.1:6872              127.0.0.1:32998             ESTABLISHED 7413/online  --与csm的链接

注:

1)、其中,mucsvr与rooter建立了两条链接,不清楚原因。监听32989可以获取通信包,32988此端口没发现有数据通信。

2)、上面的信息是从12.223测试ImServer上获取,只作为参考。

二、抓包

方法:使用tcpdump,获取关心端口的数据包,并输出到文件

执行命令:tcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.cap

注释:

  • port:你所关心的服务进程的端口
  • -i eth0:指定监听的网络接口。可以使用ifconfig获取网络配置,本机的通信网络配置是-i lo。
  • -s 0:获取全部数据包

默认的话 tcpdump 只显示部分数据包

参数 -s snaplen 就是控制这个的。默认是 68 字节

设成0的话 就是显示全部数据包

  • -w:输出文件

参考网址:http://tcpdump.anheng.com.cn/news/22/591.html

三、查看

方法:将包文件传到window机器上,使用EtherDetect查看通信包文件

操作步骤:嗅探器-->打开

四、附录

12.223抓包语句:
tcpdump port 6872 -i lo -p -vv -s 0 -w online.cap
tcpdump port 6847 -i lo -p -vv -s 0 -w router.cap
tcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.cap
tcpdump port 32989 -i lo -p -vv -s 0 -w mucsvr.cap

*****抓包记录:
tcpdump host 218.28.15.98 -i eth1 -p -vv -s 0 -w fengyang.cap

使用SecureCRT,将通信包传到window机器
sz csm.cap mucsvr.cap online.cap router.cap
时间: 2024-08-05 13:27:29

Linux抓包总结的相关文章

linux抓包

maindump.sh (抓包的主程序) 每隔1分钟通过死循环检测,让程序不断的去抓包;考虑到抓包的结果可能太大分析工具无法打开分析,所以每个数据包大小限制约为100M; 并设定了前一个包抓完,间隔5秒,开始进行下一轮抓包; 每天的数据包放在/data下以日期命名的目录如:/data/2010-03-08,并进行压缩存储,包的命令格式为:[email protected];其中yyyy-mm-dd表示日期,第一个hhmmss表示开始抓包的时分秒,第二个hhmmss表示抓包结束的时分秒. moni

linux抓包分析(tcpdump)

默认启动 tcpdump 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包. 监视指定网络接口的数据包 tcpdump -i eth1 如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口. 查看本机网络接口 ifconfig 找到自己ip的那个网络接口 监视指定网络接口和端口的数据包 tcpdump -i eth0 tcp port 8809 linux抓包分析(tcpdump)

linux 抓包 tcpdump 简单应用

在linux服务器上,经常要定位网络问题,就需要用到抓包. 例如:tcpdump -X -s 0 host 10.17.81.22 and port 9999 -w /home/text.cap -i eth4 上面的意思是抓取和 10.17.81.22 服务器 端口9999进行通讯的所有(-X)不限制大小(-s 0)的网络包,并输出到文件 text.cap ,抓取网卡eth4. tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数

做一个WINDOWS下破解WIFI。不需要Linux抓包!

搬家了,没网了.没有WIFI了! 想破解,不过没有Linux环境,不能抓包!破解! 于是自己动手开工! 在windows 下直接破解.貌似国内 还没看到.如果有了,那么请各位童鞋 提醒一下.赶急 要使用啊!! 最终: 不过有点问题,如果路由器 启用混淆模式,那么如何拿到真实的握手协议呢? 做一个WINDOWS下破解WIFI.不需要Linux抓包!

Linux抓包协议

Linux抓包协议 实例:tcpdump -i any -s 0 -w aaaa.cap 简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析.它支 持针对网络层.协议.主机.网络或端口的过滤,并提供and.or.not等逻辑语句来帮助你去掉无用的信息. 实用命令实例 默认启动 tcpdump 普通情况下,直接启动tcpdu

linux抓包工具--tcpdump

linux抓取访问自己的数据包 命令执行:tcpdump -i eth0 -nnX port 21 -i后面跟的是坚挺哪一张网卡, nnX的意思是以ip和端口号的形式显示并且显示为16进制, port 21表示监听21号端口. 然后用ftp登陆这台机器之后就会有如下显示: 密码直接就出来了

Linux 抓包命令

可使用如下命令,在Linux系统上进行抓包命令 tcpdump -n -i eth0 tcp port 8080 and host 192.168.9.45 -w ./filename.cap 说明: eth0为要监控的网卡名字,可使用ifconfig查看: tcp 表示仅抓取tcp协议的包: port 8080 表示仅抓取8080端口的包: host 192.168.9.45 表示仅抓取此ip的包: -w ./filename.cap 表示将抓取结果写入文件,文件的名字即为filename.c

Linux抓包工具tcpdump详解

tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具.tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息.因此系统中存在网络分析工具主要不是对本机安全

[转] Linux抓包工具tcpdump详解

http://www.ha97.com/4550.html PS:tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具.tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行

Linux抓包工具:tcpdump

tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包.它通常被用作于网络故障分析工具以及安全工具. tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛.由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析.它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它. 本文中,我们将讨论 tcpdump 最常用的一些功能. 1.在 Linux 中安装 tcpdump tcpdump 支持多种 Linux 发