tcpdump:网络嗅探器:可以将网卡设置为混杂模式(promisc),抓包工具,抓取网络报文,只能抓取与自己有通信时的主机
tcpdump(类似的工具有tshark,wireshark:需要单独安装yum安装,图形化工具为wireshark-gnome)
-i interface:指定网卡接口
-w file:抓取后保存到哪个文件中,默认输出在屏幕中
-nn:第一个n表示把ip地址显示为数字格式(默认是显示主机名),第二个n表示把协议显示为数字格式
-X:分别以包(16进制)和ASCII码2种方式显示头部
-A:仅以ASCII显示
-XX:显示链路层相关的首部信息
-v:表示详细信息
-vv:表示更详细的信息
-r file:读取文件进行分析
expression:
type(类型):
host:抓取某个主机的报文
net:抓取某个网络段的报文 例:net 192.168.
port:抓取固定端口的报文
portrange:抓取端口范围的报文 例:portrange 6000-6008
dir(流向):
src:源地址 例:src
dst:目标地址
src or dst:源或者目标都行
src and dst:必须同时满足源和目标
proto(协议):
ether(以太网)
wlan(无线)
ip
arp
tcp
udp
例如:tcpdump -i eth0 tcp dst port 80 -nn(抓取目标端口为80的所有数据)
tcpdump -i eth0 -nn (dst) host 172.16.100.6(抓取目标主机为172.16.100.6的通信数据)
组合条件:and, or, not
例如:探测ip为6与73主机的通信
tcpdump -i eth0 -nn host 172.16.100.6 and 172.16.200.73
例如:探测ip为6与73主机,或者6与77主机的通信
tcpdump -i eth0 -nn 172.16.100.6 and \(172.16.200.73 or 172.16.100.77\)