在linux系统中,自带网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。
命令:tcpdump - dump traffic on a network
1 不指定任何参数
tcpdump
2 监听特定网卡
tcpdump -i eth0
例子:监听本机跟主机192.168.113.251
之间往来的通信包。
备注:出、入的包都会被监听。
tcpdump host 192.168.113.251
特定来源
tcpdump src host hostname
特定目标地址
tcpdump dst host hostname
如果不指定src
跟dst
,那么来源 或者目标 是hostname的通信都会被监听
下图为监听源为192.168.113.251的报文,可以看到有SNMP的消息。
tcpdump port 3000
服务器上不同服务分别用了TCP、UDP作为传输层,假如只想监听TCP的数据包
tcpdump tcp
监听来自主机192.168.113.251
在端口22
上的TCP数据包
tcpdump tcp port 22 and src host 192.168.113.251
192.168.113.251
除了和192.168.113.252
之外的主机之间的通信
tcpdump tcp -i eth0 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.113.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth0 : 只抓经过接口eth0的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.113.0/24 : 数据包的源网络地址为192.168.113.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
将其下载到电脑中,可用wireshark软件进行分析。
为了分析在iMC平台上服务器与被管理设备的SNMP交互过程,命令如下:
tcpdump -i eth0 -s
0 -c
100 host
192.168.113.251 -w ./myh1.cap
用wireshark软件打开进行分析
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作