标签：10.1 ip 抓取 tcp tcpdump eth0

tcpdump

http://blog.csdn.net/s_k_yliu/article/details/6665673/  

抓包和分析

tcpdump 和 tcptrace      tcmdump 和 tcptrace 提供了一种更细致的分析方法，先用 tcpdump 按要求捕获数据包把结果输出到某一文件，然后再用 tcptrace 分析其文件格式。这个工具组合可以提供一些难以用其他工具发现的信息：   

监听ip

查看IP数据 #tcpdump -i ppp0 host 183.16.149.252(抓取外网) #tcpdump host 192.168.0.110(抓取内网IP) #tcpdump -i eth0 port  2010或22端口等(抓取内网端口) #tcpdump -i eth0 net 192.168.0.0(抓取内网段) #tcpdump -i eth0 -p arp(抓取ARP协议，病毒) 如：10.1.1.11这个IP有问题 09:16:38.031323 arp who-has 10.1.167.2 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.3 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.4 tell 10.1.1.11 09:16:38.031323 arp who-has 10.1.167.5 tell 10.1.1.11   #iptraf(查看流量工具) #iftop(实时查看流量)  

tcpdump 与wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。 tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型 (2)-i eth1 : 只抓经过接口eth1的包 (3)-t : 不显示时间戳 (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包 (5)-c 100 : 只抓取100个数据包 (6)dst port ! 22 : 不抓取目标端口是22的数据包 (7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24 (8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析  

使用tcpdump抓取HTTP包

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。   https://www.jianshu.com/p/c46f8fc1dd1d tcpdump -i eth0 -A -s 0 'src host 113.65.28.93 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'   1.监听eth0网卡HTTP 80端口的request和response tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 2.监听eth0网卡HTTP 80端口的request(不包括response)，指定来源域名"example.com"，也可以指定IP"192.168.1.107" tcpdump -i eth0 -A -s 0 'src example.com and tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 3.监听本机发送至本机的HTTP 80端口的request和response tcpdump -i lo -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 4.监听eth0网卡HTTP 80端口的request和response，结果另存为cap文件 tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w ./dump.cap 注1：如果报错"tcpdump: Bluetooth link-layer type filtering not implemented"，是因为默认网卡不是ech0，需要用-i参数指定作者：lewzylu链接：https://www.jianshu.com/p/c46f8fc1dd1d来源：简书著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

标签：10.1,ip,抓取,tcp,tcpdump,eth0
来源： https://www.cnblogs.com/colin88/p/16279555.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。