|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
安装和登录命令:login、shutdown、halt、reboot、mount、umount、chsh
tcpdump是linux命令行下经常使用的的一个抓包工具,纪录一下平常经常使用的体例,测试呆板体系是ubuntu12.04。
tcpdump的命令格局
tcpdump的参数浩瀚,经由过程mantcpdump能够检察tcpdump的具体申明,这边只列一些笔者本人经常使用的参数:
tcpdump[-i网卡]-nnAX表达式
各参数申明以下:
-i:interface监听的网卡。
-nn:暗示以ip和port的体例显现来历主机和目标主机,而不是用主机名和服务。
-A:以ascii的体例显现数据包,抓取web数据时很有效。
-X:数据包将会以16进制和ascii的体例显现。
表达式:表达式有良多种,罕见的有:host主机;port端口;srchost发包主机;dsthost收包主机。多个前提能够用and、or组合,取反可使用!,更多的利用能够检察man7pcap-filter。
上面举行一些命令测试,假如没有权限,能够先切换成root用户。
监听网卡eth0
$tcpdump-ieth0
这个体例最复杂了,可是用途未几,由于基础上只能看到数据包的信息刷屏,压根看不清,可使用ctrl+c中止加入,假如真有需求,能够将输入内容重定向到一个文件,如许也更便利检察。
监听指定协定的数据
$tcpdump-ieth0-nnicmp
这个是用来监听icmp协定的数据,就是ping命令利用的协定。相似的,假如要监听tcp大概是udp协定,只必要修正上例的icmp就能够了。ping下监听的呆板,输入以下:
linux利用tcpdump抓包示例
每行的各个数据暗示的寄义:
抓到包的工夫IP发包的主机和端口>吸收的主机和端口数据包内容
监听指定的主机
$tcpdump-ieth0-nnhost192.168.1.231
如许的话,192.168.1.231这台主机吸收到的包和发送的包城市被抓取。
$tcpdump-ieth0-nnsrchost192.168.1.231
如许只要192.168.1.231这台主机发送的包才会被抓取。
$tcpdump-ieth0-nndsthost192.168.1.231
如许只要192.168.1.231这台主机吸收到的包才会被抓取。
监听指定端口
$tcpdump-ieth0-nnAport80
上例是用来监听主机的80端口收到和发送的一切数据包,分离-A参数,在web开辟中,真长短常有效。
监听指定主机和端口
$tcpdump-ieth0-nnAport80andsrchost192.168.1.231
多个前提能够用and,or毗连。上例暗示监听192.168.1.231主机经由过程80端口发送的数据包。
监听除某个端口外的别的端口
$tcpdump-ieth0-nnA!port22
假如必要扫除某个端口大概主机,可使用“!”标记,上例暗示监听非22端口的数据包。
小结:
tcpdump这个功效参数良多,表达式的选项也十分多,十分壮大,不外经常使用的功效的确未几。概况能够经由过程man检察体系手册。
别的在抓取web包的时分,发送网页内容都是很奇异的字符,发明是apache开启了gzip紧缩的原因,封闭失落gzip紧缩就能够了。在ubuntu12.04下,编纂vim/etc/apache2/mods-enabled/deflate.load文件,将加载模块deflate_module的语句正文失落,然后重启apache就OK了。
</p>
Linux的常用命令find,察看man文档,初学者一定会觉得太复杂而不原意用,但是你一旦学会就爱不释手。 |
|