tcpdump:网络抓包与分析的利器
什么是tcpdump?
tcpdump的主要功能
-
数据包捕获:捕获通过网络接口传输的所有数据包。 -
协议解析:支持多种网络协议的解析,包括TCP、UDP、ICMP等。 -
过滤功能:强大的过滤功能,只捕获感兴趣的数据包。 -
实时显示:实时显示捕获的数据包信息。 -
保存与分析:将捕获的数据包保存为文件,供后续分析使用。
安装tcpdump
在Debian/Ubuntu上安装
sudo apt update
sudo apt install tcpdump -y
在CentOS/RHEL上安装
sudo yum install tcpdump -y
在macOS上安装
brew install tcpdump
使用tcpdump进行网络抓包
基本使用
捕获所有数据包
sudo tcpdump
指定网络接口
-i
选项指定捕获数据包的网络接口,例如:sudo tcpdump -i eth0
过滤数据包
基于协议过滤
sudo tcpdump tcp
sudo tcpdump udp
sudo tcpdump icmp
基于端口过滤
sudo tcpdump port 80
sudo tcpdump src port 443
基于IP地址过滤
sudo tcpdump src host 192.168.1.1
sudo tcpdump dst host 192.168.1.2
数据包显示格式
简单显示
sudo tcpdump -n
完整显示
-v
、-vv
或-vvv
选项显示更详细的信息:sudo tcpdump -vv
十六进制显示
-X
选项以十六进制和ASCII格式显示数据包内容:sudo tcpdump -X
保存与分析
保存数据包到文件
-w
选项将捕获的数据包保存到文件:sudo tcpdump -w capture.pcap
从文件读取数据包
-r
选项从文件读取数据包进行分析:sudo tcpdump -r capture.pcap
高级用法
捕获特定字节数的数据包
-s
选项指定捕获的数据包的字节数:sudo tcpdump -s 64
限制捕获的数据包数
-c
选项限制捕获的数据包数量:sudo tcpdump -c 10
数据包环绕捕获
-C
选项指定数据包文件的最大大小,达到后创建新文件:sudo tcpdump -w capture.pcap -C 10
实战案例
案例 1:捕获HTTP流量
sudo tcpdump -i eth0 port 80 -w http_capture.pcap
案例 2:分析DNS查询
sudo tcpdump -i eth0 port 53 -vv
案例 3:捕获特定主机的流量
sudo tcpdump -i eth0 host 192.168.1.5 -w host_capture.pcap
结语
原文始发于微信公众号(黑客联盟l):揭秘最为知名的黑客工具之一:tcpdump(网络抓包与分析的利器)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论