https://wiki.wireshark.org/SampleCaptures/ 下載各類網絡包的示例網絡
Tcpdump -r file.pcaptcp
經常使用: tcpdump -i eth0 -s 0 -w a.acp
-i eth0: 用eth0 接口進行抓包; -s 0:表示包有多大,抓取的數據多大; -w a.cap 表示存取到 a.cap 文件中編碼
接着Ping 8.8.8.8 而後中止抓包 能夠看到抓了12057個包spa
接着使用tcpdump -r a.acp 查看抓包的內容3d
-r 只是顯示摘要信息,若是想要看詳細信息能夠使用 tcpdump -A -r a.acp 使用Ascll顯示 blog
也能夠使用 tcpdump -X -r a.acp 使用十六進制顯示接口
若是想要抓某一端口的包能夠使用 Tcpdump -i eth0 port <端口號>ip
以 http.cap爲例 (實驗文件能夠在文章開頭的連接下載)get
首先使用tcpdump -n -r http.cap 抓取全部的awk
而後抓取 http.cap 第三列的信息 tcpdump -n -r http.cap | awk '{print $3}'
裏面顯示的信息有重複的Ip 以及端口號,能夠添加 sort -u
其實 tcpdump 提供了顯示篩選功能
好比 tcpdump -n src host 145.254.160.237 -r http.cap 只顯示源IP:145.254.160.237
以及只顯示 目標IP爲 145.254.160.237
查看 53端口 tcpdump -n port 53 -r http.cap
或者查看 udp 53 端口 tcpdump -n udp port 53 -r http.cap
以十六進制的顯示 tcpdump -n -X port 53 -r http.cap
左邊爲十六進制 右邊爲 Ascll編碼
tips: tcpdump -n -X port 80 -r http.cap 小寫的 x 不顯示 Ascll編碼
顯示tcp 13號字節,第14個字節換算成十進制爲24 的包 顯示出來
第一個包
第二個包
基於特性能夠篩選包中任何位置 任何數值的包