https://wiki.wireshark.org/SampleCaptures/ 下載各類網絡包的示例網絡

TCPDUMP——抓包

抓包 

•  默認之抓包68個字節  
•  tcpdump -i eth0 -s 0 -w file.pcap
•  Tcpdump -i eth0 port 22

讀取抓包文件

•  Tcpdump -r file.pcaptcp

 實際操做：

• 查看參數：tcpdump -h

 經常使用： tcpdump -i eth0 -s 0 -w a.acp
 -i eth0： 用eth0 接口進行抓包； -s 0：表示包有多大，抓取的數據多大； -w a.cap 表示存取到 a.cap 文件中編碼

接着Ping 8.8.8.8 而後中止抓包 能夠看到抓了12057個包spa

接着使用tcpdump -r a.acp 查看抓包的內容3d

-r 只是顯示摘要信息，若是想要看詳細信息能夠使用 tcpdump -A -r a.acp  使用Ascll顯示 blog

也能夠使用 tcpdump -X -r a.acp 使用十六進制顯示接口

若是想要抓某一端口的包能夠使用  Tcpdump -i eth0 port <端口號>ip

TCPDUMP——篩選

• tcpdump -n -r http.cap | wak'{print$3}'|sort -u
• tcpdump -n src host 145.254.160.237 -r http.cap
• tcpdump -n dst host 145.254.160.237 -r http.cap
• tcpdump -n port 53 -r http.cap
• tcpdump -n  -X  port 80 -r http.cap

 以 http.cap爲例 （實驗文件能夠在文章開頭的連接下載）get

首先使用tcpdump -n -r  http.cap  抓取全部的awk

而後抓取 http.cap 第三列的信息 tcpdump -n -r http.cap | awk '{print $3}'

裏面顯示的信息有重複的Ip 以及端口號，能夠添加 sort -u

其實 tcpdump 提供了顯示篩選功能
好比 tcpdump -n src host 145.254.160.237 -r http.cap  只顯示源IP：145.254.160.237

以及只顯示 目標IP爲 145.254.160.237

查看 53端口 tcpdump -n port 53 -r http.cap 
或者查看 udp 53 端口  tcpdump -n udp port 53 -r http.cap 

以十六進制的顯示 tcpdump -n -X port 53 -r http.cap

左邊爲十六進制  右邊爲 Ascll編碼
tips： tcpdump -n -X port 80 -r http.cap    小寫的 x 不顯示 Ascll編碼

TCPDUMP——高級篩選

• tcpdump -A -n 'tcp[13]=24' -r http.cap

 顯示tcp 13號字節，第14個字節換算成十進制爲24 的包 顯示出來

第一個包

第二個包

基於特性能夠篩選包中任何位置 任何數值的包