El comando de captura de paquetes de Linux

tcpdump es una herramienta Sniffer, que en realidad es una herramienta de captura de paquetes en la red, y también puede analizar los paquetes capturados. El sistema general está instalado por defecto. Para las introducciones relacionadas y las instrucciones de instalación, consulte: Instalación y uso de Tcpdump. Descripción del comando Tcpdump: tcpdump adopta el modo de línea de comandos, su formato de comando es: tcpdump [-adeflnNOpqStvx] [-c cantidad] [-F nombre de archivo] [-i interfaz de red] [-r nombre de archivo] [-s snaplen] [ ,null,null,3],-T tipo] [-w nombre de archivo] [expresión] tcpdump opciones: -a convierte la dirección de red y la dirección de difusión en un nombre; -d proporciona el código de paquete correspondiente en un formato de conjunto que la gente puede entender; Dd proporciona el código que coincide con el paquete en el formato del bloque de lenguaje c; -ddd proporciona el código que coincide con el paquete en forma decimal; -e imprime la información del encabezado de la capa de enlace de datos en la línea de salida; -f La dirección de Internet externa se imprime como un número; -l hace que la salida estándar sea una línea de búfer; -n no convierte la dirección de red en un nombre; -t no imprime una marca de tiempo en cada línea de la salida; Información detallada, como ttl e información de tipo de servicio en el paquete ip; -vv muestra información detallada del mensaje; -c recibe el dedo Después de la cantidad de paquetes, tcpdump se detendrá; -F lee la expresión del archivo especificado, ignorando otras expresiones; -i especifica la interfaz de red para escuchar; -r lee el paquete del archivo especificado (estos paquetes) Generalmente generado por la opción -w; -w escribe directamente el paquete en el archivo, no lo analiza ni lo imprime; -T interpreta el paquete supervisado directamente como un tipo específico de mensaje. El tipo común es rpc (proceso remoto) Llamada) y snmp (Protocolo simple de administración de red;) - s Establezca el límite de tamaño de captura. El tamaño de captura predeterminado está limitado a 96 BYTE (incluidos los marcos Ethernet). Modifique el parámetro para: -s 0. 0 para ignorar el límite de tamaño del paquete, y tome la longitud real del paquete. Ejemplo: tcpdump -vv puerto tcp 5270 -c 100 -s 1500 -w /opt/sniffer.pack

El parámetro de comando para capturar paquetes guardados en tcpdump es -w xxx.cap catch eth1 package tcpdump - i eth1 -w /tmp/xxx.cap

Catch 192.168.1.123 paquete tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap

Catch 192.168.1.123 de 80 Paquete de puertos tcpdump -i eth1 host 192.168.1.123 y puerto 80 -w /tmp/xxx.cap

Catch 192.168.1.123 paquete icmp tcpdump -i eth1 host 192.168.1.123 e icmp -w /tmp /xxx.cap

Capture el puerto 192.168.1.123 y otros puertos que no sean 110 y 25 tcpdump -i eth1 host 192.168.1.123 y! puerto 80 y! puerto 25 y! puerto 110 -w /Tmp /xxx.cap

Catch vlan 1 package tcpdump -i eth1 puerto 80 y vlan 1 -w /tmp/xxx.cap

Catch pppoe contraseña tcpdump -i eth1 pppoes -w /tmp/xxx.cap

Dividir archivo por tamaño de 100m, abrir otro archivo de más de 100m-C 100m

Coger 10000 paquetes y salir de -c 10000

Backstage La captura de paquetes, la salida de la consola no afectarán: nohup tcpdump -i eth1 puerto 110 -w /tmp/xxx.cap &

El archivo se puede abrir directamente con etérea o Wireshark. Wireshark es la nueva versión de ethereal, el programa cambió su nombre, jaja.