Tcpdump es una herramienta de captura comúnmente utilizada en la línea de comandos de Linux. Registra los métodos habituales. El sistema de la máquina de prueba es ubuntu 12.04. Formato de comando tcpdump Los parámetros de tcpdump son numerosos, puede ver la descripción detallada de tcpdump a través de man tcpdump, aquí solo algunos de los parámetros comúnmente usados por el autor son: tcpdump [-i NIC] -nnAX 'expresión' parámetros son los siguientes: -i: Interfaz La tarjeta de red que está escuchando. -nn: indica que los hosts de origen y destino se muestran en modo ip y puerto en lugar del nombre y servicio del host. -A: muestra los paquetes de datos en modo ascii, útil para rastrear datos web. -X: El paquete se mostrará en formato hexadecimal y ascii. Expresiones: Existen muchos tipos de expresiones. Las más comunes son: host host, puerto puerto, src host para enviar host, dst host para recibir host. Se pueden combinar varias condiciones con y, o se pueden usar. Para más uso, puede ver man 7 pcap-filter. Probemos algunos comandos. Si no tiene permiso, puede cambiar al usuario root primero. Escucha de la tarjeta de red eth0 $ tcpdump -i eth0 Esta es la forma más fácil, pero no es muy útil, porque básicamente solo puedes ver la información del paquete de datos, no se puede ver claramente, puedes usar ctrl + c interrupt para salir, si hay demanda, Puede redirigir la salida a un archivo, que también es más fácil de ver. Escuchando los datos del protocolo especificado $ tcpdump -i eth0 -nn 'icmp' Estos son los datos utilizados para escuchar el protocolo icmp, que es el protocolo utilizado por el comando ping. De manera similar, si desea escuchar el protocolo tcp o udp, solo necesita modificar el icmp del ejemplo anterior. La máquina que escucha bajo ping, la salida es la siguiente: linux usa tcpdump para capturar el ejemplo del paquete El significado de cada dato en cada línea: Capture la hora del paquete IP y el host y el puerto del paquete> Reciba el host y el contenido del paquete del puerto Escuche el host especificado $ Tcpdump -i eth0 -nn 'host 192.168.1.231' En este caso, los paquetes recibidos por el host 192.168.1.231 y los paquetes enviados se rastrearán. $ tcpdump -i eth0 -nn 'src host 192.168.1.231' Esto solo lo enviará el host enviado por 192.168.1.231. $ tcpdump -i eth0 -nn 'dst host 192.168.1.231' Así que solo se rastrearán los paquetes recibidos por este host 192.168.1.231. Escuchando el puerto especificado $ tcpdump -i eth0 -nnA 'puerto 80' El ejemplo anterior se usa para escuchar todos los paquetes recibidos y enviados por el puerto 80 del host. Combinado con el parámetro -A, es muy útil en el desarrollo web. Escuche el host y el puerto especificados $ tcpdump -i eth0 -nnA 'puerto 80 y src host 192.168.1.231' Se pueden conectar varias condiciones con y, o. El ejemplo anterior muestra la escucha de paquetes enviados por el host 192.168.1.231 a través del puerto 80. Escuchando puertos que no sean un puerto $ tcpdump -i eth0 -nnA '! Port 22' Si necesita excluir un puerto o host, puede usar el símbolo "! ", el ejemplo anterior significa escuchar los paquetes que no son del puerto 22. Resumen: tcpdump tiene muchos parámetros de función, y las opciones de expresión son muchas, muy poderosas, pero no hay muchas funciones de uso común. Para más detalles, puedes consultar el manual del sistema por hombre. Además, al rastrear el paquete web, el contenido de la página web es muy extraño, ya que Apache ha abierto la compresión gzip y la compresión gzip se puede desactivar. En ubuntu 12.04, edite el archivo vim /etc/apache2/mods-enabled/deflate.load, comente la declaración que carga el módulo deflate_module y luego reinicie apache.