抓包工具
- WireShark
- 工具栏
- 过滤器
- 时间格式
- 报文层
- 报文标识
- tcpdump
- 常规选项
- 文件选项
- 时间选项
- 详细分析选项
WireShark
工具栏
过滤器
时间格式
报文层
报文标识
tcpdump
常规选项
- -D 列举所有网卡设备如:tcpdump -D
- -i 选择网卡设备, 不指定-i则表示抓取的是默认网卡设备
- -c 抓取多少条报文
- –time-stamp-precision 指定捕获时的时间精度,默认毫秒 micro,可选纳秒 nano
- -s 指定每条报文的最大字节数,默认 262144 字节
文件选项
- -w 输出结果至文件(可被Wireshark读取分析)
tcpdump -c 2 -w a #表示抓取2个报文放入a文件- -C 限制输入文件的大小,超出后以后缀加 1 等数字的形式递增。
注意单位是 1,000,000 字节(近似1M)
# 表示1M以后换一个文件写,最多写三个文件。
tcpdump -C 1 -W 3 -w abc- -W 指定输出文件的最大数量,到达后会重新覆写第 1 个文件
- -G 指定每隔N秒就重新输出至新文件,注意-w 参数应基于strftime 参数指定文件名
# 表示每隔3s就生成一个文件,文件名为def-分钟-秒
tcpdump -G 3 -w def%M-%S- -r 读取一个抓包文件
- -V 将待读取的多个文件名写入一个文件中,通过读取该文件同时读取多个文件
如:
vim c
a
b使用tcpdump -V c就可以一起读取c中的a和b两个包。
时间选项
• -t 不显示时间戳
• -tt 自 1970年 1 月 1 日 0 点至今的秒数
• -ttt 显示邻近两行报文间经过的秒数
• -tttt 带日期的完整时间
• -ttttt 自第一个抓取的报文起经历的秒数
详细分析选项
• -e 显示数据链路层头部
比如读取一个报文时,指定显示数据链路层头部
tcpdump -r a -e• -q 不显示传输层信息
• -v 显示网络层头部更多的信息,如 TTL、id 等
• -n 显示 IP 地址、数字端口代替 hostname 等
• -S TCP 信息以绝对序列号替代相对序列号
• -A 以 ASCII 方式显示报文内容,适用 HTTP 分析
• -x 以 16 进制方式显示报文内容,不显示数据链路层
• -xx 以 16 进制方式显示报文内容,显示数据链路层
• -X 同时以 16 进制及 ACII 方式显示报文内容,不显示数据链路层
• -XX 同时以 16 进制及 ACII 方式显示报文内容,显示数据链路层
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
