tcpdump 是一个运行在命令行下的抓包工具,它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包;这个命令可以针对指定网卡、端口、协议进行抓包,可以结合wireshark对抓包的结果进行分析;
tcpdump 抓包 前提 先安装 前提 超管权限用户
抓包方式 两种:
1、抓代理======fiddler抓app
2、抓网络设备的 ===== wireshark、tcpdump
sudo apt-get install tcpdump (sudo:切换到超管,ubuntu debain deepin这三种系统用这个命令)
yum install tcpdump (centos系统用这个命令)
linux查看网络设备的命令:ifconfig
windows查看网络设备的命令:ipconfig
万能抓包命令(什么都抓):tcpdump -i eth0 -s0 -w dea.cap
tcpdump -i eth0 -i interface
eth0 网络设备名称
-s0 文件大小,0不限制文件大小
-w 写权限
dea.cap
文件名可以任意定义 文件后缀 .cap不能变,十六进制,速度更快
查看抓包的内容 2种方法:
1、 下载cap文件 到本地 用fiddler wireshark去查看
2、 strings **.cap > 自己命名的文本文件.txt/log strings把十六进制转换成文本查看 >1个尖括号的用法覆盖写入,把前面的输出写到后面的文件里,后面的文件如果不存在,就会创建后面那个文件; >>两个尖括号的用法追加写入
缺点:看不到汉字,使用strings命令转的时候是将十六进制转换到文本去,使用的是ascll编码,只有128个字符,不是utf-8,汉字布在这个128个字符内,所以看不到,但是下载到本地用iddler wireshark可以查看到汉字
tcpdump -i eth0 host 本机网卡上的信息
tcpdump -i eth0 src host 192.168.1.200 指定发送方
tcpdump -i eth0 dst host 192.168.1.100 目的地ip
tcpdump -i eth0 port 8080 抓端口(抓单个服务数据流,数据更精确,数据量更少)
原文:https://www.cnblogs.com/zmh-share/p/12395973.html