抓包工具:
tcpdump
#tcpdump [OPTION] [PROTOCOL] [DIRECTION] [HOST(S)] [VALUE] [LOGICAL OPERATIONS] [OTHER EXPRESSION]
[OPTION]
-i NETCARD|any 指定抓包的網卡,any表示所有
-n 不反向解析主機名
-nn 不反解主機名和端口號
-X 以hex和ascii的方式顯示報文信息
-XX 和-X類似,同時顯示以太網首部
-v -vv -vvv 顯示詳細信息
-s SNAPLEN 指定截取數據包的長度爲SNAPLEN字節,0表示設置爲默認的65535字節。
-w FILE 將相關信息寫入文件
[PROTOCOL] 協議,不指定表示所有協議
ether 以太網幀
fddi 分佈式光纖通道
ip ip協議
arp
rarp
decnet
lat
sca
moprc
mopdl
tcp
udp
[DIRECTION] 流向
src
dst
src and dst
src or dst 默認
[HOST(S)]
net 網段
port 端口
host 主機
portrange 端口範圍
[VALUE]
[LOGICAL OPERATIONS]
and or && 且
or or || 或
not or ! 非
[OTHER EXPRESSION]
例如:
#tcpdump -i eno1677736 -X -nn -vv AND tcp port 110 監聽網卡eno16777736上tcp協議的110端口,不反解主機名和端口號,顯示報文信息,顯示詳細信息。
#tcpdump -i eno1677736 -X -nn -vv tcp port 110 and ip src 172.16.100.1 監聽網卡eno16777736上tcp協議的110端口,來自172.16.100.1的報文,不反解主機名和端口號,顯示報文信息,顯示詳細信息。
#tcpdump -i eno1677736 -X -s -nn -vv tcp port 995 and ip src 172.16.100.1 -w /root/prot995.info