抓包工具:
tcpdump
#tcpdump [OPTION] [PROTOCOL] [DIRECTION] [HOST(S)] [VALUE] [LOGICAL OPERATIONS] [OTHER EXPRESSION]
[OPTION]
-i NETCARD|any 指定抓包的网卡,any表示所有
-n 不反向解析主机名
-nn 不反解主机名和端口号
-X 以hex和ascii的方式显示报文信息
-XX 和-X类似,同时显示以太网首部
-v -vv -vvv 显示详细信息
-s SNAPLEN 指定截取数据包的长度为SNAPLEN字节,0表示设置为默认的65535字节。
-w FILE 将相关信息写入文件
[PROTOCOL] 协议,不指定表示所有协议
ether 以太网帧
fddi 分布式光纤通道
ip ip协议
arp
rarp
decnet
lat
sca
moprc
mopdl
tcp
udp
[DIRECTION] 流向
src
dst
src and dst
src or dst 默认
[HOST(S)]
net 网段
port 端口
host 主机
portrange 端口范围
[VALUE]
[LOGICAL OPERATIONS]
and or && 且
or or || 或
not or ! 非
[OTHER EXPRESSION]
例如:
#tcpdump -i eno1677736 -X -nn -vv AND tcp port 110 监听网卡eno16777736上tcp协议的110端口,不反解主机名和端口号,显示报文信息,显示详细信息。
#tcpdump -i eno1677736 -X -nn -vv tcp port 110 and ip src 172.16.100.1 监听网卡eno16777736上tcp协议的110端口,来自172.16.100.1的报文,不反解主机名和端口号,显示报文信息,显示详细信息。
#tcpdump -i eno1677736 -X -s -nn -vv tcp port 995 and ip src 172.16.100.1 -w /root/prot995.info