网络抓包工具tcpdump

时间:2022-10-15 17:57:27
###
# 监控系统状态
# 抓包工具tcpdump,一般主要看数据的流向,也要关注length长度,有时候会看到一些比较奇怪的数据包,默认很多都是tcp的,有时候会遇到一些udp的包,那么很有可能是被攻击了,有一种DDos攻击叫做udp flood 洪水攻击,这种攻击是很厉害的,如果遇到这种攻击,只能接入专业防攻击的设备或者服务了,
# yum -y install tcpdump 安装这个工具
###
###
# tcpdump -nn -i ens33 这里-nn 第一个n表示会把ip显示出来,如果不加-nn的话只会显示主机名,-i指定网卡名

网络抓包工具tcpdump


# tcpdump -nn -i ens33
# 05:06:18.070803 第一列表示时间
# IP 192.168.248.129.22 > 192.168.248.1.50241 第二列是ip,192.168.248.129是源ip,22是从哪个端口发出去的,192.168.248.1是目标ip,50241目标ip的端口 这两列主要关注
# Flags [P.], seq 1896273:1896337, ack 7696, win 361, length 64 这里是数据包的信息

网络抓包工具tcpdump


# tcpdump -nn -i ens33 port 22 指定port 端口
# tcpdump -nn -i ens33 not port 22 排除用not 指定不要port端口是22的包
# tcpdump -nn -i ens33 not port 22 and host 192.168.248.129 加一个条件使用and只要这个192.168.248.129ip的
# tcpdump -nn -i ens33 -c 100 这里-c 100指定数据包的数量为100个
# tcpdump -nn -i ens33 -c 100 -w /tmp/1.cap这里-w /tmp/1.cap 表示把数据包指定到文件中去
# file /tmp/1.cap 可以查看这个文件大概的信息,这个文件不能直接cat
# tcpdump -r /tmp/1.cap 使用 tcpdump -r 可以查看

网络抓包工具tcpdump


# tshark 工具
# tshark和tcpdumpl类似
# yum install -y wireshark 安装tshark命令
# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" 这条命令可以查看指定网卡80端口web的访问情况