本来想安装wireshark

yum install wireshark  命令行下使用，包含抓包的基本功能

yum install wireshark-gnome  提供wireshark（UI)工具，依赖wireshark RPM

root@localhost: wireshark 
wireshark: symbol lookup error: wireshark: undefined symbol: gtk_combo_box_text_new_with_entry
不能启动图形界面，所以采用linux下流量监控及抓包工具tcpdump

安装：yum install tcpdump

截获某IP的主机的网络数据包：

tcpdump host 192.168.0.120

TCP协议要建立连接要经过3次“握手”，截取的数据包也是从3次握手开始，可以看到前三个包的状态（Flags）分别是：

[S]、[S.]、[.]

首先是客户端向服务端发送一个10位的序号给服务端；服务端收到后把它+1再返回回去；客户端检查返回来的序号是对的，就返回给服务端一个1。根据上面的描述，知道这三个包满足：第一个包的seq+1=第二个包的ack；第三个包的ack=1

注意：开始发送时，发送方是按三次握手完成时定下的序列号和ack来进行通信的，客户端一直在发，客户端的seq不断的按发送字节数在累加，而服务器是应答端，seq始终不变。同理若客户端作为应答端的话，它的seq也是不变的

TCP协议要断开连接要经过4次“挥手”，上面数据包的最后3条就是挥手的过程。细心的朋友会发现前面说的4次挥手，却只有3个包，这不是笔误。

最后三个包的状态分别是：

[F.]、[F.]、[.]

ACK延迟发送机制，如果系统禁用了延迟发送，就会看到4个包了

cron可以定时执行抓包的时间

抓包命令：

tcpdump -c 100000 -w /home/kang/Desktop/test.txt -n

注释：抓10万个包，存在test.txt文件里，-n的意思是不对原地址和目的地址进行DNS查询

读文件命令：

tcpdump -r /home/kang/Desktop/test.txt -X -vv

注释：-r是读文件，-X是以ASCII码显示内容。-VV是以详细的报文信息显示

-x是以十六进制打印，-X是以十六进制和ASCII同时打印,都不包含数据链路头部，-xx -XX 包含数据链路层的头部，其余的一样。

总共打印的数据大小不会超过整个数据包的大小与snaplen中的最小值，如果高层协议数据没有snaplen那么长，则Ethernet层的填充数据也会被打

详细参数参考这里

查看txt编码：:set fileencodin

转编码：iconv -f GBK -t UTF-8 file1 -o file2
iconv -f gbk -t utf8 file1 .txt > file2.txt

打印结果：部分是解析的结果，部分是十六进制，显示的比较乱，转换格式也没有用

原因：tcpdump对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的，所以通常的解决办法是显示用带-w的tcpdump保存到i文件中，再使用wireshark进行解码分析，并且定义过滤规则，以避免捕获的数据包铺满整个硬盘。

tcpdump为了方便wireshark工具认识，保存的文件名最好是xx.pcap后缀。例如：

tcpdump -nn -s 0 host 192.168.0.120 and port -80 -w wireshark.pcap

-s 设置捕获数据包的长度，抓取数据包时原来默认长度是68字节，加上-S 0后可以抓到完整的数据包

使用tcpdump只抓取http包：

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745为“GET”前两个字母“GE”，0x4854为“HTTP”前两个字母“HT”

101.227.172.51.80
115.25.210.10.80
61.135.132.59.80
222.23.55.208.80
61.135.132.59
220.181.11.98
ip/dns解析：http://dns.aizhan.com/，查询到DNS解析的URL和地址

tcpdump抓取具体某个网页的数据包：

tcpdump -s 0 tcp port 80 -w sohu1.cap

在打开firefox之后，输入www.sohu.com。先别运行，先运行以上命令，再刷新页面（之前做过测试，firefox没有输入任何命令时，抓取的数据包为0）

再用wireshark——open打开，并用statistic来统计，参考一站式学习wireshark：http的统计

　　如果单独是tcpdump,默认情况下，tcpdump会选择第一块网卡，也就是eth0，进行抓包

　　tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，开启混杂模式的命令是：ifconfig eth0 promisc, eth0是你要打开混杂模式的网卡

过滤器（BPF语言）的使用

tcpdump tcp -i eth0  -t -s 0  and  port 8080 -w ./bb.cap

tcpdump host 192.168.0.148 and tcp port 22

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

详情可参考tcpdump详细参数

Tcpdump安装使用的更多相关文章

1. tcpdump安装配置及抓包分析

   http://blog.csdn.net/e421083458/article/details/23963189 cpdump安装配置及抓包分析 预装软件:[plain] view plain cop ...

2. tcpdump安装与参数详解

   Centos7安装Tcpdump 对于大部分的Linux操作系统,已经默认安装了tcpdump,可以通过以下命令查看: [root@localhost local]# tcpdump --versio ...

3. Centos6&period;5安装Nmap、tcpdump、mysql、tomcat、靶场WAVSEP

   nmap安装 输入命令如下: yum install nmap 安装完成后,输入nmap -h看是否安装成功. 安装tcpdump 安装tcpdump必须的库: yum install flex yu ...

4. Android通过tcpdump抓包&lpar;wifi&comma; 2g&comma; 3g都可以&rpar;

   http://blog.csdn.net/deng529828/article/details/20646197 1. 手机要有root权限 2. 下载tcpdump   http://www.str ...

5. Android利用tcpdump和wireshark抓取网络数据包

   Android利用tcpdump和wireshark抓取网络数据包 主要介绍如何利用tcpdump抓取andorid手机上网络数据请求,利用Wireshark可以清晰的查看到网络请求的各个过程包括三次 ...

6. Tcpdump一些常用指令

   1.tcpdump安装:yum install tcpdump 2.关键字介绍 类型关键字: 指定主机 host 192.168.1.111 指定网络地址 net 202.0.0.0 指定端口 por ...

7. 利用tcpdump抓取网络包

   1.下载并安装tcpdump 下载地址:tcpdump 安装tcpdump,连接adb adb push tcpdump /data/local/tcpdump adb shell chmod 675 ...

8. 使用Linux的tcpdump命令结合Windows的wireshark抓包和分析

   tcpdump简介 tcpdump是Linux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包.在Linux系统中由于tcpdump命令的简单和强大,我们一般直接使用tcpdump命 ...

9. P4语言环境安装（一）前端编译器p4c、后端编译器p4c-bm2-ss

   这个P4安装环境是在2020-2-8安装的,安装环境卡了我好几天,把遇到的问题记录下来,有需要的同学可以参考一下,要是说错了或者有问题的话,评论或mail:guidoahead@163.com联系我都 ...

随机推荐

1. 网站建设中帝国cms如何循环调用栏目下级分类

   类似的形式,调用下级分类 ?php $bclassid=[!--self.classid--]; //选择当前栏目的id,如果调用指定栏目下的多级分类,则填写栏目id //取得本栏目下的子栏目 ? [ ...

2. 李洪强漫谈iOS开发&lbrack;C语言-050&rsqb;-doWhile统计用户输入字符

3. Android Volley完全解析

   1. Volley简介 我们平时在开发Android应用的时候不可避免地都需要用到网络技术,而多数情况下应用程序都会使用HTTP协议来发送和接收网络数据.Android系统中主要提供了两种方式来进行H ...

4. C语言实现单向链表及其各种排序（含快排，选择，插入，冒泡）

   #include<stdio.h> #include<malloc.h> #define LEN sizeof(struct Student) struct Student / ...

5. 【转】Java HashMap 源码解析（好文章）

   ­ .fluid-width-video-wrapper { width: 100%; position: relative; padding: 0; } .fluid-width-video-wra ...

6. HW2&period;24

   import java.util.Scanner; public class Solution { public static void main(String[] args) { Scanner i ...

7. &lowbar;&lowbar;new&lowbar;&lowbar;、&lowbar;&lowbar;init&lowbar;&lowbar;、&lowbar;&lowbar;call&lowbar;&lowbar;三个特殊方法

   用双下划线包围的特殊方法在Python中又被成为魔术方法,类似于C++等语言中的构造函数,这里我们就来详解Python中的__new__.__init__.__call__三个特殊方法: 1.__ne ...

8. &lbrack;知识梳理&rsqb;课本3&amp&semi;9&period;1

   函数:关键词:参数.返回值.函数返回类型.函数体. 函数按照返回类型,可以分为有参函数和无参函数. 函数根据是否有返回值,可以分为返回值函数和非返回值函数.     函数的定义:函数的定义可以放在任意 ...

9. &dollar;Django Rest Framework-序列化组件

   1 序列化组件 e=serializers.SerializerMethodField()   # 方法名:叫get_字段名, 参数,返回字典  def get_e(self,obj): #obj为b ...

10. C&plus;&plus; 函数模板重载

    函数模板可以像普通函数那样重载. C++ 编译器会从不同的候选中匹配一个并进行调用. 即使不涉及到模板,这种匹配的规则也很复杂,现在还有加上模板一起匹配. 先来个小例子: #include <i ...