滲透測試抓包工具 TcpDump

Tcpdump:

NO-GUI(沒有圖形界面)的抓包分析工具;

Linux、Unix 系統默認安裝

抓包:

默認只抓 68 字節

Tcpdump -i eth0 -s 0 -w file.pcap(-i後面選擇網卡,-s後面跟包的大小,如果是0表示全部抓取,-w把抓到數據包保存到文件)
Tcpdump -i eth0 port 22

讀取抓包文件:

Tcpdump -r file.pcap

TCPDUMP 篩選器:

Tcpdump -n -r http.cap | awk '{print $3}' | sort -u
(-n表示不進行解析,http.cap是提前保存好的抓包文件,使用awk篩選第三列的內容,sort -u表示去除重複項 )

Tcpdump -n src host 192.168.0.124 -r http.cap(篩選源地址爲該地址的包信息)

Tcpdump -n dst host 145.254.160.237 -r http.cap(篩選目的地址爲該地址的包信息)

Tcpdump -n port 53 -r http.cap(根據端口進行篩選)

Tcpdump -nX port 80 -r http.cap(根據端口進行篩選,-X顯示ASCII碼)

下方是 TCP 報文格式

Tcpdump -A -n 'tcp[13] = 24' -r http.cap(篩選出來13個字節換算出來是24的數據包)

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/V71MhA6ulbRFfcr6eMSA8Q