tcpdump工具

tcpdump是一种常见的数据包分析器，它允许用户显示在网络上传输或接收的TCP/IP和其他数据包。tcpdump适用于大多数类unix操作系统:Linux、Solaris、FreeBSD、DragonFly BSD、NetBSD、OpenBSD、Openwrt、macOS、HP-UX 11i和AIX。tcpdump利用libpcap库来捕获包。

tcpdump也可以在Windows上以名为WinDump的端口的形式使用;它使用的是WinPcap，即libpcap的移植版本。

如何使用tcpdump

要获得可用选项的概述，您可以运行以下命令来显示帮助菜单:

tcpdump -h

要开始指定要使用的网口和要分析其流量的主机:

tcpdump -i <interfacename> -v host <ipaddressofhost>

使用过滤器

你可以使用不同的过滤器来捕获特定的流量基于源和目标，例如，我们可以指定源和目标IP地址，以缩小我们的分析:

tcpdump -i eth0 -v dst ipaddress and src ipaddress

此外，你还可以用以下命令扫描整个子网的流量:

tcpdump -i eth0 -v net 192.168.0.1/254

你也可以分析特定协议的数据，使用你想要分析的通信协议的名称:

tcpdump -i eth0 -v tcp and net ipaddress with range

导出捕获的流量请求

tcpdump的一个重要特性是能够将流量直接导出或捕获到.pcap文件中，以供以后分析或在Wireshark中使用。你可以很容易做到这一点，运行以下命令:

tcpdump -w /root/Desktop/name.pcap -i eth0 -v ‘src port 443 and dst ipaddress’