TCPdump抓包工具使用

TCPdump抓包工具使用

主流抓包工具：

　　Windows+MACOS：Fiddler、Charles、Wireshark、BurpSuite、F12

　　Linux平台：TCPdump

 

TCPdump介绍：

　　全称：dump the traffic on a network；是一个运行在Linux平台上可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具。

　　TCPdump支持的功能：

　　　　1、在Linux平台将网络中传输的数据包全部捕获过来进行分析

　　　　2、支持网络层、传输层等协议捕获过滤

　　　　3、数据发送和接收的主机、网卡和端口等各种过滤捕获数据规则

　　　　4、提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息

　　　　5、结合Wireshark工具分析捕获的报文。

　　灵活使用TCPdump必须具备的两个基础知识：

　　　　第一、Linux操作系统

　　　　　　   因为这是一款基于Linux系统下命令行的抓包工具，所以需要对Linux的基本操作和常用命令有一定的基础

　　　　第二、网络知识

　　　　　　   因为TCPdump是将网络中传送的数据包完整的捕获下来然后进行分析，所以想要分析捕获到的报文，需要了解网络模型及相关网络协议等。

 

TCPdump抓包规则：

　　1、基于地址

　　　　抓取源目IP地址中包含1.1.1.1的所有报文。

tcpdump host 1.1.1.1

　　2、基于源目地址

　　　　抓取源IP地址是1.1.1.1的报文

?

1	tcpdump src 1.1.1.1

　　　　抓取目的IP地址是1.1.1.1的报文

?

1	tcpdump dst 1.1.1.1

　　3、基于网段

　　　　抓取源网段为1.1.1.0/24的所有报文

?

1	tcpdump src net 1.1.1.0/24

　　　　抓取目的网段为1.1.1.0/24的所有报文

tcpdump dst net 1.1.1.0/24

　　4、