抓包一张tcpdump小抄就够了

 

 

 

作者简介

李先生（Lemon），高级运维工程师（自称），SRE专家（目标），梦想在35岁买一辆保时捷。喜欢钻研底层技术，认为底层基础才是王道。一切新技术都离不开操作系统（CPU、内存、磁盘）、网络等。坚持输入输出，记录自己学习的点滴，在平凡中坚持前行，总有一天会遇见不一样的自己。公众号：运维汪（ID：Leeeee_Li）。

 

一、tcpdump Cheat Sheet介绍

tcpdump是一款数据包分析工具，我们抓包的时候经常会用到，但是他的可选项众多，光凭我们的记忆是很难的，况且我们不应该去记工具型的东西。大脑是用来思考的，不应该用来存储。CPU不应该用来做存储。因此，有了这样一张tcpdump Cheat Sheet（tcpdump小抄）的出现，当然这张图不是出自我，在网上找到的好东西，必须得分享出来，原文可点击这里，此文是我自己根据他的文章总结出来的。

 

二、包含的内容

1、安装命令
2、数据包捕获选项
3、逻辑操作符
4、显示/输出选项
5、使用的协议
6、用于过滤捕获协议的常用命令

 

三、资源下载

文中的图片以及PDF都可下载，无需关注，无需密码。

链接: https://pan.baidu.com/s/1Gd2HUbC_ZIL8C4N0ntpAZw

密码: 5dsb

 

四、常用命令 

 1、安装tcpdump

yum install tcpdump

2、列出本机所有的网卡接口

tcpdump -D

3、捕获特定网口的数据包

tcpdump -i eth0

4、捕获具体数量的数据包

tcpdump -c 5 -i eth0

5、捕获的数据包保存到指定的文件

tcpdump -w 0001.pcap -i eth0

6、捕获的数据包显示IP而不是域名

tcpdump -n -i eth0

7、捕获指定协议的数据包

tcpdump -i eth0 tcp

8、捕获特定端口的数据包

tcpdump -i eth0 port 22

9、捕获从指定IP过来的数据包

tcpdump -i eth0 src 192.168.0.2

10、捕获去往目的IP数据包

tcpdump -i eth0 dst 50.116.66.139

11、捕获HTTP请求的URL

tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

12、捕获HTTP的POST请求的密码

tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

13、以ASCII码的格式打印

tcpdump -A -i eth0

14、以ASCII码和十六进制打印

tcpdump -XX -i eth0

15、读取捕获的数据包文件

tcpdump -r 0001.pcap

 

 

五、学习交流

欢迎大家关注我的公众号，一起交流、学习。