抓包工具

网络运维工具

1.0 ifconfig

用于显示或配置网络设备的命令

关闭、打开网卡
启用网卡
ifconfig eth0 up

禁用网卡
ifconfig eth0 down

修改ip、子网掩码
ifconfig eth0 10.82.16.195
ifconfig eth0 10.82.16.195 netmask 255.255.255.0

1.1 ping

Ping远程IP地址，检查本网或本机与外部的连接是否正常
ping www.baidu.com

测试网速(发送大包，查看返回信息的时间延时来判断网速是否良好。)
ping -n 30000 <设备IP>

1.2 netstat

-a 或 --all：显示所有选项，包括监听和已建立的连接。
-t 或 --tcp：仅显示TCP连接。
-u 或 --udp：仅显示UDP连接。
-n 或 --numeric：以数字形式显示地址和端口号，不进行名称解析。
-l 或 --listening：仅列出监听的服务状态。
-p 或 --programs：显示建立连接的程序的名称和PID。
-r 或 --route：显示路由表。
-e 或 --extend：显示扩展信息，如uid等。
-s 或 --statistics：按协议统计信息。
-c：每隔一个固定时间，执行该netstat命令

列出所有端口情况
netstat -at

只显示监听端口
netstat -lt

查看端口被占用
netstat -anp|grep 6601

列出网络建立连接情况，可以查看设备建立多少路连接，方便诊断设备的网络性能
netstat -an|grep EST

列出网络建立监听情况
netstat -an|grep LISTEN

1.3 route

路由信息与配置，当一个设备出现两个网卡的时候，即会有两个网关，数据通信时，就会相互干扰，比如发送网关1的数据可能会被发送到网关2.

查看核心路由信息
route -n

添加网关
route add default gw <网关>

删除网关
route del default gw <网关>

添加网段
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0

删除网段
route del -net 192.168.2.0 netmask 255.255.255.0 dev eth0

1.4 lsof

lsof（list open files）命令是一款非常有用的工具。它可以列出当前系统中所有打开的文件，并且还能显示与这些文件相关的进程信息。

1.1 查看某个特定进程打开的文件
lsof -p <进程ID>

1.2 列出某个用户打开的文件
lsof -u <用户名>

1.3 查看某个特定文件的相关信息
lsof </路径/文件名>

1.2 列出某个端口上的网络连接
lsof -i

列出网络连接,指定端口号
lsof -i:80

列出网络连接, 指定协议
lsof -i:tcp

列出网络连接，-s 选项可以过滤出特定状态的连接
lsof -i -s TCP:LISTEN

列出网络连接,指定主机或网络
lsof -i @192.168.1.101

组合使用多个选项：
lsof 支持组合使用多个选项来过滤输出。例如，查看用户 john 打开的所有 TCP 连接：
lsof -a -u user01 -i tcp

1.5 tcpdump 抓包工具

1、linux平台将网络中传输的数据包全部捕获过来的进行分析
2、支持网络、传输层协议等吸引捕获过滤
3、数据发送和接收的主机、网卡、端口等各种过滤捕获数据规则
4、提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息
5、结合wireshark工具分析捕获的报文

-i  : 选择要捕获的接口，通常是以太网卡或无线网卡，如果该系统上只有一个网络接口，则无需指定。
-n  ：单个 n 表示不解析域名，直接显示 IP。
-nn : 两个 n 表示不解析域名和端口。方便查看 IP 和端口号，而且在抓取大量数据时非常高效，因为域名解析会降低抓取速度。
-s0 : tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。
-v  : 使用 -v，-vv 和 -vvv 来显示更多的详细信息，通常会显示更多与特定协议相关的信息。
-A  ：表示使用 ASCII 字符串打印报文的全部数据，这样可以使读取更加简单，方便使用 grep 等工具解析输出内容。

截取, 指定网卡，指定ip收到的和发出的所有的数据包
tcpdump -i eth0 host 192.168.1.101

截取，源是192.168.1.101的数据包
tcpdump src 192.168.1.101

截取，目的是192.168.1.101的数据包
tcpdump dst 192.168.1.101

截取，主机指定端口接收或发出的包
tcpdump tcp  port 80  // 指定端口
tcpdump src  port 80  // 指定源
tcpdump dst  port 80  // 指定目的
tcpdump src  port 80 or port 443   // 指定多端口
tcpdump portrange 9000-9999   // 这个端口段包含的

抓取所有的网络包,保存到cap文件
tcpdump -w result.pcap

解析第一个网卡，不解析网口和端口，输出详细信息，指定端口80的数据包
tcpdump -i eth0 -nn -s0 -v port 80

抓取报文，已ASCII 字符串打印报文的全部数据
tcpdump -A -s0 port 80

posted @ 2018-12-09 20:25 osbreak 阅读(574) 评论(0) 编辑收藏举报

刷新页面返回顶部