linux日常管理-抓包工具tcpdump和tshark

抓包工具:查看什么数据占用网卡,把带宽跑满了。

命令:tcpdump

选项:host 指定IP 

         port 指定端口

         -c 指定包数量

         -w 指定写入文件,不加显示的不是流量包而是流量走向

        -nn 作用是让第三列和第四列显示成IP+端口号的形式,不加 -nn 则显示主机称+服务名称

        -i 指定设备名称 

 

 

 

在当前终端下查看数据流

tcpdump -nn

 

不加选项 -nn

 

-nn的作用是让第三列和第四列显示成IP+端口号的形式

不加 -nn 则显示主机称+服务名称

 

 

 

可以指定抓包的数量

 

 

分别是时间 毫秒 IP 来源IP 目标IP 状态 数量 ...

主要看来源IP和目标IP

如果某端口到某端口的数据包很多,带宽跑满,说明可能被攻击了 

 

 

指定设备名称  -i      不加 -i 默认eth0 。 有两个网卡的话可以指定eth1

 

 

指定端口 port 22

 

 

指定协议类型

 

 

指定ip

 

 

把抓包的数据写入到指定文件中去 ,不是流向,包里的东西是文件/图片。而不是流向。

 

 

tcpdump -nn -c 10 > 2.cap  

cat 2.cap

这里面是包的流向。

 

想抓完整的包要指定大小选项 -s0 数字0

 

 

////////////////////////////////////////////////////////////////////////////////////////////////////////////

tshark -nn 和tcpdump -nn是一样的。

我们要使用的是

[root@wangshaojun ~]# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

 

 

 

时间 来源ip  目标的域名 行为 路径 

 

////////////////////////////////////////////////////////////////////////////////////////////

总结:tcpdump -nn -c  -w -i port host  tshark

 

posted @ 2015-11-21 23:05  dennyLinux  阅读(633)  评论(0编辑  收藏  举报