linux日常管理-抓包工具tcpdump和tshark

抓包工具：查看什么数据占用网卡，把带宽跑满了。

命令：tcpdump

选项：host 指定IP 

         port 指定端口

         -c 指定包数量

         -w 指定写入文件，不加显示的不是流量包而是流量走向

        -nn 作用是让第三列和第四列显示成IP+端口号的形式，不加 -nn 则显示主机称+服务名称

        -i 指定设备名称 

 

 

 

在当前终端下查看数据流

tcpdump -nn

 

不加选项 -nn

 

-nn的作用是让第三列和第四列显示成IP+端口号的形式

不加 -nn 则显示主机称+服务名称

 

 

 

可以指定抓包的数量

 

 

分别是时间 毫秒 IP 来源IP 目标IP 状态 数量 ...

主要看来源IP和目标IP

如果某端口到某端口的数据包很多，带宽跑满，说明可能被攻击了 

 

 

指定设备名称  -i      不加 -i 默认eth0 。 有两个网卡的话可以指定eth1

 

 

指定端口 port 22

 

 

指定协议类型

 

 

指定ip

 

 

把抓包的数据写入到指定文件中去 ,不是流向，包里的东西是文件/图片。而不是流向。

 

 

tcpdump -nn -c 10 > 2.cap  

cat 2.cap

这里面是包的流向。

 

想抓完整的包要指定大小选项 -s0 数字0

 

 

////////////////////////////////////////////////////////////////////////////////////////////////////////////

tshark -nn 和tcpdump -nn是一样的。

我们要使用的是

[root@wangshaojun ~]# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

 

 

 

时间 来源ip  目标的域名 行为 路径 

 

////////////////////////////////////////////////////////////////////////////////////////////

总结：tcpdump -nn -c  -w -i port host  tshark