#CMD tcpdump (未完待续)
tcpdump -i en0 指定网卡 -A 已ASCII 形式打印. 如,向mysql服务端传输的sql语句就是以ASCII码形式进行传输。我们就可以使用-A参数查看传输的具体sql语句。 -w /tmp/tp.log 数据写入指定文件后,方便使用其他数据包分析软件进行分析。如 wireshark。 -s 200 默认读取的长度比较短,如果需要查看的信息被截断了。可以指定此参数。
增加过滤条件 第一种是关于类型的关键字,主要包括host,port,net。例如:
#tcpdump host 102.168.1.100 截获来自和发往主机102.168.1.100的所有报文数据。
#tcpdump net 192.168.1.0/24 截获来自和发送到网络地址为192.168.1.0/24的所有主机的报文数据,
#tcpdump port 23 截获所有从23号端口发出,和发往23号端口的报文数据。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明:
#tcpdump src host 102.168.1.100 截获来自主机 102.168.1.100的所有报文数据
#tcpdump dst net 192.168.1.0/24 截获发送到网络地址为192.168.1.0/24的所有主机的报文数据 。既可以是名字(存在/etc/networks中),也可以是网络号. 如果没有指明方向关键字,则缺省是src or dst关键字。
#tcpdump "dst host 192.168.1.100 and (port 80 or port 8080)" 截获所有发往主机192.168.1.100的80端口或者8080端口的报文数据。
tcp/udp