一、下载安装
(1) linux:
① 使用 yum install tcpdump -y 安装 **tcpdump **工具
② 编译安装
yum -y install gcc-c++
yum -y install flex
yum -y install bison
官网下载tcpdump和libpcap
官网地址:https://www.tcpdump.org/index.html#latest-releases
安装libpcap
tar -zxvf libpcap-1.10.1.tar.gz
cd libpcap-1.10.1
./configure
make
make install
安装tcpdump
tar -zxvf tcpdump-4.99.1.tar.gz
cd tcpdump-4.99.1
./configure
make
make install
(2) windows:
① 官方下载链接:https://www.wireshark.org/download.html
二、抓包命令
tcp抓包命令:tcpdump -i any -nn -vv "tcp port 10670" -w temp.cap
udp抓包命令:tcpdump -i any -nn -vv "udp port 52000" -w temp.cap
windows下抓包
打开Wireshark软件,选择当前使用的网卡,不确定可以全选
过滤特定IP地址:
显示源IP地址为 192.168.138.100 的数据包:ip.src == 192.168.138.100
显示目的IP地址为 192.168.138.200 的数据包:ip.dst == 192.168.138.200
显示源或目的IP地址为 192.168.138.100 的数据包:ip.addr == 192.168.138.100
过滤特定协议:
显示所有TCP数据包:tcp
显示所有UDP数据包:udp
显示所有ICMP数据包:icmp
过滤端口号:
显示源或目的端口号为 80 的数据包:tcp.port == 80 or udp.port == 80
组合多个条件:
显示源IP地址为 192.168.1.100 并且目的端口号为 80 的TCP数据包:ip.src == 192.168.1.100 and tcp.dstport == 80