Linux命令列下抓包工具tcpdump的使用

2019-12-01 09:37:10

　　我們使用Linux伺服器，有些時候需要抓取其中的封包進行分析攻擊的型別以及特徵，這樣就可以根據特徵在防火牆上面進行攔截防護了，在Linux的命令列裡邊我們需要借助tcpdump軟體進行抓包，下面小編與大家分享一下tcpdump的使用，希望對大家有所幫助，謝謝。

預設系統裡邊沒有安裝有tcpdump的，無法直接使用

這裡我們可以使用yum來直接安裝它

yum install -y tcpdump

如果忘記了這個軟體的用法，我們可以使用 tcpdump --help 來檢視一下使用方法

一般我們的伺服器裡邊只有一個網絡卡，使用tcpdump可以直接抓取封包，但是這樣檢視太麻煩了，所以都會新增引數來進行獲取的。

例如我擷取本機（192.168.31.147）和主機114.114.114.114之間的資料

tcpdump -n -i eth0 host 192.168.31.147 and 114.114.114.114

還有擷取全部進入伺服器的資料可以使用以下的格式

tcpdump -n -i eth0 dst 192.168.31.147

或者伺服器有多個IP 可以使用引數

tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157

我們抓取全部進入伺服器的TCP封包使用以下的格式，大家可以參考下

tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp

從本機出去的封包

tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157

tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157 and port ! 22 and tcp

或者可以條件可以是or 和 and 配合使用即可篩選出更好的結果。