完過pcap後,再來看tcpdump就覺得蠻直覺的!!
當然它不只可以dump TCP封包而已,等同是libpcap的實作軟體啦~
是個功能強大的軟體,底下簡介其指令操作:
#tcpdump -i eth0 'port 22 and src host 192.168.1.101' -nn
dump 出來 '' eth0 介面,port是22且來源 IP 是192.168.1.101的封包''
-nn:直接以 IP 及 port number 顯示,而非主機名與服務名稱。
-i:指定監聽的Interface
-c:監聽的封包數
-q:僅列出較為簡短的封包資訊
-t:不要顯示timestamp
-X: 列出16進位的封包內容,且把ASCII內容印出來
邏輯符號用 and 或 && 都可以
|
host 192.168.0.254 |
來源或目的 IP 是 192.168.0.254 |
|
src host 192.168.0.254 |
來源 IP 是 192.168.0.254 |
|
dst host 192.168.0.254 |
目的 IP 是 192.168.0.254 |
|
ether host aa:bb:cc:dd:ee:ff |
來源或目的 mac address 是 aa:bb:cc:dd:ee:ff |
|
ether src aa:bb:cc:dd:ee:ff |
來源 mac address 是 aa:bb:cc:dd:ee:ff |
|
ether dst aa:bb:cc:dd:ee:ff |
目的 mac address 是 aa:bb:cc:dd:ee:ff |
|
net 192.168.0.0 mask 255.255.255.0 |
來源或目的 IP 在 192.168.0.X 可加上 src 或 dst 做進一步限制 |
|
net 192.168.0.0/24 |
同上 |
|
tcp/udp/icmp |
封包內有 tcp/udp/icmp 的資料 |
|
port domain |
來源或目的 port 為 domain (53) 可加上 src,dst 或 tcp,udp 做進一步限制 |
|
port 53 |
同上 |
|
tcp src port smtp |
來源 port 為 TCP/25 |
請先 登入 以發表留言。