tcpdump-netstat
tcpdump
底层基于libpcap,一个可移植的网络传输层C/C++库
tcpdump 不加任何参数,默认监听一个默认网卡(eth0网卡),抓取经过该端口的所有的数据包 ^C停止,会显示抓了多少个包
- c 10 限制只抓10个包
- w filename 输出到文件,tcpdump保存的数据包文件格式,是被大部分主流抓包软件所兼容的
- r filename 读取之前保存到文件的数据包
- D 显示系统当前的网卡列表
- i eth0 指定只抓取eth0网卡的流量
- v -vv 显示抓到的流量的详细信息,v越多越详细
- n 源地址和目的地址用ip显示,不反解为域名
tcpdump tcp/udp/icmp 指定抓取某种类型的流量
icmp 例如ping
tcpdump port 80 指定抓取某个端口的流量(80是http的流量)
tcpdump portrange 1-1024 抓取某个范围端口的流量
tcpdump src/dst port 80 指定源/目标端口为80的流量
tcpdump src/dst host hostname 只抓取源/目标地址的流量
tcpdump host www.baidu.com 指定抓取来自或去到某个host(可以是域名或IP)的流量
tcpdump greater 1000 只抓取大于1000bytes的流量
tcpdump less 10 只抓取小于10bytes的流量
- A 以ASCII码形式显示数据包的内容
- X 以16进制和ASCII码形式来显示数据包内容
支持与 或 非
tcpdump tcp and src [host] 192.168.1.1 and src port 1000 抓取源地址为192.168.1.1:1000的tcp包
tcpdump src 192.168.1.1 or src 192.168.1.2 抓取源地址为192.168.1.1或192.168.1.2的数据包
tcpdump not port 80 抓取非80端口的流量
netstat
- p port
- a all
- t tcp
- u udp
- l listenning
- n 不进行域名解析
- c connection status real-time