Linux下的抓包工具使用介绍
应用层
传输层
网络层
数据链路层
物理层
1)tcpdump(传输/网络层)
tcpdump -i eth0
tcpdump -i eth0 -vnn
-v:显示包含有TTL,TOS值等等更详细的信息
-n:不要做IP解析为主机名
-nn:不做名字解析和端口解析
更有针对性的抓包:
针对IP,网段,端口,协议
tcpdump -i eth0 -vnn host 192.168.0.154 --主机地址里边只要包含地址有:192.168.0.154
tcpdump -i eth0 -vnn net 192.168.0.0/24 --抓取一个网段数据包
tcpdump -i eth0 -vnn port 22
tcpdump -i eth0 -vnn udp
tcpdump -i eth0 -vnn icmp
tcpdump -i eth0 -vnn arp
tcpdump -i eth0 -vnn iptcpdump -i eth0 -vnn src host 192.168.0.154
tcpdump -i eth0 -vnn dst host 192.168.0.154
tcpdump -i eth0 -vnn src port 22
tcpdump -i eth0 -vnn src host 192.168.0.253 and dst port 22tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22
tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22
2)wireshark
wireshark(windows sniffer)
抓取网络数据包并进行逐层分解的协议分析软件
yum -y install wireshark-gnome wireshark
抓捉包操作:
1、在图形界面下执行wireshark &
2、指定抓包的网卡
3、执行数据包的抓取/或者指定过滤规则抓包
4、查看抓包的信息
3)iptraf
IPTraf 是一个基于控制台的网络监视工具,主要用于收集 TCP 连接包和字节计数、接口统计和活动指示、TCP/UDP 交通分析、以及 LAN 站点包和字节计数之类的数据。
IPTraf 的功能包括:
1.一个显示 TCP 标志信息、包和字节计数、ICMP 细节、OSPF 包类型、以及超大 IP包警告的 IP 通信监视器
2.显示 IP、TCP、UDP、ICMP、非 IP 及其它 IP 包计数,IP 查验值错误,界面接口活动及包大小计数的接口统计
3.一个为公用 TCP 和 UDP 程序端口显示进入和出去的包计数的 TCP 和 UDP 服务监视器
4.一个发现活跃主机并显示它们的活动统计的 LAN 统计模块
5.TCP、UDP 和其它协议显示过滤器(因而您可以只查看您想看的通信数据)
6.记录日志
7.对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持
8.对 Linux内核的内建原始套接字界面的利用,因而它能够在类型广泛的被支持的网卡上使用
安装:
yum -y install iptraf
使用:
1)按IP数据连接查看eth0网卡中的数据通信情况
iptraf -i eth0
2)按不同网络接口查看系统中的总体数据通信情况
iptraf -g
3)按TCP、UDP协议分别查看数据通信情况
iptraf s eth0
4)按数据包大小查看eth0网卡中的数据通信情况
iptraf z eth0
5)查看eth0网卡中各类网络通信数据的详细统计信息,并写入到日志文件
iptraf -d eth0 -L /var/log/iptraf/traflog.eth0