centos 6.5 tcpdump？Tcpdump

本篇文章给大家谈谈centos 6.5 tcpdump，以及Tcpdump对应的知识点，文章可能有点长，但是希望大家可以阅读完，增长自己的知识，最重要的是希望对各位有所帮助，可以解决了您的问题，不要忘了收藏本站喔。

Linux的命令行下抓包工具tcpdump的使用图文介绍

我们使用Linux服务器，有些时候需要抓取其中的数据包进行分析攻击的类型以及特征，这样就可以根据特征在防火墙上面进行拦截防护了，在Linux的命令行里边我们需要借助tcpdump软件进行抓包，下面小编与大家分享一下tcpdump的使用，希望对大家有所帮助，谢谢。

工具/原料

Centos 6.5服务器

电脑一台

方法/步骤

1、默认系统里边没有安装有tcpdump的，无法直接使用

2、这里我们可以使用yum来直接安装它

yum install-y tcpdump

3、如果忘记了这个软件的用法，我们可以使用 tcpdump--help来查看一下使用方法

4、一般我们的服务器里边只有一个网卡，使用tcpdump可以直接抓取数据包，但是这样查看太麻烦了，所以都会添加参数来进行获取的。

例如我截取本机（192.168.31.147）和主机114.114.114.114之间的数据

tcpdump-n-i eth0 host 192.168.31.147 and 114.114.114.114

5、还有截取全部进入服务器的数据可以使用以下的格式

tcpdump-n-i eth0 dst 192.168.31.147

或者服务器有多个IP可以使用参数

tcpdump-n-i eth0 dst 192.168.31.147 or 192.168.31.157

6、我们抓取全部进入服务器的TCP数据包使用以下的格式，大家可以参考下

tcpdump-n-i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp

从本机出去的数据包

tcpdump-n-i eth0 src 192.168.31.147 or 192.168.31.157

tcpdump-n-i eth0 src 192.168.31.147 or 192.168.31.157 and port! 22 and tcp

或者可以条件可以是or和 and配合使用即可筛选出更好的结果。

注意事项

使用还是比较简单的，可以考虑把数据包保存再拷出来，然后用wireshark进行图形查看更好理解。

玩转tcpdump解决Centos7环境抓包难题

网络数据采集分析工具 Tcpdump

借助 host参数筛选特定主机

1. Tcpdump选项详解

基于IP地址过滤：通过 host参数指定特定IP进行筛选

-根据源IP筛选

-根据目标IP筛选

基于网段过滤：net参数用于指定特定网段

对于同一网段，可细分为源网段和目标网段

基于端口过滤：port参数用于指定特定端口筛选

端口可再细分为源端口与目标端口

同时指定多个端口或端口段简化筛选

使用协议名代替端口号筛选特定协议

如 http对应 80，https对应 443

基于协议过滤：proto参数用于筛选常见协议，如 tcp、udp、icmp等

查看 ICMP包时，直接使用 icmp

protocol参数值包括：ip、ip6、arp、rarp等

输出抓取数据至文件：使用-w参数生成 pcap文件

结合 wireshark分析数据

读取 pcap文件使用-r参数

过滤与分析结合使用

提取 HTTP用户代理：从请求头筛选

提取用户代理与主机名：使用 egrep同时筛选

找出发包最多的IP：统计分析筛选

抓取 DNS请求与响应：通过端口筛选

切割 pcap文件：自动管理大文件

按小时创建新文件：避免数据过大覆盖旧文件