tshark 和 tcpdump 的区别
yum -y install tcpdump
有时候我们发现网卡流量很高,可能超出你们平时的预期,比如说我们就买了10m宽带,平时的话就跑个5M 6M,今天实际上跑满了 很明显有波动,这个时候你肯定想看,到底是什么数据占我们这个网卡,把我们的带宽跑满了,这个时候要抓下包
[root@tufei ~]# tcpdump /不加-nn的效果
[root@tufei ~]# tcpdump -nn //查看数据流 -nn 就是说ip让它是数字而不是字符串 这样的话更直观一些
10:39:19.781498(时间,781498是毫秒) IP 192.168.0.105.61709(来源IP) > 122.72.123.22.80(目标IP): Flags [.], ack 240, win 16638, length 0
最主要是看ip从到那
你可能抓包的时间,某一个端口到某一个端口,数据包很多,而且大多数都是一样,可能意味着被攻击了1.规定抓包的数量
[root@tufei ~]# tcpdump -nn -c 100 //-c指定抓包的数量 100个
2.指定网卡
[root@aminglinux ~]# tcpdump -i eth3 //-i就是指定网卡 如果不加-i 默认抓eth0
tcpdump -nn -i(指定网卡) etch1
tcpdump -nn port(指定端口) 22 //抓22端口
tcpdump -nn tcp(协议类型) and(增加) prot 22 //抓tcp协议和22端口 and就是增加
tcpdump -nn udp //抓udp
3.抓到包保存到文件
[root@aminglinux ~]# tcpdump -nn tcp and port 80 -i eth3 and host 192.168.0.105 -w 1.cap
//-w 抓到的包存到一个文件 过一段时间 ctrl+c 结束 抓到这个包是二进制的 host是来源IP
[root@aminglinux ~]# tcpdump -r 1.cap //使用这个命令查看包的具体流向 实际上这些东西并不是包的内容 内容实际上就是我们这个包的网卡,实际流向是什么
我们传输一个图片 你用 tcpdump查看可能就是,你来源的ip访问的图片的ip是什么,端口是什么,而这个包,抓到的包1.cap并不是包的内容 而是数据包的流向 ,而这个包的内容就是我们图片的东西
比如说你去访问一个web服务,你访问到的呢 可能是一些文档、图片、元素,那我们抓到这个包呢就是那些东西,而你不用w的话就是那些流向,数据包的流向
[root@aminglinux ~]# tcpdump -nn -s0 -i eth3 tcp and port 80 -c 10 > 2.cap //不加w是数据包的流向
[root@aminglinux ~]# tcpdump -nn -s0 -i eth3 tcp and port 80 -c 10 -w 2.cap //加w是数据包的内容 加-s0这个参数 就能抓到完整的包
tcpdump -nn tcp and port 80 -c(抓多少数量) 10 > 2.cap 可以用cat查看流向
tcpdump -nn tcp and port 80 -c(抓多少数量) 10 -w(抓包的内容用-w) 2.cap
tcpdump -r 1.cap 查看这个包的流向 只是抓了包的一个流向不是内容
05:10:44.287866(时间) IP 192.168.16.131.22(来源IP) > 192.168.16.64.53972(目标IP): Flags [P.], seq 1377 (状态)
tcpdump -nn -s0 tcp and port 22 -c 10 -w 2.cap //(想抓完整的包要加这个值
4.tshark抓包工具
tshark
[root@aminglinux ~]# yum install -y wireshark //下载
[root@aminglinux ~]# tshark -nn //跟tcpdump抓包一样的
安装这个包 才能使用tshark命令
[root@aminglinux ~]# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" -i eth3 //这个命令常用
这些是什么
Jul 28(日期), 2016 14:54:09.319109459(时间) 192.168.0.105(来源IP) http://openapi.guanjia.qq.com(目标的host) GET(行为) /fcgi-bin/getdzjs?cmd=urlquery_gbk_zh_cn(路径) 是访问一个图片呢还是访问html呢
这个tshark工具比tcpdump功能多一点。
需要更多教程,微信扫码即可
tshark 和 tcpdump 的区别相关推荐
- tshark/wireshark/tcpdump实战笔记(更新中...)
注意Wireshark表示意义: Source: 发送方IP Destination: 接收方IP Protoco: 协议 Length: 这里显示的物理层(Frame)数据长度,Frame层长度最长 ...
- pcap文件生成metadata——使用tshark解析tcpdump的pcap包
pcap文件生成metadata #!/usr/bin/env python # -*- coding: utf-8 -*-import os import time, datetime import ...
- 关于fi dd ler 手机抓包 网卡地址地址_超详细的网络抓包神器 tcpdump 使用指南
tcpdump 是一款强大的网络抓包工具,它使用 libpcap 库来抓取网络数据包,这个库在几乎在所有的 Linux/Unix 中都有.熟悉 tcpdump 的使用能够帮助你分析调试网络数据,本文将 ...
- 监控io性能,free命令,ps网络命令,查看网络状态,Linux下抓包
10.6 监控io性能 磁盘的io是一个非常重要的指标,所以要更详细的查看磁盘状态,需要用到iostat命令,如果之前已经安装了sysstat包的话,在安装sysstat包时iostat命令就已经被安 ...
- 【图文教程】监控系统命令
监控系统命令 1. w命令 2. vmstat命令 3. top命令 4. sar命令 5. nload命令 6. 监控io性能 iostat命令 iotop命令 7. free命令 8. ps命令 ...
- 《开源安全运维平台OSSIM最佳实践》
<开源安全运维平台OSSIM最佳实践> 经多年潜心研究开源技术,历时三年创作的<开源安全运维平台OSSIM最佳实践>一书即将出版.该书用80多万字记录了,作者10多年的IT行业 ...
- linux下抓包代码阿里云,10.10 linux下抓包
监控系统状态 抓包工具 tcpdump 用法:tcpdump -nn tcpdump -nn -i ens33 tcpdump -nn port 80 tcpdump -nn not port 22 ...
- Wireshark — Packet size limited during capture
目录 文章目录 目录 关于 "Packet size limited during capture" 的解释 关于 "Packet size limited during ...
- 25个必须记住的SSH命令
25个必须记住的SSH命令 OpenSSH是SSH连接工具的免费版本.telnet,rlogin和ftp用户可能还没意识到他们在互联网上传输的密码是未加密的,但SSH是加密的,OpenSSH加密所有通 ...
最新文章
- OpenGL编译错误的解决
- Model层的两种写法
- css 选择一列表菜单,css实现菜单列表随滚动条指定到对应内容
- 国内CRM市场的运作猜想
- html文字简单动画效果,CSS3一个简单的按钮悬停波浪文本动画效果
- python里面的dict和set
- 学会这两个技巧!让你的Mac文件共享超简单
- Linux下如何禁止某个用户登录方法
- Redhat as5和fedora,centos一样使用yum管理软件
- SLAM--DBow3
- 汇编环境搭建 -- MASM32
- Python学习笔记(十五):python 中的面向对象
- cdr 表格自动填充文字_Cdr教程 用CorelDRAW绘制百事可乐标志Logo设计教程
- java合并图片合成多张横向或竖向
- react使用@tweenjs/tween.js实现数字动态增长
- 陕西二级分销系统开发适合做什么业务?
- 为什么OceanBase不适合银行的三点思考
- 一个 Qml MenuBar 的问题
- 根据密码子生成蛋白质序列(根据字典破译密码)
- PTA刷题之手机号码