linux上抓包
tcpdump -s 0 -i any -w 666.pcap -v port 9000 or port 9804 or port 9803 or port 5015
参数解析
-s 0:
捕获每个数据包的完整内容,而不是默认的前 68 字节。0 表示捕获整个数据包。
-i any:
监听所有网络接口。any 表示捕获来自所有网络接口的流量。
-w 666.pcap:
将捕获的数据包保存到文件 666.pcap 中。
-v:
提供详细的输出信息。-v 表示详细模式,可以增加到 -vv 或 -vvv 以获得更详细的输出。
port 9000 or port 9804 or port 9803 or port 5015:
捕获指定端口上的流量。这里指定了四个端口:9000, 9804, 9803, 5015。使用 or 连接多个端口条件,表示只要满足其中一个条件的数据包都会被捕获。
命令执行效果
捕获范围:捕获所有网络接口上,目标端口或源端口为 9000、9804、9803 或 5015 的数据包。
数据包大小:捕获每个数据包的完整内容。
输出文件:将捕获的数据包保存到 666.pcap 文件中。
详细信息:捕获时提供详细的输出信息。
使用场景
网络故障排除:当需要分析特定端口上的网络流量时,可以使用这个命令捕获数据包,然后使用工具如 Wireshark 进行详细分析。
安全审计:监控特定端口上的流量,检查是否有异常或恶意活动。
性能优化:分析特定端口上的流量,找出可能的瓶颈或优化点。
示例分析步骤
运行 tcpdump 命令:
tcpdump -s 0 -i any -w 666.pcap -v port 9000 or port 9804 or port 9803 or port 5015
停止捕获:
按 Ctrl + C 停止 tcpdump 捕获。
使用 Wireshark 分析捕获的文件:
打开 Wireshark。
选择 File -> Open,然后选择 666.pcap 文件。
使用 Wireshark 的过滤器和分析工具查看和分析捕获的数据包。
Wireshark分析
红色通常代表新的 TCP 连接,而蓝色代表同一个连接的后续传输。
GET /eims/notice/noticeList?pageNum=0&pageSize=20¤tTime=2024-11-20%2010:08:09&valid=true HTTP/1.1
Host: 10.170.69.11:9080
Connection: keep-alive
clientmac: 91:97:54:34:79:92
x-dss-date: 2024-11-20T02:08:09Z
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json
Accept: application/json
x-userId: 1352
x-dss-contentmd5: ebb3daf2115a537efae15309f069d60f
x-dss-auth: user=U1lT,nonce=7529067449,digest=14e2bb6abef101bd02974d5ff7011c13,token=e496173e55719ffd66e41d653f299fbf
Referer: http://10.170.69.11:9080/ceims/index.html?ticket=ST-94794-SOexd342Y1vfRJLiPc9Ks7sQtQE-WIN-D4OHR1M2T8N
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=59E2EF792F0C0AC6DBD14496153D939D; userIp=10.170.43.104; mac=91:97:54:34:79:92; pavoLocalLang=zh_CN; currentToken=02538663617f4b2326c6d95ac32bdd8d; lastLoginIp=10
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
