TCPDUMP

一：命令介绍： tcpdump，用简单的语言概括就是dump the traffic on a network，是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具，windows平台有sniffer等工具，tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析，其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤，并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。 1：命令选项和捕获主机对到主机的数据包： 1.1：命令选项： -a #将网络地址和广播地址转变成名字 -A #以ASCII格式打印出所有分组，并将链路层的头最小化 -b #数据链路层上选择协议，包括ip/arp/rarp/ipx都在这一层 -c #指定收取数据包的次数，即在收到指定数量的数据包后退出tcpdump -d #将匹配信息包的代码以人们能够理解的汇编格式输出 -dd #将匹配信息包的代码以c语言程序段的格式输出 -ddd #将匹配信息包的代码以十进制的形式输出 -D #打印系统中所有可以监控的网络接口 -e #在输出行打印出数据链路层的头部信息 -f #将外部的Internet地址以数字的形式打印出来，即不显示主机名 -F #从指定的文件中读取表达式，忽略其他的表达式 -i #指定监听网络接口 -l #使标准输出变为缓冲形式

For a Computer Science Information Warfare class a few years ago I wrote a python script that ran on libpcap promiscuous packet capture files to parse out facebook chat traffic (earlang tuples passed in clear text), and thought an interesting project would be to port the program to Android. I would like to rewrite it in Java but can't find any information about packet capturing directly on the handset. As far as I'm aware, there is no way to put the Wifi NIC into monitoring mode from the public API. However, depending on the device used by the phone, you may be able to get the system to put it

小小白承包了一块20亩的土地，依山傍水，风水不错。听朋友说去年玉米大卖，他也想尝尝甜头，也就种上了玉米。 看着玉米茁壮成长，别提小小白心里多开心，心里盘算着玉米大买后，吃香喝辣的富贵生活。 好景不长，小小白这几天发现玉米长得慢了，还出现了黄叶，黄页面积还有扩大的趋势。着急的小小白找到大队的农业专家老周周，老周周说：“有病得治，玉米在生长期有着不同的阶段，不同阶段得有不同的护理措施，除了日常的除草、施肥，还得请专业的服务团队，定期给庄稼体检体检啊，发现问题，才能更好的解决问题，我知道城里有一家专门做这个业务的公司，用了都说好”，说完递给小小白一张名片。 小小白拨通了名片上的电话，接听电话的是这个Sinesafe公司安全服务团队的高级咨询师陈老师，一听小小白介绍种植的过程和出现的问题，就知道小小白是刚入门不久的小白，就开始给小小白耐心的讲解庄稼详情检测（网站渗透测试）的标准、基础知识。 渗透测试是一种通过模拟攻击者的攻击技术、方法，绕过系统安全措施，最终取得系统控制权的安全测试方式。 刚入安全门不久的小白同学，如果能在开始就养成规范的操作习惯，后续提升安全修为是百利而无一害的。 近些年，安全圈内的“牛”氏一族，结合多年丰富的牛逼经验，重新定义了渗透测试过程，即“渗透测试执行标准（PTES：Penetration Testing ExcutionStandard）”。

tcpdump采用命令行方式对接口的数据包进行筛选抓取，其丰富特性表现在灵活的表达式上。 不带任何选项的tcpdump，默认会抓取第一个网络接口，且只有将tcpdump进程终止才会停止抓包。 例如： shell> tcpdump -nn -i eth0 icmp 下面是详细的tcpdump用法。 1.1 tcpdump选项 它的命令格式为： tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ] 抓包选项： -c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。 -i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)， ：一旦找到第一个符合条件的接口，搜寻马上结束。可以使用'any'关键字表示所有网络接口。 -n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。 -nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。

一、抓包基础 1、抓网卡ens33 的包，有多大抓多大，然后保存到a.cap中 [root@localhost ~]# tcpdump -i ens33 -s 0 -w a.cap tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 2、读取a.cap文件 [root@localhost ~]# tcpdump -r a.cap reading from file a.cap, link-type EN10MB (Ethernet) 18:30:13.453516 IP localhost.localdomain.ssh > 192.168.10.1.sicct: Flags [P.], seq 1710739872:1710740004, ack 930202420, win 532, length 132 18:30:13.453754 IP 192.168.10.1.sicct > localhost.localdomain.ssh: Flags [.], ack 132, win 255, length 0 18:30:14.379791 IP 192.168.10.1 > localhost.localdomain: ICMP echo request,

tcpdump网络抓包工具 格式：tcpdump [options] [表达式] optinos选项 　　-i any：监听所有网络接口 　 　-i eth0： 监听指定的网络接口（eth0） 　　-D：列出所有可用的网络接口 　　-n：不解析主机名 　　-nn：不解析主机名和端口名 　　-q：输出较少的信息 　　-t：更便于阅读的时间戳输出 　　-tttt：最便于阅读的时间戳输出 　　-X：以 HEX 和 ASCII 模式输出数据包的内容 　　-XX：与 -X 选项相同，同时还输出 ethernet 头 　　-v, -vv, -vvv：输出更多数据包的信息 　　 -c： 获取到指定数目的数据包后就停止 　　-s：定义 snaplength (size) ，-s0 表示获取全部 　　-S：输出绝对序列号 　　-e：获取 ethernet 头信息 　　-E：通过提供 key 来解密 IPSEC 流量 　　-w /tmp/xxx.pcap ：指定抓包的结果保存到具体文件 表达式： 通过表达式可以对各种不同类型的网络流量进行过滤，以获取到需要的信息。这也是 tcpdump 强大功能的一个体现。 主要有 3 种类型的表达式： 　　Type （类型）选项包括 host 、net 和 port 　　Direction （方向）选项包括 src 和 dst 以及它们的组合 　　 Proto

I want to run tcpdump with some parameters (still don't know what to use), then load the stackoverflow.com page. Output should be the HTTP communication. Later, I want to use it as a shell script, so whenever I want to check the HTTP communication of a site site.com, I just can run script.sh site.com . The HTTP communication should be simple enough. Like this: GET /questions/9241391/how-to-capture-all-the-http-communication-data-using-tcp-dump Host: stackoverflow.com ... ... HTTP/1.1 200 OK Cache-Control: public, max-age=60 Content-Length: 35061 Content-Type: text/html; charset=utf-8 Expires:

1、监控 io 性能 这个 iostat 命令，在安装 sar 命令的时候，就一起安装了，所以不用重新安装。具体用法见下图， iostat 命令和 vmstat 挺像的，输入 iostat 可以直接查看磁盘显示情况，输入 iostat 1 就是每隔1秒显示一次，是动态命令，使用 ctrl + c 结束命令。sda 和 sdb 表示磁盘，第3 列和第4 列表示读和写的速度。这个命令没什么用处，因为命令 sar -b 也可以看出这些信息。 接着往下介绍命令 iostat -x 1，见下图， 这个命令有一个非常重要的指标 %util ，表示 io 等待，在统计时间内所有处理IO时间，除以总共统计时间。例如，如果统计间隔1秒，该设备有0.8秒在处理IO，而0.2秒闲置，那么该设备的%util = 0.8/1 = 80%，所以该参数暗示了设备的繁忙程度。一般地，如果该参数是100%表示设备已经接近满负荷运行了（当然如果是多磁盘，即使%util是100%，因为磁盘的并发能力，所以磁盘使用未必就到了瓶颈）。 还有一个命令 iotop ，需要安装，见下图， iotop 命令和 top 命令很像，也是动态显示，输入命令 iotop ，回车，见下图， 可以看到排序，但是 io 没有什么读写信息，也就没有什么排序。按字母 q 退出。 2、free 命令 直接查看内存使用状况。输入 free ，回车