基于mac地址抓取数据包金沙手机APP

1、刚刚接触tcpdump时,常用tcpdump -i eth1 host 192.168.1.1
这个命令基于ip地址抓取数据包信息。

tcpdump -i eth1(接口名称) host 192.168.1.1(计算机IP地址) 

2、在分析客户的网络中,经常会用到设备中自带的tcpdump软件,再配合PC端的wireshark软件来简单检查分析客户的网络情况。

这时候经常用到的tcpdump参数为:

tcpdump -i eth1 -nn(不做地址解析)   -s0(抓取数据包长度不限制)  
 -v(显示详细信息,需要显示更详细信息,可再加两个)  -e (列出链路层头部)
-c  20 (抓取指定个数的数据包,比如此处写20个,则为抓取20个包就停止)

如果不加 -n
参数的话,抓取的数据包会显示主机名或者域名信息,端口也会显示为相关的服务,如抓80端口,会显示为http

金沙手机APP 1

如果不加-s0参数的话,默认只抓取一部分(68字节),则数据包在wireshark中打开,会显示数据包不完整

3、在分析dhcp数据包的交互(IP地址下发),arp攻击等问题时,会涉及到链路层头部的抓取,也就是mac地址。抓取命令为

tcpdump -i eth1 ether src 6c:41:6a:ac:11:42 -c 10   //
在接口eth1上,抓取源mac地址为6c:41:6a:ac:01:42的数据包,个数为10

金沙手机APP 2

本文永久更新链接地址:http://www.linuxidc.com/Linux/2016-10/136080.htm

金沙手机APP 3

相关文章