1、在Linux上安装TCPdump
# Centos
yum -y install tcpdump
# Ubuntu
apt-get install tcpdump2、执行后台抓包命令
nohup忽略终端关闭,tcpdump抓包进程,-i any监听所有接口,-w 20221118.pcap保存到该文件,& 后台运行
nohup tcpdump -i any -w 20221118.pcap & timeout 43200s 定时43200秒(12小时),$(date +\%F) 当前日期
nohup timeout 43200s tcpdump -i any -w 172.16.69.201-$(date +\%F).pcap & 建议使用抓取特定网卡的命令,避免抓取过多无用流量导致文件过大
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-$(date +\%F).pcap &如果只是统计下访问情况,只抓取TCP流量就行
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-$(date +\%F).pcap tcp &又又又或者只想看本机IP的访问情况
捕获服务器访问其他IP的TCP流量——src(源)
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-output-$(date +\%F).pcap tcp and src host 172.16.69.201 &捕获服务器被其他IP访问的TCP流量)——dst(目的)
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-input-$(date +\%F).pcap tcp and dst host 172.16.69.201 &捕获服务器与其他IP之间的TCP流量(双向)
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-tcp-$(date +\%F).pcap tcp and host 172.16.69.201 &不想捕获目标地址或源地址为 172.16.69.201 的流量
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-tcp-$(date +\%F).pcap tcp and host 172.16.69.201 and not host 172.22.14.125 &不想捕获10050端口的TCP流量
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-tcp-$(date +\%F).pcap tcp and host 172.16.69.201 and not port 10050 &不想捕获10050端口和10051端口的TCP流量
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-tcp-$(date +\%F).pcap tcp and host 172.16.69.201 and not port 10050 and not port 10051 &不想捕获10050端口和10051端口的TCP流量(自动生成IP地址)
nohup timeout 43200s tcpdump -i eth0 -w $(hostname -I | cut -d' ' -f1)-tcp-$(date +\%F).pcap tcp and host $(hostname -I) and not port 10050 and not port 10051 &只想捕获10050端口和10051端口的TCP流量
nohup timeout 43200s tcpdump -i eth0 -w 172.16.69.201-tcp-$(date +\%F).pcap tcp and host 172.16.69.201 and port 10050 and port 10051 &3、抓包完毕关闭进程,设置定时的可以不用管
pkill -f tcpdump4、在Wireshark打开.pcap文件,点击统计——会话——协议勾选TCP——点击复制——作为CSV,最后粘贴到excel进行数据清洗并分析
只保留源地址,源端口,目标地址,目标端口即可,比如我的服务器IP是172.16.69.201:
| 源地址 | 源端口 | 目标地址 | 目标端口 |
|---|---|---|---|
| 172.16.69.201 | 443 | 171.111.95.5 | 23711 |
| 172.16.69.201 | 443 | 171.111.95.5 | 23527 |
| 171.111.95.5 | 23711 | 172.16.69.201 | 443 |
| 171.111.95.5 | 23527 | 172.16.69.201 | 443 |
查看方式就是从左到右,从源地址,源端口访问目标地址,目标端口
172.16.69.201通过443访问别人一般是正在建立安全连接
Wireshark官网下载地址:https://www.wireshark.org/download.html(默认是有中文的)
最后一次更新于2024-02-21
0 条评论