Linux centos tcpdump 抓包获取dns查询记录数据包的方法,wireshark关键字搜索frame contains
Linux centos tcpdump 抓包获取dns查询记录数据包的方法,wireshark关键字搜索frame contains安装
yum -y install tcpdump
抓包53端口
tcpdump -i eth0 udp port 53 -w 1.pcap
抓包443端口的https流量
tcpdump -i eth0 tcp port 443 -w 1.pcap
抓包8080端口的http流量,并且指定ip为218.91.170.127
tcpdump -i eth0 tcp port 8080 and host 218.91.170.127 -w 1.pcap
抓包触发mtu原因引起内核发送udp分片重组实时看,或者保存到本地wireshark打开搜索ip.fragment
tcpdump -ni eth0 udp and "ip & 0x20 != 0 or ip & 0x1fff != 0"
实时查看关键字,包含任意一个就显示
tcpdump -ni eth0 udp port 6961 -A | grep -Ei "announce|Connection"
效果同上,性能更好
tcpdump -ni eth0 "udp port 6961 and (udp = 0x00000001 or udp = 0x00000003)"
抓包文件如果很大可以压缩后在下载
tar -zcvf 1.pcap.tar.gz 1.pcap
然后把数据包文件用wireshark查看即可
wireshark关键字搜索,or包含任意一个关键字组合显示,如果使用and代表同时包含两个关键字才显示
frame contains "announce" or frame contains "interval"
抓取dht网络本地回复对方请求的Get_peers包,并且包内要求包含peer响应
bt-dht and frame contains "valuesl6:"
{:3039:}{:3038:}{:3026:}
页:
[1]