Linux抓包命令：tcpdump详解及USB抓包方法总结

日期：2025-01-14 04:06:55 作者：创始人浏览：0

linux抓包命令

Linux系统中的抓包命令是什么？下面详细介绍一下：Linux系统下的抓包命令是：tcpdump。
1.tcpdump命令简介tcpdump命令是一个运行在命令行下的抓包工具。
它允许用户拦截和查看通过计算机网络连接发送或接收的TCP/IP和其他数据包。
tcpdump适用于大多数类Unix操作系统（如linux、BSD等）。
类Unix系统上的Tcpdump必须使用libpcap，一个类似于Windows下WinPcap的用于捕获数据的库。
2、tcpdump格式：例如：tcpdump–ieth0'port1111'-X-c3-X告诉tcpdump命令必须完整显示协议头和数据包内容（tcpdump将以十六进制和ASCII格式显示它们），这是一个进行协议分析时的绝对利器。
tcpdump使用命令行。
命令格式为：tcpdump[-adeflnNOpqStvx][-c数量][-F文件名][-i网络接口][-r文件名][-ss。
tcpdump][-T类型][-w文件名][表达式]三、tcpdump选项介绍-a：将网络地址和广播地址转换为名称-d：将匹配信息包的编码转换为人-；可理解的代码编译格式给出；-dd：以c语言程序段的格式给出对应信息包的代码；-ddd：在输出行以十进制形式给出匹配信息包的编码层的头信息，包括源mac和目的mac，以及网络层的协议-f：打印外部互联网地址数字的形式-l：将标准输出转换为缓冲行格式；-n：指定将每个监听数据包中的字段名称转换为IP地址后显示，网络地址不转换为名称：指定将每个监听数据包中的域名转换为IP，转换应用名后显示端口；到端口号-t：在输出中每行不打印时间戳；;-c：收到指定数量的数据包后，tcpdump将停止；-F：从指定文件中读取表达式，忽略其他表达式-i：指定网络接口为非混杂模式，不能与主机或广播一起使用；从指定的文件（这些包通常是通过-w选项生成的）；0表示数据包没有被截断并且捕获了整个数据包。
默认情况下，tcpdump仅显示数据包的部分内容，默认为68字节。
-T：将监控到的数据包直接解释为指定的消息类型，常见的类型包括rpc（远程过程调用）和snmp（简单网络管理协议；）-X：告诉tcpdump命令协议头和数据包必须是内容。
完全按原样显示（tcpdump会以十六进制和ASCII格式显示），这是进行协议分析时的绝对工具。

Windows&LinuxUSB抓包方法总结

在Linux和Windows环境中，Wireshark软件被广泛用于分析USB数据包。
在Windows系统上，要成功捕获USB数据，需要在安装Wireshark时勾选USBPcap选项，否则将无法捕获USB信息。
安装完成后，您可以通过选择USBPcap并指定要捕获的USB总线和设备来开始捕获数据包。
配置完成后，单击“开始”。
用户可以查看消息的详细信息，包括传输内容。
请注意，RNDIS模式下的USB网卡在Windows上抓包时可能会出现抓包失败的情况。
将网卡模式更改为NCM模式后，即可正常执行抓包任务。
Linux环境下的USB抓包是通过USBMON模块进行操作的，需要在编译Linux时启用CONFIG_USB_MON选项。
挂载debugfs文件系统后，使用lsmod、ls等命令行操作。
检查usbmon模块是否已加载。
如果没有加载，需要执行命令modprobeusbmon来加载。
如需采集特定USB总线上的数据，可使用sudotcpdump-iusbmon1-wusbmon11.pcap等命令，导出后使用Wireshark打开查看数据。
最后，用户可以通过Wireshark可视化USB通信过程和数据交互细节，并有效分析USB消息。

Linux服务器抓包工具

简介：socat是Linux系统自带的一个实用程序。
它经常用于网络编程。
具有网络中继和端口转发的功能，还可以用于抓包。
安装方法很简单，只需使用包管理器命令即可，例如使用yuminstall-ysocat命令进行安装。
用法：使用命令socatTCP-LISTEN:port1,forkTCP:host:port2，其中port1是本地监听端口，host:port2是目标主机的端口。
例如本机运行的是Zabbix，端口为80，则启动一个14001端口，将访问14001端口的请求转发到本机的80端口。
命令为：socat-vTCP-LISTEN:14001,forkTCP:127.0.0.1:80。
这样，访问14001端口的请求也会显示Zabbix界面。
打印请求内容：socat将打印所有请求的内容。
简介：mitmproxy是一款流行的中间人代理工具，可以拦截、修改和查看HTTP和HTTPS流量。
它通常用于网络故障排除、安全测试和网络流量分析。
在线安装需要pip安装，具体命令为：yuminstall-ypython3-pippython3-devel&&pip3install-ipypi.tuna.tsinghua.edu.cn...离线安装步骤：首先下载所有rpm包，命令为yumdownloader--resolvepython3-pippython3-devel，然后将包复制到目标机器并运行rpm-ivh*。
然后下载所有pip包，命令为pip3download-ihttps://pypi.tuna.tsinghua.edu.cn/simplemitmproxy-d/opt/，然后将包复制到目标机器进行安装：pip3install./*。
用法：启动mitmproxy监听8080端口并代理本地80端口。
命令为mitmproxy-p8080--modereverse:http://localhost:80。
访问mitmproxy侦听的端口（例如，键入http://:8080会将流量代理到本地端口80，并让您查看和修改流量）。
使用--modereverse参数反向代理流量，-p参数指定mitmproxy监听的端口。
查看请求：使用上下键选择请求，按Enter键查看详细信息，按q返回列表或退出。