标签:十六进制 清除 重复 eth0 地址 mil sort ·· span
Tcp dump
最简单的
···tcpdump -i eth0 - s 0 -w a.cap
然后
···tcpdump -i eth0 tcp port 22 -s 0 -w a.cap
i是选择网卡 -s 0是抓取的数据包包括全部数据(因为默认是68bit)-w是写入到一个文件中
···tcpdump -r a.cap 读取文件
···tcpdump -A -r a.cap 读取文件 ascll码格式的内容
···tcpdump -X -r a.cap 读取文件 以十六进制读取
···tcpdump -i eth0 port 22 -s 0 -w a.cap
···tcpdump -n -r a.cap | awk ‘{print $3}’ | sort -u
不对包里的ip地址作名称的解析 选择第三列,awk输出第三行,最后清除掉重复的东西
···tcpdump -n -r a.cap | gawk -F: ‘{print $3}‘ | sort -u
gawk和awk不知道有什么区别,加-F是输出前几列,不加就是那一列,注意awk后面和-F:后面是有空格的
···tcpdump -n src host 1.1.1.1 -r a.cap
···tcpdump -n dst host 1.1.1.1 -r a.cap
···tcpdump -nX tcp port 1526 -r a.cap
···tcpdunp -A -n ‘tcp[13]=24’ -r a.cap(专门查找第十四个字节为00011000的)这是tcp的标志位的字节
标签:十六进制 清除 重复 eth0 地址 mil sort ·· span
原文地址:https://www.cnblogs.com/lihaipeng/p/9898158.html
