1、tcpdump命令部署
1.1、源码下载
(1)下载网址:http://www.tcpdump.org;
(2)下载匹配的libpcap库和tcpdump库;
(3)编译tcpdump命令依赖libpcap库,所以要先编译libpcap库再编译tcpdump命令;
1.2、源码编译
1.2.1、编译libpcap-1.10.4.tar.gz
tar -zxvf libpcap-1.10.4.tar.gz
cd libpcap-1.10.4
./configure --prefix=/home/tcpdump/lib --host=arm64 CC=aarch64-mix410-linux-gcc --with-pcap=linux
make
make install
1.2.2、编译tcpdump-4.99.4.tar.gz
tar -zxvf tcpdump-4.99.4.tar.gz
cd tcpdump-4.99.4
./configure --prefix=/home/tcpdump/bin --host=arm64 CC=aarch64-mix410-linux-gcc
make
make install
最后会在指定安装目录/home/tcpdump/bin下生成tcpdump命令;
1.3、注意事项
(1)要将libpcap-1.10.4.tar.gz和tcpdump-4.99.4.tar.gz放到同一个目录下,然后进行解压的编译;
(2)要放在同一个目录编译的原因是,在tcpdump工程里,默认规定了libpcap.a的路径;
(3)如果你熟练掌握Makefile,也可以自行修改libpcap.a的路径,不放在同一个目录也可以;
4、使用tcpdump命令抓包
#抓取网卡eth0的数据,并将信息保存到/var/dump.pcap文件
./tcpdump -i eth0 -s0 -w /var/dump.pcap
#抓取网卡eth0的数据,将信息保存到/var/dump.pcap文件,读信息进行过滤,只抓取目标地址是192.168.5.100 或者 192.168.5.2并且是采用udp协议的数据包
./tcpdump -i eth2 dst 192.168.5.100 or 192.168.5.2 and udp -s0 -w /var/dump.pcap
5、使用wireshark软件分析
用wireshark软件打开保存tcpdump命令抓取数据包信息的dump.pcap文件,接下来就是筛选出需要的数据包并分析,这里不详细介绍wireshark软件使用方法;
