linux抓包为.cap格式肿么看

发布于2022-01-04 19:45:00
4个回答
admin
网友回答2022-01-04
首选介绍一下tcpdump的常用参数
tcpdump采用命令行方式,它的命令格式为:
  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
          [ -T 类型 ] [ -w 文件名 ] [表达式 ]
1. tcpdump的选项介绍
   -a    将网络地址和广播地址转变成名字;
   -d    将匹配信息包的代码以人们能够理解的汇编格式给出;
   -dd    将匹配信息包的代码以c语言程序段的格式给出;
   -ddd    将匹配信息包的代码以十进制的形式给出;
   -e    在输出行打印出数据链路层的头部信息;
   -f    将外部的Internet地址以数字的形式打印出来;
   -l    使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t    在输出的每一行不打印时间戳;
   -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
   -vv    输出详细的报文信息;
   -c    在收到指定的包的数目后,tcpdump就会停止;
   -F    从指定的文件中读取表达式,忽略其它的表达式;
   -i    指定监听的网络接口;
   -r    从指定的文件中读取包(这些包一般通过-w选项产生);
   -w    直接将包写入文件中,并不分析和打印出来;
   -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
调用)和snmp(简单网络管理协议;)
当网络出现故障时,由于直接用tcpdump抓包分析有点困难,而且当网络中数据比较多时更不容易分析,使用tcpdump的-w参数+ethereal分析会很好的解决这个问题,具体参数如下:
tcpdump -i eth1 -c 2000 -w eth1.cap
-i eth1 只抓eth1口的数据
-c 2000代表数据包的个数,也就是只抓2000个数据包
-w eth1.cap 保存成cap文件,方便用ethereal分析
抓完数据包后ftp到你的FTP服务器,put一下,然后用ethereal软件打开就可以很直观的分析了
注:有时将.cap文件上传到FTP服务器后,发现用ethreal打开时提示数据包大于65535个,这是你在ftp上传或者下载的时候没有用bin的模式上传的原因。
另:有的网站提示在tcpdump中用-s 0命令,例如 tcpdump -i eth1 -c 2000 -s0 -w eth1.cap,可实际运行该命令时系统却提示无效的参数,去掉-s 0参数即可
admin
网友回答2022-01-04
.cap 文件类型。看起来是Network Monitor捕捉的抓包文件,尝试用 Network Monitor 来打开,也可以试试 Wiresherk。
在无法打开的情况下,你最好知道这个文件从哪里来的,才方便进一步做判断。
admin
网友回答2022-01-04
那按照什么分割呀? 这样做的意义是什么 ?
admin
网友回答2022-01-04
安装wifi万能钥匙,查看可以破解的wifi热点安装Root Exploere 打开Root Exploere,进入data/misc/wifi,目录里有个wpa_supplicant.conf或者其他文件名以.conf结尾的文件,所有手机记住的wifi密码都在这个文件里。事例:...........................network={ ssid=8888 psk=88888888 key_mgmt=WPA-PSK priorty=12}.......... 实例中: SSID就是连接的wifi名称。88888888 就是密码用笔记本打开无线网络找到名为8888的WIFI信号,输入密码88888888,开启你的蹭网之旅。

回到
顶部