轉(zhuǎn)自： ?http://www.rwifeng.com/jekyll/update/2015/04/16/how-to-tcpflow/

tcpflow 抓包

Apr 16, 2015

大家都知道 tcpdump 是一個(gè)很方便的抓包工具， 但是 tcpdump 是以包為單位進(jìn)行輸出的，閱讀起來(lái)不是很方便。 而 tcpflow 是面向 TCP 流的，每個(gè) TCP 傳輸會(huì)保存成一個(gè)文件。所以一個(gè)典型的 TCP 會(huì)話會(huì)產(chǎn)生兩個(gè)文件，每個(gè)方向產(chǎn)生一個(gè)文件。 此外， tcpflow 還可以解析 tcpdump 保存的文件。

先看一個(gè)小例子。在我的 Mac 上有一個(gè) HTTP 服務(wù)，所用端口號(hào)為 12345，那么用 tcpflow 抓包結(jié)果如下：

可以看到，tcpflow 直觀地顯示出了請(qǐng)求、響應(yīng)的 HTTP 報(bào)文，具有很好的可讀性。

安裝

具體可以參考：?tcpflow github

簡(jiǎn)單使用

具體的使用方法，可以去查應(yīng)用手冊(cè)?man tcpflow. 下面介紹幾種簡(jiǎn)單的使用方法。

• 打印經(jīng)過(guò)網(wǎng)卡的所有報(bào)文

在你的 terminal 中輸入:

tcpflow -ci en0

其中 -c 表示將報(bào)文直接打印在 terminal 中。不指定 -c 參數(shù)會(huì)將抓取的 TCP 報(bào)文保存在文件中。 -i 表示你要監(jiān)聽(tīng)的網(wǎng)絡(luò)端口。 假如你不指定 -c 參數(shù)， tcpflow 會(huì)將每個(gè) TCP 流的數(shù)據(jù)存儲(chǔ)在他自己的文件中，其中文件的命名規(guī)則你可以參考:?tcpflow github?. 基本格式為：

[timestampT]sourceip.sourceport-destip.destport[--VLAN][cNNNN]

• 讀取已有的 pcap 文件

在使用 tcpdump， 或者 wireshark 抓得包的格式是?pcap。 使用 tcpflow 也可以讀取這些包得格式。 這兒有一個(gè)我使用 tcpdump 抓的包的格式：?tcpdump pcap

tcpflow -cr test.pcap

可以將 pcap 包打印到 terminal 中。當(dāng)然你也可以將 TCP 流保存在文件中：

tcpflow -r test.pcap# 這樣我得到了兩個(gè)文件： # 183.136.139.016.00080-192.168.199.146.49570 # 192.168.199.146.49570-183.136.139.016.00080

其中文件 ?192.168.199.146.49570-183.136.139.016.00080?是我的主機(jī)向服務(wù)器發(fā)送的請(qǐng)求包。文件?183.136.139.016.00080-192.168.199.146.49570?是服務(wù)器向客戶端返回的響應(yīng)包。如果你想要重放下請(qǐng)求，就可以使用這種方法。

nc -i 1 183.136.139.16 80 < 192.168.199.146.49570-183.136.139.016.00080

• 使用表達(dá)式過(guò)濾抓包

tcpflow 也是支持表達(dá)式過(guò)濾的，格式和 tcpdump 一樣，具體格式和對(duì)應(yīng)參數(shù)你可以參考?filter expression?。 這里列幾種常用的表達(dá)式：

# 過(guò)濾經(jīng)過(guò) 192.168.1.202 的流量： tcpflow -i any host 192.168.1.202# 過(guò)濾從主機(jī) 192.168.1.202 發(fā)出的流量： tcpflow -i any src host 192.168.1.202# 過(guò)濾從主機(jī) 192.168.1.202 發(fā)出的流量并且端口號(hào)為 80： tcpflow -i any src host 192.168.1.202 and port 80# 過(guò)濾固定端口的流量： tcpflow -i en0 any port 443 or port 80# 過(guò)濾主機(jī) 192.168.1.202 端口為 80 或 443 的流量： tcpflow -i en0 'host 192.168.1.202 and (port 80 or port 443)'...

轉(zhuǎn)載于:https://www.cnblogs.com/leonxyzh/p/7288971.html

總結(jié)

以上是生活随笔為你收集整理的[置顶]tcpflow 抓包的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。