1.  tcpdump -n -r http.cap |awk '{print $3}' |sort -u

-n 为不解析成域名，只显示IP，awk 默认以空格分割开来，此处显示第三列数据，sort -u 为剔除相同项数据。

tcpdump:

    tcpdump -i eth0 -s 0 -w a.cap(-i指定端口 -s指定大小，0为有多少抓多少 -w写入到那个文件)
    tcpdupmp -r a.cap（读取抓包，加-A 以asc码方式显示，加-X 以十六进制读取）
    tcpdump -i eth0 tcp port 22 (指定筛选抓包，且不存文件实时显示)

过程文档记录：
Dradis （短期临时小团队文件共享/各种插件导入文件）
keepnote
truecrypt
 

tcpdump抓包工具 No-GUI的抓包分析工具 linux、Unix系统默认安装

默认只抓68个字节 通常可以把包头抓下来

tcpdump -h 查看可用命令 

-i 指定接口 -s 抓的数据包大小跟参数0表示全部抓先来 -w保存的文件 

tcpdump -i eth0 -s 0 -w file.pcap

tcpdump -r a.cap 查看a.cap包

-A -r 以阿斯克码显示 

port 端口号 指定抓某个端口的包

可以用管道来过滤

tcpdump -n -r http.cap | awk '{print $3}'| sort –u 

src host ip地址 以来源ip过滤

tcpdump -n src host 145.254.160.237 -r http.cap 

dst host 目标地址 以目标地址过滤

tcpdump -n dst host 145.254.160.237 -r http.cap 

按端口

tcpdump -n port 53 -r http.cap 

tcpdump -nX port 80 -r http.cap

tcpdump的高级筛选

过程文档记录工具

dradis 短期临时小团队资源共享 各种插件导入文件

keepnote 记录收集工具

truecrypt 加密工具 2014年停止更新，但加密安全性很高（使用一个加密工具）

00:45