tcpdump

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello2mao/article/details/53967782
版权

tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

一、Ref

  1. Man-Page:http://www.tcpdump.org/tcpdump_man.html
  2. tcpdump:https://github.com/the-tcpdump-group/tcpdump.git
  3. libpcap:https://github.com/the-tcpdump-group/libpcap.git
  4. Linux tcpdump命令详解:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

二、命令

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 
         [ -c count ] 
         [ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
         [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
         [ --number ] [ -Q in|out|inout ] 
         [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] 
         [ -W filecount ] 
         [ -E spi@ipaddr algo:secret,... ] 
         [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
         [ --time-stamp-precision=tstamp_precision ] 
         [ --immediate-mode ] [ --version ] 
         [ expression ]

三、举例

1、使用tcpdump抓取HTTP包

// 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"
sudo tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

2、Http GET

sudo tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

3、Http POST

sudo tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

4、过滤如下请求:POST /collect/v2/app_log/

// 可以用https://www.wireshark.org/tools/string-cf.html这个工具来快速获得过滤的表达式
sudo tcpdump  -XvvennSs 0 -i eth0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354 && tcp[((tcp[12:1] & 0xf0) >> 2) + 4:4] = 0x202f636f && tcp[((tcp[12:1] & 0xf0) >> 2) + 8:4] = 0x6c6c6563 && tcp[((tcp[12:1] & 0xf0) >> 2) + 12:4] = 0x742f7632 && tcp[((tcp[12:1] & 0xf0) >> 2) + 16:4] = 0x2f617070 && tcp[((tcp[12:1] & 0xf0) >> 2) + 20:4] = 0x5f6c6f67 && tcp[((tcp[12:1] & 0xf0) >> 2) + 24:1] = 0x2f)' -w 1.cap

5、打印所有源或目的端口是80, 网络层协议为IPv4, 并且含有数据,而不是SYN,FIN以及ACK-only等不含数据的数据包

sudo tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

(nt: 可理解为, ip[2:2]表示整个ip数据包的长度, (ip[0]&0xf)<<2)表示ip数据包包头的长度(ip[0]&0xf代表包中的IHL域, 而此域的单位为32bit, 要换算

成字节数需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp头的长度, 此域的单位也是32bit, 换算成比特数为 ((tcp[12]&0xf0) >> 4) << 2, 
即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整个ip数据包的长度减去ip头的长度,再减去
tcp头的长度不为0, 这就意味着, ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的’Payload Length’ 与 ‘tcp头的长度’的差值, 并且其中表达方式’ip[]’需换成’ip6[]’.)

hello2mao
关注
专栏目录
tcpdump-tcpdump-4.9.2.zip
11-19
tcpdump-tcpdump-4.9.2.zip
Tcpdump 的用法
weixin_34019144的博客
07-23 76
作者: jeffyan 出处:CU  ( 9 ) 砖 ( 21 ) 好 评论 ( 0 ) 条  进入论坛 更新时间:2005-12-26 11:55 关 键 词:TCP 阅读提示:第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 2...
Tcpdump 详解(抓包)
最新发布
明日之星
08-18 4575
一、TCPDUMP抓包工具介绍。
使用tcpdump查看HTTP请求响应
03-14 7366
https://www.jianshu.com/p/3cca9a74927ctcpdump安装在Ubuntu/Debian系统上,执行如下命令安装tcpdump工具:sudo apt-get install tcpdump 在CentOS系统上,执行如下命令安装tcpdump工具:sudo yum install tcpdump 安装完tcpdump后,就可以使用man命令查看tcpdump的文档...
聊聊 tcpdump 与 Wireshark 抓包分析
juary_的专栏
06-24 4273
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
Tcpdump
睨噷蹇蜣的博客
12-06 306
TcpDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 man tcpdump ================================================================ tcpdump基本用法 # tcpdump -i eth0 -nnv # ...
tcpdump源码分享
04-21
tcpdump是一款广泛使用的开源网络数据包分析工具,它允许用户实时捕获并分析网络上的数据包。这个资源包含了tcpdump的4.0和3.9两个版本的源代码,对于理解网络协议、学习网络监控以及进行网络调试具有极高的价值。 ...
tcpdump源码(tcpdump-4.99.4.tar.gz)生成tcpdump
09-03
tcpdump源码编译,需要多个部件的源码进行顺序编译而成。 m4-1.4.19.tar.gz flex-2.6.4.tar.gz bison-3.7.6.tar.gz libpcap-1.10.4.tar.gz tcpdump-4.99.4.tar.gz tar xvf *.tar解压后,分别执行./configure 和make ...
tcpdump离线安装
03-03
TCPDump是一款强大的网络封包分析软件,主要用于在网络层截取并分析网络数据包。它在IT行业中被广泛用于网络故障排查、性能优化、安全审计等多个领域。TCPDump的名字由TCP(Transmission Control Protocol)和Dump...
tcpdump抓包工具离线安装包
10-13
tcpdump是一款广泛使用的网络分析工具,它允许用户在操作系统层面捕获网络上的数据包,用于诊断网络问题、监控网络通信或者进行网络安全分析。这个离线安装包是为那些无法连接到互联网或者需要在隔离环境中安装...
tcpdump:TCPdump网络解析器
04-27
该目录包含tcpdump的源代码,tcpdump是用于网络监视和数据获取的工具。 在过去的几年中,Internet社区的杰出贡献使tcpdump不断得到改进(只需浏览)。 我们感谢所有的投入。 支持平台 在许多操作系统中,tcpdump可...
4.9.2版本的tcpdump源码
12-13
tcpdump4.9.2.tar版本源码和libpcap-1.9.0.tar.gz,非常好的学习资料。
tcpdump(tcpdump-4.9.2.tar.gz & libpcap-1.8.1.tar.gz)源码及工具
01-17
编译教程:https://blog.csdn.net/onlyshi/article/details/81081707 该资源已包含了mipsel-linux-uclibc平台的bin文件,可直接拷贝到目标系统使用
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
通常我们在Android应用中执行某个命令时会使用“Runtime.getRuntime().exec("命令路径")”这种方式,但是当我们执行抓包操作时,使用这条命令无论如何都不行,通过下面代码打印结果发现,该命令一定要在root权限下才能执行,具体实现思路,请参考本教程
Tcpdump+Wireshark抓取Nginx-https协议数据
weixin_49319422的博客
08-13 4911
1.nginx 介绍 Nginx 是高性能的 HTTP 和反向代理的服务器,处理高并发能力是十分强大的,能经受高负 载的考验,有报告表明能支持高达 50,000 个并发连接数。 NGINX可以实现正向代理、反向代理、负载均衡等操作,总之就是强大,这里就不多介绍了,想要了解详情的可以参考:https://www.cnblogs.com/muhy/p/10528543.html 安装 在安装nginx前首先要确认系统中安装了gcc、pcre-devel、zlib-devel、openssl-devel。 y
HTTPS】HTTPS过程详解,tcpdump抓包 全过程分析
ALLEN'Blog
01-05 2014
客户端随后发送一个经过加密的数据,服务端可以根据生成的session Key来进行解密,这个加密的消息解密后有固定的格式,符合这个格式,或者满足一些字符匹配才是合法的。使用 ECDH做密钥交换, 使用ECDSA做认证, 使用AES-128做加密算法, 使用SHA256做MAC算法。客户端能支持的加密套件即浏览器能支持的加密算法。通知客户端接下来的数据采用被sessionKey加密的对称加密方式。通知服务端,接下来的数据采用session Key对称加密的方式。密钥交换用到的服务器方的信息,有公钥信息。
tcpdump--详解
JonSnow
07-04 1763
1. tcpdump介绍 1.1 官方man手册 帮助手册 1.2 维基百科 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump 适用于大多数的类Unix系统 操作系统:包括Linux、Solaris、BSD、Mac OS X、HP-UX和AIX 等等。在这些系统中,tcpdump 需要使用libpcap这个捕捉数据的库。其在Windows下的版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello2mao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值