tcpdump使用过滤条件抓包(基础篇)

最新推荐文章于 2024-05-11 10:04:45 发布
最新推荐文章于 2024-05-11 10:04:45 发布
阅读量1.1w 收藏 15
点赞数 2
分类专栏: 网络协议 文章标签: tcpdump 过滤条件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BruceLeeNumberOne/article/details/102807761
版权

引言

这是有关网络协议的第三篇文章。

前两篇文章分享了tcpdump和tshark最基本的用法。这篇文章原本是想翻译tcpdump官方文档,但是网上已经有了现成的翻译版本,作者已经对比较难懂的部分做了说明,当然作者也有略过一部分的说明。

Tcpdump实际上非常复杂,需要对网络协议有全面又细致的掌握,有兴趣可以参考tcpdump官方文档

这篇文章主要从指定过滤条件表达式捕获包的角度去分享一些基本的过滤条件表达式。原本想一篇博客写完,google了一番之后,发现还有很多比较实用的命令,所以分开写。

tcpdump常用选项介绍

  • -n 禁止IP名称解析。
  • -nn 禁止IP和端口名称解析。
  • -i 指定捕获哪个网卡的网络数据包。
  • -w 指定将包写入哪个文件,如果文件不存在则创建该文件;如果存在则覆盖其内容。
  • -f 指定过滤表达式,例如指定捕获哪个端口,哪个协议等。
  • -r 指定从哪个文件读取网络数据包文件。
  • -F 指定使用哪个文件的过滤表达式抓包。
  • -D 列出所有可以使用tcpdump抓包的网卡。
  • -c 指定捕获或者读取包的个数,-c后面直接接数字即可。
  • -l 抓包时保存到文件的同时查看包的内容。
  • -t 不打印时间戳。
  • -tt 秒级时间戳。
  • -ttt 打印时间戳到微秒或者纳秒,取决于 –time-stamp-precision option 选项。
  • -s 指定每个包捕获的字节数。
  • -S 打印绝对的tcp序列号,而不是相对的序列号。
  • -v/-vv/-vvv 打印详细信息,v的个数越多, 打印内容越详细。

上面是常用的选项,更多的选项请参考tcpdump官方文档,下面将对使用过滤条件抓包进行基本的介绍。

命令概览

这篇博客要分享的主要命令如下:

#协议为tcp,目标端口或源端口为80
tcpdump -nni ens33 -w packets.pcap 'tcp port 80'
#协议为tcp,目标端口为80
tcpdump -nni ens33 -w packets.pcap 'tcp dst port 80' -c10
#协议类型为tcp,源端口为80
tcpdump -nni ens33 -w packets.pcap 'tcp src port 80' -c10
#读取文件中协议类型为tcp,目标端口为80的包
tcpdump -nnr packets.pcap 'tcp dst port 80' -c10
#将packets.pcap文件中目标端口为443的包转存到dst_port_443.pcap中
tcpdump -r packets.pcap 'dst port 443' -w dst_port_443.pcap 
#指定IP地址为14.215.177.39
tcpdump -nni ens33 host 14.215.177.39 -c5
#源IP地址为192.168.248.134
tcpdump -nni ens33 src 192.168.248.134 -c5
#目标IP地址为192.168.248.134
tcpdump -nni ens33 dst 192.168.248.134 -c5
#通往网络192.168.248.0/24
tcpdump -nni ens33 net 192.168.248.0/24 -c5

实用命令

1. 测试-D选项

根据官方文档的说明,-D选项用于列出系统中所有tcpdump可以进行抓包的网卡。

虚拟机测试代码:

[sunft@localhost ~]$ tcpdump -D
1.bluetooth0 (Bluetooth adapter number 0)
[sunft@localhost ~]$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::176e:36f2:18ab:c561  prefixlen 64  scopeid 0x20<link>
        inet6 fd15:4ba5:5a2b:1008:c7f1:b0a6:ecf:6bfc  prefixlen 64  scopeid 0x0<global>
        ether 00:0c:29:59:4f:1a  txqueuelen 1000  (Ethernet)
        RX packets 77  bytes 11417 (11.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 15  bytes 2598 (2.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 880  bytes 95324 (93.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 880  bytes 95324 (93.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 52:54:00:2b:fd:d5  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

普通Linux机器测试代码:

[root@localhost ~]# tcpdump -D
1.eth0
2.nflog (Linux netfilter log (NFLOG) interface)
3.nfqueue (Linux netfilter queue (NFQUEUE) interface)
4.usbmon1 (USB bus number 1)
5.usbmon2 (USB bus number 2)
6.any (Pseudo-device that captures on all interfaces)
7.lo

说明:
不知道是因为虚拟机的原因还是版本的原因,在虚拟机上 -D 选项并未正确列举出所有可用的网卡,而 ifconfig 则正确列出了可用的网卡。

在列举所有的可用网卡时不建议使用tcpdump -D</

最低0.47元/天 解锁文章
Nazarite_KakaLuoTo
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tcpdump使用过滤条件抓包(进阶)
BruceLeeNumberOne的博客
11-08 1万+
引言 这是有关网络协议的第四博客。 上一博客分享了tcpdump使用过滤条件抓包的一些用法,如果没有特殊的要求,基本能够满足一般的抓包要求,这博客如何在抓包的过程中将过滤条件更加具体化。 如果对tcpdump常用的命令行选项不了解,请查看上一博客或者查看tcpdump官网。 常用选项介绍 -s0 : Snap length, is the size of the packet to cap...
centos7系统离线安装tcpdump抓包软件
11-13
将详细介绍如何在CentOS 7系统离线安装`tcpdump`抓包软件。 首先,我们需要理解涉及的三个RPM包的用途: 1. `tcpdump-4.9.2-4.el7_7.1.x86_64.rpm`:这是tcpdump的主要执行程序,提供了命令行工具来捕获和显示...
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
TCPdump 过滤条件
学习记录
09-15 750
1、IPv6 tcpdump -i xx ipv6 -v unreachable: 1 too-big: 2 time-exceeded: 3 echo-request: 128 echo-reply: 129 router-solicitation: 133 router-advertisement: 134 neighbor-solicitation: 135 neighbor-advertisement: 136 tc...
最全抓包分析 TCP 协议_tcpdump解析协议,软件测试组件化架构实践
最新发布
2401_84561736的博客
05-11 350
-v | 输出更加详细的信息 || -w | 把数据写到 log 中 |wireshark 也是一款网络嗅探工具,它除了拥有 tcpdump 功能,还有更多扩展功能,比如分析工具,但是在接口测试中,抓包过程往往都是在服务器进行,服务器一般不提供 UI 界面,所以 wireshark 无法在服务器工作,只能利用 tcpdump 抓包生成 log,然后将 log 导入 wireshark 使用,在有 UI 界面的客户端上进行分析。
tcpdump过滤规则
陈贤鹏的博客
05-29 529
http://www.packetlevel.ch/html/tcpdumpf.html
tcpdump 命令详解
化天际的相遇---博客
11-15 219
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
VC++MFC抓包程序源码
05-28
**一、抓包基础** 1. **数据包与网络协议**:网络数据通信基于各种协议,如TCP/IP、UDP等。数据包是这些协议在网络传输中的基本单元,包含了源地址、目的地址、协议类型以及数据内容等信息。抓包就是获取这些数据包...
夜神模拟器安卓抓包环境搭建
05-12
对于Wireshark,你需要在模拟器上安装一个叫做 tcpdump 的命令行工具,这是Wireshark在安卓设备上抓包基础。你可以通过命令行或者在模拟器中安装apk来实现。安装完成后,使用命令`adb shell`进入模拟器的命令行...
网络方面的tcp/ip抓包
05-30
这通常通过使用专门的抓包工具,如Wireshark、 tcpdump 或Microsoft Network Monitor等来实现。这些工具能够记录网络上的每一个数据包,包括源地址、目的地址、端口号、数据包大小以及传输的数据内容等。 TCP/IP...
网络抓包Examples
05-07
它是网络抓包软件的基础,提供了一个标准的接口,使得各种抓包工具(如Wireshark、tcpdump等)能在Windows系统上工作。WinPcap能够直接访问网络接口卡(NIC)的底层驱动,捕获原始网络数据包,同时也支持数据包的...
python调用tcpdump抓包过滤的方法
12-25
本文实例为大家分享了python调用tcpdump抓包过滤的具体代码,供大家参考,具体内容如下 之前在linux用python脚本写一个抓包分析小工具,实在不想用什么libpcap、pypcap所以,简单来了个tcpdump加grep搞定。基本思路是分别起tcpdump和grep两个进程,进程直接通过pipe交换数据,简单代码如下: #! /usr/bin/python def tcpdump(): import subprocess, fcntl, os # sudo tcpdump -i eth0 -n -s 0 -w - | grep -a -o -E "Host: .*|GET
tcpdump抓包按内容过滤
wry2008wry的专栏
10-15 1342
tcpdump -i any -A |grep xxxx -i any表示所有网络接口 -A表示按ascii打印内容
tcpdump高级过滤
happylzs2008的专栏
10-07 1119
tcpdump高级过滤 https://www.cnblogs.com/jiujuan/p/9017495.html 一:查看帮助选项# tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ ...
tcpdump常用与高级过滤方法整理
wfj_uestc的博客
05-06 7847
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
【博客562】tcpdump在生产中的常见用法与复杂过滤规则
qq_43684922的博客
12-18 1112
基本语法:一般使用语法 proto [ expr : size ]。proto:指定要查看的报文头——ip则查看IP头,tcp则查看TCP头。expr:给出从报文头索引0开始的位移。即:报文头的第一个字节为0,第二字节为1size:可选的,指定需要使用的字节数,1,2或4。
tcpdump抓包命令和wireshark过滤条件
西瓜游侠的博客
01-14 1052
1、抓包 tcpdump -i any -s 0 -w asd.cap tcp 这个是http的(不指定端口) tcpdump -i any -s 0 -w asd.cap tcp port 6041 这个是http的(指定端口) 2、wireshark常用过滤(多个条件用and) 过滤源ip地址:ip.src == 1.1.1.1 过滤目的ip地...
TCPDUMP——抓包、筛选、高级筛选
modi000的博客
02-08 2454
https://wiki.wireshark.org/SampleCaptures/ 下载各种网络包的示例 TCPDUMP——抓包 抓包 默认之抓包68个字节 tcpdump -i eth0 -s 0 -w file.pcap Tcpdump -i eth0 port 22 读取抓包文件 Tcpdump -r file.pcap 实际操作: 查看参数:tcpdump -h 常用: tcpdump -i eth0 -s 0 -w a.acp -i eth0: 用eth0 接口进行抓包...
tcpdump简单抓包分析
背着行囊去远方的博客
05-20 3804
socket传输数据时,如果不采用加密的方式,使用tcpdump抓包可获取传输数据,这里简单记录一下,用于以后深入分析。 socket通信可以参考之前写的博客: https://blog.csdn.net/xiadeliang1111/article/details/85210205 服务端启动之后: 客户端发送: ./client 127.0.0.1 "welc...
tcpdump 过滤ip 抓包命令
12-01
下面是 tcpdump 过滤 IP 抓包的命令: 1. 抓取指定源 IP 的数据包:`tcpdump src host <source_ip>` 2. 抓取指定目标 IP 的数据包:`tcpdump dst host <destination_ip>` 3. 抓取指定源 IP 和目标 IP 的数据包:`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值