tcpdump 命令简单使用

最新推荐文章于 2024-05-09 22:15:56 发布
最新推荐文章于 2024-05-09 22:15:56 发布
阅读量779 收藏
点赞数 1
分类专栏: linux 文章标签: tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gekkoou/article/details/50817709
版权

常用命令

tcpdump -i eth1 #监视指定网络接口的数据包,不指定则默认监视第一个网络接口,一般是eth0
hostname 可为主机名或者IP
tcpdump host 192.168.1.1 #获取所有对此 IP 的主机接收和发出的所有的数据包
tcpdump src host hostname #获取主机hostname发送给本机的所有数据包 (src是source的缩写)
tcpdump dst host hostname #获取本机发送给主机hostname的所有数据包 (dst是destination的缩写)

tcpdump 与 wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在 Windows 里分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

  1. tcp:ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
  2. -i eth1:只抓经过接口eth1的包
  3. -t:不显示时间戳
  4. -s 0:抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
  5. -c 100:只抓取100个数据包,不填默认持续不断的监听
  6. dst port ! 22:不抓取目标端口是22的数据包
  7. src net 192.168.1.0/24:数据包的源网络地址为192.168.1.0/24
  8. -w ./target.cap:保存成cap文件,方便用 wireshark分析

输出信息含义

首先我们注意一下,基本上tcpdump总的的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数

TCP 数据包
通常tcpdump对tcp数据包的显示格式如下:
src > dst: flags data-seqno ack window urgent options

src 和 dst 是源和目的IP地址以及相应的端口.
flags 标志由S(SYN), F(FIN), P(PUSH, R(RST),W(ECN CWT(未知, 需补充))或者 E(ECN-Echo(未知, 需补充))组成, 单独一个'.'表示没有flags标识.
数据段顺序号(Data-seqno)描述了此包中数据所对应序列号空间中的一个位置(整个数据被分段, 每段有一个顺序号, 所有的顺序号构成一个序列号空间).
Ack 描述的是同一个连接,同一个方向,下一个本端应该接收的(对方应该发送的)数据片段的顺序号.
Window是本端可用的数据接收缓冲区的大小(也是对方发送数据时需根据这个大小来组织数据).
Urg(urgent) 表示数据包中有紧急的数据.
options 描述了tcp的一些选项, 这些选项都用尖括号来表示(如 <mss 1024>).

典型的三次握手流程
1. 连接发起方 发送SYN标志的数据包
2. 接收方 用带有SYN和ACK标志的数据包进行回应
3. 发起方收到接收方回应后再发送带有ACK标志的数据包进行回应


UDP 数据包
UDP 数据包的显示格式,可通过rwho这个具体应用所产生的数据包来说明:
src.port > dst.port: udp 84

其含义为:src主机上的端口port向dst主机上的端口port发送了一个udp数据包(src和dst都是指Internet地址).
这个数据包承载的用户数据为84个字节.

名称服务请求有如下的格式:
src > dst: id op? flags qtype qclass name (len)

比如有一个实际显示为:
h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

主机h2opolo 向helios 上运行的名称服务器查询ucbvax.berkeley.edu 的地址记录(qtype等于A).
此查询本身的id号为'3'.
符号'+'意味着递归查询标志被设置(dns服务器可向更高层dns服务器查询本服务器不包含的地址记录).
这个最终通过IP包发送的查询请求数据长度为37字节, 其中不包括UDP和IP协议的头数据. 因为此查询操作为默认值(normal one的理解), op字段被省略.
如果op字段没被省略, 会被显示在'3''+'之间. 同样, qclass也是默认值, C_IN, 从而也没被显示, 如果没被忽略, 她会被显示在'A'之后.

此处省略各种包各种格式,详情请参考本文底部文章链接。

tcpdump条件表达式

表达式由一个或多个'表达元'组成(primitive, 表达元, 可理解为组成表达式的基本元素).
一个表达元通常由一个或多个修饰符(qualifiers)后跟一个名字或数字表示的id组成(qualifiers id).
有三种不同类型的修饰符: type, dir以及 proto.
由于括号是shell的特殊字符, 所以在shell脚本或终端中使用时必须对括号进行转义, 即'('')'需要分别表达成'\(''\)'

常用的操作符

否定操作 ('!''not')
与操作('&&''and')
或操作('||''or')

例如:
获取 helios 与 hot 或者与 ace 之间通信的数据包
tcpdump host helios and \( hot or ace \)

获取主机 210.27.48.1 除了和主机 210.27.48.2 之外所有主机通信的ip包

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

打印所有通过网关snup的ftp数据包 (注意, 表达式被单引号括起来了, 这可以防止shell对其中的括号进行错误解析)

tcpdump 'gateway snup and (port ftp or ftp-data)'

参考文章地址:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html




Gekkoou
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux使用tcpdump命令监视指定网络数据包的方法
09-15
linux使用tcpdump命令监视指定网络数据包的方法,大家参考使用
Tcpdump命令详解
06-03
### Tcpdump命令详解 #### 一、Tcpdump简介与安装 Tcpdump是一款广泛应用于网络监控的强大工具,主要用于抓取网络中的数据包,并对其进行分析。它能够帮助系统管理员追踪网络问题,进行安全审计以及网络流量分析等...
Tcpdump命令介绍
haoyuxuanyuan的博客
03-04 8147
TCPdump是一种在Unix/Linux系统下运行的命令行网络抓包工具。它能够截获数据包并将其以文本形式输出,用户可以使用各种过滤器对数据包进行筛选,从而实现对网络流量的监控、分析和故障排除等功能。TCPdump常用命令:1、tcpdump -i:指定抓取的网络接口。2、tcpdump -c:指定抓取的数据包数量。3、tcpdump -n:不解析IP和端口号。4、tcpdump -s:设置抓包的数据包大小。5、tcpdump -X:以十六进制和ASCII码形式输出数据包内容。
【Linux】tcpdump命令详解
weixin_33943836的博客
02-22 79
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。 它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句帮你过滤到无用的信息。 实用命令实例 1.普通情况下,直接启动tcpdump将监视第一个网络端口所有流过的数据包。 tcpdump 2.如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0. tc...
超详细解析wireshark捕获过滤器语法
Ewige的博客
11-03 6477
这里写目录标题使用捕获过滤器指定捕获哦过滤器基于类型过滤 使用捕获过滤器 指定捕获哦过滤器 捕获过滤器的语法格式为: <Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression> 以上语法解析: ● Protocol (协议) :该选项用来指定协议。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 l
5分钟的Wireshark分析
qq_56924160的博客
03-07 1万+
Wireshark最基础用法 捕获过滤器 Host 目标IP:只捕获目标IP Scr host 目标IP:只捕获源IP是目标IP的 Dst host 目标IP:只捕获目标IP是目标IP的 Port 端口:只捕获固定端口 Ether host Mac地址:只捕获目标MAC地址 Port 端口 ||/&& host 目标IP:只捕获目标IP的目标端口/只要有目标IP或目标端口都要捕获 !port 端口:只捕获不是目标端口 Scr port 端口:只捕获源端口是目标端口的 Dst
Linux中的tcpdump命令示例详解
09-15
tcpdump命令使用并不简单,它提供了丰富的选项来定制捕包行为。例如: - `-s number`:设置数据包的抓取长度,默认是96字节,`number`可以设定为需要抓取的字节数,0表示抓取完整包。 - `-n`:不解析域名,直接...
vim-tcpdump:tcpdump 命令输出的简单语法高亮显示
06-27
使用 .tcpd 扩展名保存的 tcpdump 输出文件的简单语法突出显示只是为了好玩......所以它可能有很多问题...... :-)) 它是什么样子的? 安装 该项目可以手动安装,也可以使用病原体安装。 手动安装 下载 syntax/...
tcpdump命令详解
wj31932的博客
06-05 11万+
本文介绍tcpdump命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump工具详解
抽象的螺旋
08-22 3096
tcpdump详解
wireshark捕获指定ip地址数据包
业精于勤荒于嬉;行成于思,毁于随。
06-06 3万+
显示过滤:wireshark过滤经过指定ip的数据包 显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。 ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包[喝小酒的网摘]http://blog.hehehehehe.cn/a/17928.htm ip.dst==192.168.1.1 //显示目标地址是192.168
Wireshark过滤器使用规则介绍
ultraneice的专栏
06-02 3万+
之前学习Wireshark,看到wireshark简明教程里有关过滤器的介绍,特别是新手不明白捕捉过滤器和显示过滤器的区别与作用。这篇文章感觉写的挺好,解答了我的疑惑,毕竟看英文也是挺吃力的而且自己理解意思也不太明确。特地转来,顺便加了点料,特来分享。使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 过滤器的区别捕捉过滤器(CaptureFilters):用于决定
tcpdump非常实用的抓包实例
热门推荐
nanyun2010的专栏
04-11 18万+
基本语法 ======== 过滤主机 -------- - 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump -i eth1 src host 192.168.1.1 - 目的地址 # tcpdump -i eth1 dst host 192.168.1
Linux抓包工具tcpdump
EsDeath_99的博客
04-25 1041
命令格式:tcpdump option proto dir typeproto(协议)2.ip、ipv63.arpdir(数据的方向 )1.src 192.168.7.130 只抓取源地址是7.1302.dst 192.168.7.131 只抓取目的地是7.1313.src 192.168.7.130 and dst 192.168.7.131 只抓取130到131之间的type(抓取的数据类型)1.host:主机2.net:网段3.port:端口。
Tcp抓包指南
wulitaotao96的博客
03-28 4763
Tcpdump工具笔记 参考链接:tcpdump高级过滤 - 九卷 - 博客园 作用: 对网络上的数据包进行截获的包分析工具 常用参数: -a 将网络地址和广播地址转变成名字 -e 在输出行打印出数据链路层的头部信息 -i 指定监听的网络接口 -n 不进行IP地址到主机名的转换 -nn: 表示以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务 -A: 以ascii的方式显示数据包,抓取web数据时很有用 -X: 数据包将会以16进制和ascii的方式显示 -v 输出..
linux下使用tcpdump抓取数据包
new9232的博客
05-02 9896
我们都知道windows系统下抓包有强大的wireShark工具,Linux下则可以使用tcpdump进行抓包。 tcpdump命令格式 tcpdump option proto dir type option : 可选参数 -w 写数据到文件 -r 从文件读数据 -A 以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据 proto : 协议。 tcp udp ether wlan ip ip6 dir : 方向。 .
【数据库测试】tcpdump抓包
test_dog的博客
11-04 3475
tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
2024年运维最全Linux之抓包神器Tcpdump ~_linux抓tcp包(1),2024年最新作为一个Linux运维程序员你还不会JetPack
最新发布
AUZKAY的博客
05-09 349
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
TCPDUMP
好好活着
08-19 297
Tcpdump使用   tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ]   1. tcpdump的选项介绍   -a 将网络地址和广播地址转变成名字;   ...
如何使用tcpdump命令抓包
08-29
- *2* [tcpdump命令以及简单使用](https://blog.csdn.net/qq_34398519/article/details/100736161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值