Tcpdump使用记录

最新推荐文章于 2023-04-26 13:30:00 发布
最新推荐文章于 2023-04-26 13:30:00 发布
阅读量243 收藏
点赞数
分类专栏: linux编程 文章标签: 网络协议 tcpdump 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Megahertz66/article/details/104182056
版权

How To Use Tcpdump

Parameter Description

-i  specify the network card. (E.g eth0)  
-c  specify the numbers of packets that the Tcpdump can capture 
-v  it can produce more detailed data
-e  it can print the link header data
-D  it can print network interface that can capture packets. (E.g tcpdump -D)
-n  display the address in numbers
-nn in addition to the function of '-n',the port can also be displayed in digital form.

Output Format

例一,dns捕获

tcpdump -nn -v -i enp1s0 port domain
enp1s0 是ubuntu18.04中的网卡名称
此时在另外一个终端,输入:
host www.taobao.com
在第一个窗口得到如下输出:
插图
hh:mm:ss.xxxxxx 表示时间,在手册中提到改时间很精准。 ttl 剩余跳数。 id (ipv4标识 Identification)对于每个数据包都不同,逐个加1。offest分片偏移。flag(DF)不分片(Don‘t Fragment)。proto 协议类型。length 长度,此处包含UDP和IP头部。
为 src > dst形式,前面为IP地址,最后一个点后面是端口号。’+‘前面是查询编号。 ’+‘ 代表如果服务器不知道答案,向别的服务器请教。[1au] 暂时不知道。A?是要知道后面那个网址的地址的意思。()中数组是此次查询大小的结果,单位字节。
下面一条, 4/0/1这个使用’/‘隔开的意思是,4条应答记录,0条名称服务器记录,以及1条附加记录(根据tcpdump man手册)。CNAME(别名记录),后面的A为(Addriess 记录)。这一条的意思是,’www.taobao.com‘ 这个网址是 ’www.taobao.com.danuoyi.tbcache.com‘ 这玩意的别名,这玩意还有四个网址分别是……
下一条,有了上面得分析接下来得就不是个事了。虽然[1au]依然不知道什么意思!!AAAA? 就是要问问那个几个IP得MAC地址是多少。
下~, 然后就告诉它,这四个MAC地址都是啥。
下~, 然后它又问, ’www.taobao.com.danuoyi.tbcache.com‘ 这玩意得记录。MX?,(MX recard 邮件交换记录) 问后面的地址这个记录,解释如下:

邮件交换记录 (MX record)是域名系统(DNS)中的一种资源记录类型,用于指定负责处理发往收件人域名的邮件服务器。MX记录允许设置一个优先级,当多个邮件服务器可用时,会根据该值决定投递邮件的服务器。简单邮件传输协议(SMTP)会根据MX记录的值来决定邮件的路由过程。——百度百科
用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。域名的MX记录需要到域名管理界面才可以更改。
例如,当有人发邮件给“vincen@example.com”时,系统将对“example.com”进行DNS中的MX记录解析。如果MX记录存在,系统就根据MX记录的优先级,将邮件转发到与该MX相应的邮件服务器上。 ——腾讯企业邮 帮助中心

我也不知道为什么要问这个邮箱干什么。反正是问了(再好好研究一下dns协议吧)。
下~,回了个 0/1/1 这个和上面那个解释不太一样。这个代表答案记录数、域名服务器授权记录、其他记录(貌似和上面是一样的哦,就是换了个叫法。《Effective TCP/IP Programming》中的解释
**破案了(20.1.7)!**这三个是DNS协议的消息头后6个字节。
下~, 和上面一模一样就不逐条解释了。

例二,ping包捕获

窗口1(由于ping是根据icmp协议实现的):
tcpdump -s 1500 -vv -i enp1s0 icmp or ftp
窗口2(随便找一个不能成功的连接):
ftp 172.21.2.66
插图
从那个icmp报文开始。
说的比较明白,是网络不可达
下面还有一个UDP报文,NXDomain 意思是域名不存在。PTR也是一个邮件记录(不懂为什么要这么做)。
下表为完整的ICMPV4 网络不可达报文格式(下方数字为各个部分字节数):

IPV4头ICMP头违规数据报IP头UDP/TCP头差错数据
208208<=520

尽可能包含尽量多的ICMP报文,但是总长度不得超过 20+8+20+8+520=576字节。——TCP/IP卷一原书368页

其他一些使用Tcpdump的例子

#抓取所有经过eth1,目的或源端口是25的网络数据
tcpdump -i eth1 port 25  

#指定目的端口 
tcpdump -i eth1 dst port 25  

#指定源端口
tcpdump -i eth1 src port 25

#网络过滤
tcpdump -i eth1 net 192.168
tcpdump -i eth1 src net 192.168
tcpdump -i eth1 dst net 192.168

#协议过滤
tcpdump -i eth1 arp
tcpdump -i eth1 ip
tcpdump -i eth1 tcp
tcpdump -i eth1 udp
tcpdump -i eth1 icmp

#抓大于X字节的包
tcpdump -i eth1 'ip[2:2] > 600'

#抓HTTP get的数据包
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
Megahertz66
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump中文手册
11-03
tcpdump 是一款强大的网络数据包分析工具,广泛应用于Linux系统中,用于捕获、分析和记录网络中的数据包。它可以帮助管理员监控网络流量,诊断网络问题,以及进行安全审计。以下是对tcpdump的详细说明: 1. **...
tcpdump文件,tcpdump
10-18
tcpdump是一款广泛使用网络封包分析工具,主要在命令行环境下操作,允许用户实时监控和记录网络上的数据传输。这个工具对于网络管理员、系统管理员以及IT专业人士来说是必不可少的,因为它可以帮助他们诊断网络...
如何使用TCPDUMP(持续。。。)
Megahertz66的博客
01-12 294
How To Use Tcpdump Parameter Description -i specify the network card. (E.g eth0) -c specify the numbers of packets that the Tcpdump can capture -v it can produce more detailed data -e it can pr...
TCPDUMP学习记录
qq_53320067的博客
05-23 216
TCPDUMP学习记录 tcpdump提供了一系列命令,用于抓取网络层的数据,进行分析和问题定位。由于在linux环境下没有合适的图形化界面软件进行数据的分析,一般采用tcpdump抓取网络层数据,然后将数据文件导入Wireshark(一个网络数据分析工具)进行分析 安装tcpdump [root@hadoop104 ~]# yum install tcpdump #截获某IP的主机的网络数据包 tcpdump host 192.168.0.120 #抓10万个包,存在test.txt文件里,-n的
tcpdump 抓包记录
sy13718580212的博客
03-29 310
tcpdump 抓包使用记录 针对单个ip抓包 tcpdump -s 0 -w /tmp/test.cap host ip node01 测试22端口 测试抓包 针对网段抓包 tcpdump -s 0 -w /tmp/test.cap src net ip/掩码 node01 测试22端口 node02 测试抓包 ...
tcpdump 使用记录
jsd2root的博客
06-09 248
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实用命令实例 默认启动 tcpdump 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1
tcpdump记录
qq_43797634的博客
02-25 1811
# 监视eth1 tcpdump -i eth1 # 打印所有www.baidu.com相关的包 tcpdump host www.baidu.com tcpdump host 192.168.0.1 # 打印 nn1和nn2或nn3 主机间通信的包,这里可以替换成ip tcpdump host nn1 and \( nn2 or nn3 \) # 打印nn1和非nn2之间的ip数据包 tcpdump ip host nn1 and not nn2 # 发送者是nn1的数据包 tcpdump -i eth0
tcpdump(windows版).zip
01-27
tcpdump是一款广泛使用网络数据包分析工具,主要用于捕获、记录和分析网络上的数据包。在Linux和Unix系统中,它是标准的网络诊断工具之一,而在这个案例中,我们讨论的是tcpdump的Windows版本。这个压缩包...
如何使用tcpdump抓包
07-29
本篇文章将详细介绍如何使用tcpdump进行抓包操作。 一、tcpdump基本概念 1. 数据包:在网络中传输的信息单元,包含源地址、目标地址、协议类型以及数据内容。 2. 抓包:通过软件监听网络接口,记录所有经过的...
tcpdump android 4.9.3/1.9.1
04-08
当运行tcpdump时,用户可以指定一系列参数来过滤和记录感兴趣的网络流量,例如基于协议(如TCP、UDP)、端口、主机地址等条件。 使用tcpdump进行网络分析的一些关键知识点包括: 1. **命令行参数**:tcpdump提供了...
tcpdump使用
kongkong的专栏
11-07 447
在国网内网的测试机上,一个温湿度程序的调试,在公司能正常接收数据,在现场环境不行,由于代码其他人写的,就想到了抓包,由于没有桌面,不能用wireshark,于是就想到了tcpdump工具。这个也是第一次使用,最终还是通过这个工具,找到了问题的原因,于是就记录下简单常用的命令。 # install yum install tcpdump 1. 监听主机 host ...
Linux常用命令history/tcpdump/awk/grep
weixin_30347009的博客
11-16 175
1. 历史命令回显history 查询是什么时间什么人操作过文件: echo 'export HISTTIMEFORMAT="%F %T `whoami` "' >> /etc/profile ubuntu系统:查询是什么时间什么人登录的ip操作过文件: export HISTFILESIZE=10000000 export HISTSIZE=1000000 ...
如何利用tcpdump抓包?
Gblfy_Blog
05-04 826
文章目录一、基本使用1. 安装tcpdump2. 使用方法二、案例实战2.1. 企业案例背景2.2. 抓包实战三、网卡接口获取3.1. centos7.x使用3.2. centos6.x使用 一、基本使用 1. 安装tcpdump yum install tcpdump -y 2. 使用方法 tcpdump -i 网卡接口 协议 -n 注:协议可以接vrrp tcp udp ssh ftp ...
tcpdump使用方法总结
linux_tcpdump的博客
01-28 636
tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是
tcpdump使用详解
SL_ss123的博客
10-10 2154
tcpdump使用
TCPDump抓包工具的使用(附零基础学习资料)
分享Python知识
04-26 441
TCPDump抓包工具的使用(附零基础学习资料)
tcpdump抓包
流浪青春
09-14 86
/mnt/mmc01/tcpdump -s 0 xxx -w 文件名.pacp xxx表示网卡名
linux抓包工具tcpdump使用总结
06-27 134
tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上 1、格式 # tcpdump --help tcpdump version 4.1-PRE-CVS_2012_03_26libpcap version 1.4.0Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count...
请写一篇tcpdump使用文档
最新发布
05-27
tcpdump是一款功能强大的网络抓包工具,可以用来实时显示和记录网络数据包,以及对数据包进行过滤和分析。本文将介绍tcpdump的安装和使用方法,帮助用户更好地使用该工具。 ## 安装tcpdump tcpdump是一款开源软件,可以通过包管理器进行安装。以Ubuntu系统为例,可以使用以下命令进行安装: ``` sudo apt-get install tcpdump ``` 安装完成后,即可开始使用tcpdump。 ## 使用tcpdump 在终端中输入tcpdump命令即可启动tcpdump,它会自动开始捕获网络数据包并实时显示。用户可以通过按下不同的键来进行控制和分析tcpdump的捕获结果。 以下是一些常用的tcpdump使用示例: ### 捕获所有网络接口的数据包 ``` sudo tcpdump -i any ``` 该命令将捕获所有网络接口的数据包,并实时显示。 ### 按照协议进行过滤 ``` sudo tcpdump -i eth0 icmp ``` 该命令将捕获eth0网络接口中的所有ICMP数据包。 ### 按照源IP地址进行过滤 ``` sudo tcpdump -i eth0 src 192.168.1.1 ``` 该命令将捕获eth0网络接口中的所有源IP地址为192.168.1.1的数据包。 ### 按照目标IP地址进行过滤 ``` sudo tcpdump -i eth0 dst 192.168.1.1 ``` 该命令将捕获eth0网络接口中的所有目标IP地址为192.168.1.1的数据包。 ### 保存捕获结果到文件中 ``` sudo tcpdump -i eth0 -w capture.pcap ``` 该命令将把eth0网络接口中的所有数据包保存到名为capture.pcap的文件中。 ### 从文件中读取捕获结果 ``` sudo tcpdump -r capture.pcap ``` 该命令将从名为capture.pcap的文件中读取捕获结果,并进行分析和显示。 ### 使用过滤器进行更复杂的过滤 ``` sudo tcpdump -i eth0 'src net 192.168.1.0/24 and dst port 80' ``` 该命令将捕获eth0网络接口中源IP地址为192.168.1.0/24且目标端口为80的数据包。 ## 总结 以上是tcpdump的一些常用使用方法,用户可以根据自己的需要进行配置和操作。tcpdump是一款强大的网络抓包工具,可以帮助用户实时抓取并分析网络数据包,对于网络管理员和开发人员来说非常有用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值