tcpdump(六)输出解读

最新推荐文章于 2024-05-28 14:54:27 发布
最新推荐文章于 2024-05-28 14:54:27 发布
阅读量5k 收藏 12
点赞数 4
分类专栏: tcpdump 文章标签: tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qevery678/article/details/89182872
版权 
[root@test ~]# tcpdump -i ens39 -nn -X 'port 22' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes
14:31:53.579814 IP 192.168.146.6.62625 > 192.168.146.131.22: Flags [P.], seq 614429695:614429763, ack 3852162272, win 4101, length 68
	0x0000:  4500 006c 4cc9 4000 8006 07e8 c0a8 9206  E..lL.@.........
	0x0010:  c0a8 9283 f4a1 0016 249f 73ff e59b 54e0  ........$.s...T.
	0x0020:  5018 1005 b7e2 0000 0000 0020 8b78 77e3  P............xw.
	0x0030:  d830 0129 84fe 2b2e b27e cebb 8b81 ca8d  .0.)..+..~......
	0x0040:  1dde fb10 3e63 0694 e48e 773d 9fcd 072d  ....>c....w=...-
	0x0050:  6fd9 30a1 73be c6bb a8f3 64a2 f406 4acf  o.0.s.....d...J.
	0x0060:  6aec 95b2 656f 2d67 0344 f6de            j...eo-g.D..
1 packet captured
3 packets received by filter
0 packets dropped by kernel

解释第2行

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

这是一句贴心的提醒,就是说你的命令里没有用到-v和-vv,如果希望看到更多的内容,可以使用这两个命令。

解释第3行

listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes

这一句表示我们监听的是流经ens39这个网卡的网络包,且它的链路层是基于以太网的,要抓的包大小限制是262144字节。

解释第4行

14:31:53.579814 IP 192.168.146.6.62625 > 192.168.146.131.22: Flags [P.], seq 614429695:614429763, ack 3852162272, win 4101, length 68

”14:31:53.579814“  :分别对应着这个包被抓到的 ‘时’、‘分’、‘秒’、‘微秒’ 。

“IP”  :表示这个包在网路层,是IP包 。

“192.168.146.6.62625”  : 表示这个包的源IP为192.168.146.6,源端口为62625  。

“ > ” : 表示数据包的传输方向 。

“192.168.146.131.22” :表示这个包要发向的目的端IP是192.168.146.131,目的端口为22 。

解释5/6/7/8 行

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...Kn 

这几行便是IP包的内容了,是除去以太网之后剩下的内容,其中,左侧部分是十六进制内容,右侧部分是相应的ASCII码内容。

如上,最外层是IP数据包,最开始的一个字节(8位)中,前4位(bit)表示IP的版本,此处为4,表示这是一个IPv4版本的IP包。后4位(bit)表示此IP的首部长度此处的数字是5,由于单位是“4字节”,因此可以计算得出这个IP包的首部长度是固定的20字节。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...Kn 

如上所示,在IP版本和首部长度之后,接下来的一个字节(8位)是“00”,这是IP协议的服务类型域(TOS),由于很少使用,因此此处设置为00.

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...Kn 

如上所示,后面的2字节(16位)是“006c”,表示整个IP包的总长度(首部长度+数据长度),单位是字节。因此可以知道这个IP包的总长度是108字节.

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...Kn 

如上所示,这是2字节(16位)的“表示域”,如果IP包的大小超过了数据链路层的MTU限制,就需要对IP包进行分拆,此时就要用这个域来表示哪些在分拆前是同一组的。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...Kn 

如上所示,便是3位(bit)的标志位,最高位为保留位,中间一位为DF(don't fragment),最低位为MF(more fragment),这三位是用来控制IP拆包后的组装所用。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,是8位(bit)的TTL(Time To Live,即生存周期),此包的值位0x80,换算成十进制是128,这表明这个网络包,如果经过超过128个中间路由节点,则认为目的地不可达,中间路由器会将此包抛掉。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,8位(bit)为协议域,用于指代上一层协议类型,此处的值为0x06,对应 十进制是6,而6是TCP协议的代号,因此可以知道这个网络包所用的传输协议是TCP。(UDP的协议号是17,TCMP的协议号是1).

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,2个字节表示IP首部校验和,此处计算出来的结果是07cf。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,这就是我们非常熟悉的4字节的IP源地址,即 “coa8 9206”,转换成IP地址为192.168.146.6 。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,这个4字节为IP目的地址,即 “c0a8 9283”,转成IP地址为 192.168.146.131 .

以上,网络层IP协议的首部20字节,下面是进入传输层UDP协议的包分析阶段。

UDP协议包分析

UDP包的首部总共有8个字节 (如下)

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

UDP首部的前2个字节为源端口,此处为 f4a1 ,即62625.后面的2字节是目的端口,值为 0016 ,即22 (ssh服务).

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,这2字节则表示UDP包的总长度 ( 报头+数据部分) 此处为 249f,转换成十进制是9375,表示UDP包的总长度为9375字节,减去首部的8字节还有9367字节来存储真正要传输的数据。而UDP首部的最后2个字节是“校验和”部分,此处的值为7667。

    0x0000:  4500 006c 4ce2 4000 8006 07cf c0a8 9206  E..lL.@.........
    0x0010:  c0a8 9283 f4a1 0016 249f 7667 e59b 5668  ........$.vg..Vh
    0x0020:  5018 1009 8eae 0000 0000 0020 a29f 050f  P...............
    0x0030:  014f e8f7 9bea 266e aa78 43bc 89be 4b6e  .O....&n.xC...K

如上所示,则是应用层协议的内容。

 

清风的BLOG
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tcpdump输出分析
Chinainvent的专栏
01-11 1万+
以前在TCP卷一里,看到过tcpdump的使用。当时,没太在意,尤其它输出的格式,因为不熟悉,更不愿去用它。这段时间的开发,用socket比较多。在遇到问题时,仅从socket api函数的返回值,往往看不出问题的实质。后来,经laser提醒,才知道tcpdump的强大。这里不想介绍tcpdump的选项,我只想举一些实例,以便给自己作个笔记。使用以下命令,监听15001端口的tcp连接,-
利器Tcpdump的使用
蓝法典的专栏
04-03 2073
tcpdump采用命令行方式,它的命令格式为:  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]          [ -T 类型 ] [ -w 文件名 ] [表达式 ]  1. tcpdump的选项介绍   -a    将网络地址和广播地址转变成名字;  
tcpdump抓包,抓包导出.pcap文件用wireshark看
最新发布
Mr_wilson_liu的博客
05-28 668
tcpdump -i any host 设备的ip。
tcpdump输出内容分析
FreeeLinux's blog
11-25 1万+
我们就针对上图中所抓的这个包来进行分析。 1.“tcpdump: verbose output suppressed, use -v or -vv for full protocol decode” 这是说你命令没有用到-v和-vv,如果你用了这两个选项,输出就会有更多内容。 2.“listening on eth0, link-type EN10MB (Ethernet), c
tcpdump指令与输出解释
nb_zsy的博客
07-11 3018
原文:https://blog.csdn.net/lgh1117/article/details/80213397 tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。 tcpdump采用命令的方式,他的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snap
tcpdump抓包分析详解
热门推荐
不用此栏
01-08 8万+
 說實在的,對於 tcpdump 這個軟體來說,你甚至可以說這個軟體其實就是個駭客軟體, 因為他不但可以分析封包的流向,連封包的內容也可以進行『監聽』, 如果你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 很可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行)
linux tcpdump命令以及结果分析
好读书,每有会意,便欣然忘食。
10-29 1671
tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark等软件进行查看。 1.针对特定网口抓包(-i选项) 当我们不加任何选项执行tcpdump时,tcpdump将抓取通过所有网口的包;使用-i选项,我们可以在某个指定的网口抓包: linux:/tmp/lx #
tcpdump抓包分析
07-10
tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-03 2482
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件中。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump:命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
tcpdump详细数据显示方法
嵌入式技术在路上
02-19 1万+
抓取UDP某一个端口的数据,显示详细信息 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 抓取发到服务器的某一个端口的数据: tcpdump udp port 18290 -XX -vvv -nn -v:当分析和打印的时候,产生详细的输出。 -vv:产生比-v更详细的输出。 ...
tcpdump抓包命令及结果分析
weixin_33739523的博客
05-15 2618
tcpdump抓包分析详解tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark等软件进行查看。1.针对特定网口抓包(-i选项)当我们不加任何选项执行tcpdump时,tcpdump将抓取通过所有网口的包;使用-i选项,我们可以在某个指定的网口抓包:linux...
运维系列:tcpdump命令详解
weixin_54626591的博客
01-04 4932
tcpdump命令详解
TCP dump使用
qq_33163046的博客
01-30 1万+
抓包工具在分析通信网络传输故障时发挥着重要作用,不仅可以用wireshark 进行抓包,也可以用Linux的tcpdump做抓包。 下面是tcpdump的基本使用方法:   1 基本语法 过滤主机 - 抓取所有经过 eth1,目的或源地址是192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump
tcpdump 抓包工具详细图文教程(下)
Stars.Sky 的博客
06-01 6100
tcpdump 抓包工具详细图文教程
Tcpdump详细参考
qq_36184671的博客
09-30 141
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型...
tcpdump参数用法详解
07-09 930
一直在linux下开发的人一定会用到tcpdump,下面就是关于tcpdump的使用方法说明 (1). tcpdump的选项 -a 将网络地址和广播地址转变成名字; -d 将匹配信息包的代码以人们能够理解的汇编格式给出; -dd 将匹配信息包的代码以c语言程序段的格式给出; -ddd 将匹配信息包的代码以十进制的形式给出; -e 在
通过tcpdump确认Linux系统是否收到和响应ping包
guochunbiao0416的博客
12-15 1424
简单说就是发现某系统无法被ping通,需要确认是服务器收到了ping包没有响应,还是它压根没有收到ping包 在Linux系统上执行以下命令 1 tcpdump-ieth0icmp -i:指定检测哪个网口,不指定此参数将捕获所有接口数据,包括lo; #-v:显示详细信息,可选,对于上述问题来讲,不加-v也能完成,且输出格式更整齐; icmp:ping包走icmp协议,这个不用解释了吧 执行命令后,查看是否有request和reply。如下...
tcpdump输出
04-26
当使用tcpdump命令进行网络数据包捕获时,可以通过一些选项来控制输出的内容。如果你希望tcpdump输出捕获到的数据包内容,可以使用以下选项之一: 1. `-q` 或 `--quiet`: 这个选项使得tcpdump以更加安静的方式运行,不会输出捕获到的数据包的内容,只显示简要的摘要信息。 2. `-l` 或 `--immediate-mode`: 这个选项使得tcpdump立即将捕获到的数据包输出到终端,而不是先缓存起来再一次性输出。这样可以实时查看数据包,但是不会显示数据包的内容。 3. `-n` 或 `--numeric`: 这个选项使得tcpdump不对IP地址和端口号进行解析,直接显示数字形式的IP地址和端口号,而不是域名或服务名。 下面是相关问题: 1. tcpdump是什么? 2. tcpdump有哪些常用选项? 3. 如何使用tcpdump进行网络数据包捕获? 4. tcpdump如何根据协议类型过滤数据包?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值