Linux基础急速入门:用 TCPDUMP 抓包

最新推荐文章于 2024-04-17 13:37:27 发布
最新推荐文章于 2024-04-17 13:37:27 发布
阅读量154 收藏
点赞数
分类专栏: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stestack/article/details/92735781
版权

 

简介

 

网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。

 

tcpdump - dump traffic on a network

 

例子

 

不指定任何参数

 

监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。

 

tcpdump

 

监听特定网卡

 

tcpdump -i en0

 

监听特定主机

 

例子:监听本机跟主机182.254.38.55之间往来的通信包。

 

备注:出、入的包都会被监听。

 

tcpdump host 182.254.38.55

 

特定来源、目标地址的通信

 

特定来源

 

tcpdump src host hostname

 

特定目标地址

 

tcpdump dst host hostname

 

如果不指定srcdst,那么来源 或者目标 是hostname的通信都会被监听

 

tcpdump host hostname

 

特定端口

 

tcpdump port 3000

 

监听TCP/UDP

 

服务器上不同服务分别用了TCP、UDP作为传输层,假如只想监听TCP的数据包

 

tcpdump tcp

 

来源主机+端口+TCP

 

监听来自主机123.207.116.169在端口22上的TCP数据包

 

tcpdump tcp port 22 and src host 123.207.116.169

 

监听特定主机之间的通信

 

tcpdump ip host 210.27.48.1 and 210.27.48.2

 

210.27.48.1除了和210.27.48.2之外的主机之间的通信

 

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

 

稍微详细点的例子

 

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

 

  • (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型

  • (2)-i eth1 : 只抓经过接口eth1的包

  • (3)-t : 不显示时间戳

  • (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

  • (5)-c 100 : 只抓取100个数据包

  • (6)dst port ! 22 : 不抓取目标端口是22的数据包

  • (7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24

  • (8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

 

抓http包

 

TODO

 

限制抓包的数量

 

如下,抓到1000个包后,自动退出

 

tcpdump -c 1000

 

保存到本地

 

备注:tcpdump默认会将输出写到缓冲区,只有缓冲区内容达到一定的大小,或者tcpdump退出时,才会将输出写到本地磁盘

 

tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

 

也可以加上-U强制立即写到本地磁盘(一般不建议,性能相对较差)

 

实战例子

 

先看下面一个比较常见的部署方式,在服务器上部署了nodejs server,监听3000端口。nginx反向代理监听80端口,并将请求转发给nodejs server(127.0.0.1:3000)。

 

浏览器 -> nginx反向代理 -> nodejs server

 

问题:假设用户(183.14.132.117)访问浏览器,发现请求没有返回,该怎么排查呢?

 

步骤一:查看请求是否到达nodejs server -> 可通过日志查看。

 

步骤二:查看nginx是否将请求转发给nodejs server。

 

tcpdump port 8383

 

这时你会发现没有任何输出,即使nodejs server已经收到了请求。因为nginx转发到的地址是127.0.0.1,用的不是默认的interface,此时需要显示指定interface

 

tcpdump port 8383 -i lo

 

备注:配置nginx,让nginx带上请求侧的host,不然nodejs server无法获取 src host,也就是说,下面的监听是无效的,因为此时对于nodejs server来说,src host 都是 127.0.0.1

 

tcpdump port 8383 -i lo and src host 183.14.132.117

 

步骤三:查看请求是否达到服务器

 

tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

 

相关链接

 

  • http://blog.chinaunix.net/uid-11242066-id-4084382.html

  • http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

  • http://www.rationallyparanoid.com/articles/tcpdump.html

  • http://blog.sina.com.cn/s/blog_7475811f0101f6j5.html

 

作者:程序猿小卡_casper
链接:https://juejin.im/post/5a421fd56fb9a0450f223253

Stestack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux基础学习之利用tcpdump抓包实例代码
09-15
9. **限制抓包数量**:`-c`参数用于限制抓取的封包数量,如`tcpdump -c 1000`只捕获前1000个封包。 10. **其他高级选项**:`-t`不显示时间戳,`-s`设置抓取的数据包长度,默认68字节,`-S 0`可以抓取完整包,`-vvv`...
linux抓包tcpdump
01-21
linux抓包
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的wireshark抓包工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。 1、安装tcpdump yum install -y tcpdump 2、常见的使用方法 抓取所有经过 eth2 目的或源地址是 192.168.1.2 的网络数据 ,并且保存到XX.pcap文件中 tcpdump   -i  eth2 host 192.1
Linux基础:用tcpdump抓包
weixin_34240657的博客
12-26 145
简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。 tcpdump 复制代码监听特定网卡 tcpdump -i en0 复制代码监听特定主机...
Linux tcpdump 网关抓包秘籍
游荡边缘的博客
10-21 1178
tcpdump tcpdump - dump traffic on a network tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息 命令格式 tcpdump [...
tcpdump和wireshark抓包实践
yao00037的博客
12-22 840
tcpdump和wireshark有什么区别? tcpdump支持命令行模式,常用在linux下的抓包和分析 wireshark除了抓包外还提供了可视化的查看分析界面。常用于windows下。 可以在linux下使用tcpdump抓包后,拖出来使用wireshark进行分析。 tcpdump抓包 tcpdump使用----选项类 tcpdump使用----过滤表达式 抓包实战----例子1: 场景:使用tcpdump抓取分析ping命令的网络包 操作步骤: 一个终端打开tcpdump抓包 #-i
抓包工具tcpdump的常见用法
flameboy的博客
05-09 1561
常用选项: -s :指定监听的数据包大小。 -c:指定要抓取的包的最终数量。 -i:指定tcpdump要监听的接口。 -n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。 -nn:除了-n之外,还把端口显示为数值。 -w:指定监听数据包写入文件。 常用输出项: -XX:以16进制和ASCII方式输出包的头部数据。 -vvv:很详细的输出(想要详细的信息加...
Linux 命令行中使用 tcpdump 抓包的一些功能
09-15
基础抓包命令是 `tcpdump -i <interface>`,例如: ```bash $ sudo tcpdump -i any ``` 这将开始实时捕获指定接口(这里是 "any")上的所有数据包。默认情况下,tcpdump 会打印出详细信息,但你可以使用 `-n` ...
linux系统下使用tcpdump进行抓包方法
09-15
本文将深入探讨如何使用TCPDump进行抓包,包括基本命令、过滤器和高级技巧。 首先,让我们来看一下TCPDump的基本用法。在命令行中,我们通常以以下格式启动TCPDump: ```bash tcpdump [参数] [过滤表达式] ``` 1....
tcpdumper 抓包丢数据问题
bruce_wang_janet的专栏
01-09 1620
定位是tcpdumper 不是正常中止的,KILL -9 方式  tcpdumer 需要 CTRL-C 方式结束才能清空buffer,写到文件中。 即kill -2 进程号
tcpdump&ping命令简介
12-22
linux抓包封信工具Tcpdump详解,ping详解,Tcpdump命令的使用与示例——linux下的网络分析
tcpdump常用命令
weixin_30780649的博客
01-11 154
下面的例子全是以抓取eth0接口为例,如果不加”-ieth0”是表示抓取第一块网卡。 首先安装tcpdump包:yuminstall-ytcpdump 1、抓取包含172.16.1.122的数据包 #tcpdump-ieth0-vnnhost172.16.1.122 2、抓取包含172.16.1.0/24网段的数据包 #tcpdump-ieth0...
tcpdump抓包
kittycsv的专栏
02-27 628
nohup tcpdump -i <docker虚拟网卡> host <ip1> and host <ip2> -C 100 -W 20 -Z root -w /home/tcpdump/service-center.cap & 命令:nohup tcpdump -i br-73bb5ebf6c6c host 10.88.13.10 and host 10.88.13.6 -C 100 -W 20 -Z root -w /home/wwl/tcpdu
tcpdump命令个人笔记
z609158391的博客
11-10 1890
Tcpdump 一、命令构成 tcpdumptcpdump是一款常用抓包工具,类似于wireshark。 tcpdump的主程序会抓取当前全部网卡的全部数据包,条件允许的情况下,完全可以直接运行tcpdump抓取一个巨大的文件,然后传输到电脑上,使用图形化抓包软件来查看报文。但是实际操作上,并不可能允许你用tcpdump抓取所有报文。包括不限于:①设备性能瓶颈,很多微小型设备抓取全部报文可能会出错。②业务流量巨大,核心交换机一秒就能抓取几百上千个报文。③不方便传输数据包,有时候抓包只是想简单看一眼报文,
服务器专栏——服务器抓包-tcpdump抓包
weixin_44081384的博客
09-14 4506
2、必须使用有ip 的 比如图中的 xenbr0 或xenbr1,使用命令:tcpdump -i xenbr0 host 10.213.72.186 -w /tmp/snmp_0414.cap。1、如果网卡没有ip则不能使用含有此网卡相关的命令,如图中的eth0和eth1。抓192.168.1.123的80端口和110和25以外的其他端口的包。tcpdump抓包保存到文件的命令参数是-w xxx.cap。抓192.168.1.123的80端口的包。抓192.168.1.123的icmp的包。
抓包tcpdump,看这一篇足够了
qq18346342939的博客
02-24 2128
最近工作上有用到tcpdump的一个抓包工具,所以记录一下: 应用场景 在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决: 相信大多数同学都遇到过 SSH 连接服务器缓慢,通过 tcpdump 抓包,可以快速定位到具体原因,一般都是因为 DNS 解析速度太慢。 当我们工程师与用户面对网络问题争执不下时,通过 tcpdump 抓包,可以快速定位故障原因,轻松甩锅,毫无压力。 当我们新开发的网络程序,没有按照预期工作时,通过 tcpdump 收集相关数据包,从包层面分析具体原因,让问题迎刃
Linux基础急速入门:用 TCPDUMP 抓包_sudo tcpdump -n -t -s -i enp0s3 port 80
最新发布
2401_84302538的博客
04-17 721
有的时候因为问题不是立马复现,需要后台进行抓包保存,但是如果都抓到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行抓包命令,并且按照时间对每个包进行命名,当不需要抓包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可。注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的包可以使用wireshark工具打开进行分析。网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改。
tcpdump抓包规则 命令大全
u014472548的博客
08-23 1270
tcpdump采用命令行方式,它的命令格式为: tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选项介绍  -a    将网络地址和广...
Tcpdump抓包命令详解
热门推荐
Romanticn_chu的博客
04-23 3万+
一、采用命令行方式对接口的数据包进行筛选抓取。 不带任何选项的tcpdump ,默认抓取第一个网络接口。只有将tcpdump进程终止,抓包停止。 二、选项 选项 含义 -c 指定抓取包的数量。即最终获取的包,真实获取的包是10个。即只有10个包满足条件。不一定只抓取了10个包。 -i 指定tcpdump需要监听的接口。未指定将在系统接口列表中搜寻编号最小的最小已配置接口。-i any (所有网络接口) -i lo(loopback接口「该接口不在自动搜索范...
详解Linux tcpdump:强大的网络包抓包分析工具
TCPdump 是一款强大的网络包分析工具,它在 Linux 系统中用于捕获和分析网络流量。其基本功能是基于用户的定义,对网络数据包进行截获并提供详细的信息,以便于网络调试、安全审计和故障排查。通过使用 tcpdump 命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Stestack

你的鼓励是我最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值