【Linux】tcpdump P2 - 捕获和查看网络数据包

最新推荐文章于 2024-04-17 18:49:13 发布
最新推荐文章于 2024-04-17 18:49:13 发布
阅读量810 收藏 7
点赞数 3
分类专栏: Linux 文章标签: 网络 linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aichaoxy/article/details/137599607
版权

文章目录

本文主要介绍了如何使用tcpdump来捕获和查看网络数据包。

7. 选项 -r

如果你已经走到了这一步并且写入了一个.pcap文件,你知道你不能使用简单的文本编辑器来读取文件内容。因此,你应该使用-r file.pcap选项。它读取现有的捕获文件并将其打印为输出。

# tcpdump -i any port 8080 -w 8080.pcap -v
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
^C14 packets captured
28 packets received by filter
0 packets dropped by kernel

# tcpdump -r 8080.pcap
reading from file 8080.pcap, link-type LINUX_SLL (Linux cooked)
15:01:09.515750 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [S], seq 4077166376, win 65495, options [mss 65495,sackOK,TS val 1908517405 ecr 0,nop,wscale 7], length 0
15:01:09.515760 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [S.], seq 2501983880, ack 4077166377, win 65483, options [mss 65495,sackOK,TS val 1908517405 ecr 1908517405,nop,wscale 7], length 0
15:01:09.515768 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [.], ack 1, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.515816 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [P.], seq 1:172, ack 1, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 171: HTTP: POST /hello HTTP/1.1
15:01:09.515819 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [.], ack 172, win 511, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516091 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [P.], seq 1:18, ack 172, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 17: HTTP: HTTP/1.0 200 OK
15:01:09.516102 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [.], ack 18, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516119 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [P.], seq 18:53, ack 172, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 35: HTTP
15:01:09.516122 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [.], ack 53, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516145 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [P.], seq 53:90, ack 172, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 37: HTTP
15:01:09.516147 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [.], ack 90, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516176 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [F.], seq 90, ack 172, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516196 IP 10.10.10.11.51710 > 10.10.10.11.webcache: Flags [F.], seq 172, ack 91, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0
15:01:09.516199 IP 10.10.10.11.webcache > 10.10.10.11.51710: Flags [.], ack 173, win 512, options [nop,nop,TS val 1908517405 ecr 1908517405], length 0

8. 主机选项

如果你想过滤特定主机的流量,你可以使用host iphost name来捕获特定主机的数据包。

# tcpdump host redhat.com -i any -c4

你可以使用srcdst关键字来告诉tcpdump捕获的数据包应该包含源地址或目的地址中的主机,例如,你可以尝试运行tcpdump -i any src host localhosttcpdump -i any dst host redhat.com

9. 逻辑运算符

tcpdump支持and/or/not运算符作为关键字,例如:tcpdump -i eth0 "host redhat.com and (port 80 or port 443)"。将复杂表达式用引号括起来是明智的,这样bash就不会尝试解释括号。

# tcpdump -i eth0 "host 10.10.10.11 and (port 22 or port 8080)"

10. 关键字 net

net关键字可以用来通过CIDR表示法指定捕获哪个网络的流量。你可以使用srcdst网络CIDR与逻辑运算符结合,更精确地过滤数据包。

# tcpdump -i any -n "src net 192.168.0.0/16 and not dst net 10.0.0.0/8" -c4

11. 关键字 ether

可以使用ether host关键字应用过滤器,将流量捕获限制在MAC地址上。使用-e选项在每个转储行上打印链路层头。这可以用于打印诸如以太网和IEEE 802.11等协议的MAC层地址。以下示例捕获了第2层广播流量:

# tcpdump ether host ff:ff:ff:ff:ff:ff -i eth0 -e -c4

12. 关键字 ip6

可以使用ip6关键字捕获IPv6流量。以下是一个示例:

# tcpdump -i any ip6 host google.com -c4

总结

在第二部分中,你学习了六个新的选项,用于使用tcpdump在网络上管理数据包捕获。这篇文章建立在第一部分所涵盖的信息之上。在最后一篇中,你将看到另外六个帮助过滤tcpdump结果的标志。

aichaoxy
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Reader读取TcpDump读取的Pcap包
04-07
NULL 博文链接:https://taijuk.iteye.com/blog/1583901
网络数据采集分析工具tcpdump定义包过滤器
Peter的博客
06-30 1509
第三节到第六节里的 tcpdump 命令示例,只为了说明参数的使用,并不一定就能到包,如果要精准到你所需要的包,需要配合第五节的逻辑逻辑运算符进行组合搭配。 不同 Linux 发行版下、不同版本的 tcpdump 可能有小许差异, 本文是基于 CentOS 7.2 的 4.5.1 版本的tcpdump 进行学习的,若在你的环境中无法使用,请参考man tcpdump进行针对性学习。 1. tcpdump 核心参数图解 大家都知道,网络上的流量、数据包,非常的多,因此要想到我们所...
Tcpdump -r 解析pcap文件
最新发布
qq_45212655的博客
04-17 883
当你使用 tcpdump 的 -r 选项读取一个之前捕获数据包文件,并想要筛选指定 IP 地址和端口的包时,你可以在命令中直接加入过滤表达式。这个命令将显示文件中所有 TCP 协议、源或目标 IP 地址为 192.168.1.100 并且源或目标端口为 80 的数据包。这个命令将显示文件中所有源或目标 IP 地址在 192.168.1.0/24 网络范围内并且源或目标端口为 80 的数据包。这个命令将显示文件中所有源或目标 IP 地址为 192.168.1.100 并且源或目标端口为 80 的数据包
手机查看pcap文件_Linux tcpdump命令包保存pcap文件wireshark分析
weixin_42298876的博客
02-12 805
tcpdump包保存到文件的命令参数是-w xxx.capeth1的包tcpdump -i eth1 -w /tmp/xxx.cap 192.168.1.123的包tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap192.168.1.123的80端口的包tcpdump -i eth1 host 192.168.1.123 and por...
linux tcpdump如何包pcap包,tcpdump的基本用法--如何打开tcpdump文件
weixin_39567013的博客
05-16 2567
这篇文章只涉及tcpdump的基本用法,请记住tcpdump比我描述的强大的多。针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。tcpdump -w test.pcap -i eth1 tcp port 6881很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?tcpdump -w test.p...
linux使用tcpdump命令监视指定网络数据包的方法
09-15
- `tcpdump -w capture.pcap`: 不断捕获数据包直到手动停止,并将结果保存到`capture.pcap`文件。 5. **过滤规则** TCPDump支持复杂的过滤规则,结合逻辑运算符(and, or, not)和协议属性,你可以构建出非常精确...
Linux中使用tcpdump命令捕获与分析数据包详解
01-20
我们可以使用 tcpdump 命令捕获实时 TCP/IP 数据包,这些数据包也可以保存到文件中。之后这些捕获数据包可以通过 tcpdump 命令进行分析。tcpdump 命令在网络层面进行故障排除时变得非常方便。 tcpdump 在大多数 ...
Android-ParrotSnoop-用于IP数据包捕获的Android应用
08-13
ParrotSnoop的工作原理基于Linux内核中的`tcpdump`工具,它需要root权限来访问网络接口并捕获底层的数据包。一旦获得权限,它可以记录通过设备发送和接收的所有IP数据包,包括TCP、UDP和ICMP等协议。捕获的数据可以...
如何读取pcap
m0_57236802的博客
11-01 3674
读取PCAP(Packet Capture)文件可以使用多种工具和编程库。
linux数据包工具,使用tcpdump查看原始数据包
weixin_28901327的博客
05-04 1441
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹...
Linux包工具tcpdump应用详解
09-10
Linux包工具tcpdump应用详解
linux包操作(tcpdump)
热门推荐
jiu_yue_ya的博客
05-26 1万+
linux 查看网络状况(netstat)linux 查看网络状况(netstat)使用 netstat 命令用来打印网络连接状况、系统所开放端口、路由表等信息。最常用的关于netstat 的命令就是:以及如果你所管理的服务器是一台提供 web 服务(80 端口)的服务器,那么你就可以使用 netstat -an |grep 80 开查看当前连接 web 服务的有哪些 IP 了。
运维系列:tcpdump命令详解
weixin_54626591的博客
01-04 5767
tcpdump命令详解
TCP基础篇-02-tcpdump
Alan0517
03-03 1830
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。默认启动普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包tcpdump如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
Tcpdump包与Wireshark 文分析
sanguine_boy的博客
12-08 1377
linux服务器端口数据文分析
Linux基础急速入门:用 TCPDUMP 包_sudo tcpdump -n -t -s -i enp0s3 port 80
2401_84302538的博客
04-17 732
有的时候因为问题不是立马复现,需要后台进行包保存,但是如果都到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行包命令,并且按照时间对每个包进行命名,当不需要包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可。注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,到的包可以使用wireshark工具打开进行分析。网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改。
Linuxtcpdump包及Wireshark查看分析
flyfhj的博客
05-26 4541
tcpdump介绍 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and 、or 、not等逻辑语句 tcpdump安装 以centos7为例:如果服务器未安装tcpdump,则执行以下命令进行安装 yum install tcpdump tcpdump命令参数 -i    指定需要包的网卡 -w    指定数据包信息保存的文件目录,文件格式为*.pcap,方便wireshark分析 host   取源主机或目的主机的文 port 
网络工具】tcpdump包详解
小毛驴
08-27 602
转:http://blog.csdn.net/zhangliang_571/article/details/23878343 PS:tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对...
关于fi dd ler 手机包 网卡地址地址_分布式场景下,网络故障排查包指南!...
weixin_39631350的博客
10-22 204
点击上方☝SpringForAll社区轻松关注!及时获取有趣有料的技术文章本文来源:http://r6a.cn/gLgP本文将展示如何使用 tcpdump 包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。1.1 Pull Docker 镜像$sudodo...
Linux tcpdump命令详解:灵活过滤网络数据包
TCPdumpLinux系统中一个强大的网络捕获工具,它能够实时地捕获并分析网络上的数据包,对于网络监控、故障排查以及网络安全审计等工作具有重要作用。这个工具允许用户根据特定条件筛选数据包,以便于提取有用信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值