linux学习笔记——tcpdump

最新推荐文章于 2023-05-13 21:16:00 发布
最新推荐文章于 2023-05-13 21:16:00 发布
阅读量803 收藏 1
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banner812/article/details/8958729
版权

linux学习笔记——tcpdump

前言:

因工作需要, 使用了tcpdump,  现进行总结。 执行环境:ubuntu 10.04

正文:

          1.  选项:

         tcpdump是一种嗅探器(sniffer),利用以太网的特性,通过将网卡适配器(NIC)置于混杂模式(promiscuous)来获取传输在网络中的信息包。
使用tcpdump, root.
# tcpdump -i eth0 -n -X ‘port 53′ -c 1

 -i选项:

     interface,告诉tcpdump去监听哪一个网卡。

-n选项:

     当遇到协议号或端口号时,不要将这些号码转换成对应的协议名称或端口名称。

-X选项:

     告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。

'port 53':

     指定端口号

 -c选项:

    Count, 设置抓包个数

-e选项

    增加以太网帧头部信息输出

    (OUI,即Organizationally unique identifier,是“组织唯一标识符”,在任何一块网卡(NIC)中烧录的6字节MAC地址中,前3个字节体现了OUI,其表明了NIC的制造组织。通常情况下,该标识符是唯一的。

-l选项

     使得输出变为行缓冲

     (Linux/UNIX的标准I/O提供了全缓冲、行缓冲和无缓冲三种缓冲方式。标准错误是不带缓冲的,终端设备常为行缓冲,而其他情况默认都是全缓冲的。)

# tcpdump -i eth0 -l |awk \'{print $1}\'

        -t选项

             输出时不打印时间戳

        -v选项

             输出更详细的信息

        -F选项

             指定过滤表达式所在的文件

        -w选项

             将流量保存到文件中

        -r选项

             读取raw packets文件

2. 过滤表达式:

# man pcap-filter

tcpdump过滤表达式大致分为:类型, 方向和协议三种类型


指定网络协议

# tcpdump -i eth0 -c 10  'udp'

可以把udp改为ip、ip6、arp、tcp、rarp等。tcpdump支持应用层以下的协议。

指定源机器(src)和目的机器(dst),支持and 和or,  默认:src or dst 

# tcpdump -i eth0 'dst 8.8.8.8'

指定目标机器的端口:

# tcpdump -i eth0 -c 3 'dst port 53 or dst port 80'

指定过滤类型, 默认是host

    1. port: 指定端口

    2. host: 指定主机名或ip地址

    3. net:  指定网络段

    4. portrange: 指定端口区域

     以下例子引用自[6]

          【例子1】- 我想抓到那些通过eth0网卡的,且来源是roclinux.cn服务器或者目标是roclinux.cn服务器的网络包

                    tcpdump -i eth0 'host roclinux.cn'

    【例子2】- 我想抓通过eth0网卡的,且roclinux.cn和baidu.com之间通讯的网络包,或者,roclinux.cn和qiyi.com之间通讯的网络包

tcpdump -i eth0 'host roclinux.cn and (baidu.com or qiyi.com)'

    【例子3】- 我想获取使用ftp端口和ftp数据端口的网络包

tcpdump 'port ftp or ftp-data'

【例子4】- 我想获取roclinux.cn和baidu.com之间建立TCP三次握手中第一个网络包,即带有SYN标记位的网络包,另外,目的主机不能是qiyi.com

tcpdump 'tcp[tcpflags] & tcp-syn != 0 and not dst host qiyi.com'

   

【例子5】- 打印IP包长超过576字节的网络包

tcpdump 'ip[2:2] > 576'

【例子6】- 打印广播包或多播包,同时数据链路层不是通过以太网媒介进行的。

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

进一步阅读:


参考资料:

[1]神探tcpdump第一招
[2]神探tcpdump第二招
[3]神探tcpdump第三招
[4]神探tcpdump第四招
[5]神探tcpdump第五招
[6]神探tcpdump第六招


harveyXXX
关注
专栏目录
tcpdump: syntax error 解决-linux 下安装tcpdump 和 libpcap
甜芯玉米
03-04 1万+
关键//linux 如何下载包,wget 下载指定目录,linu 下载文件到指定目录 今天心血来潮突然想在自己的服务上抓某个端口,结果执行tcpdump时报错了 http://www.tcpdump.org/index.html找到Latest releases ,或者选择Old releases 也可以,看自己喜欢了 步骤1. 复制url 然后用wget命令直接下载...
Kali linux 学习笔记(六)基本工具熟悉——tcpdump 2020.2.15
闵行小鱼塘
02-15 962
熟悉kali Linux的基本工具tcpdump
tcpdump解决运维生产中遇到问题
最新发布
linuxxin的博客
05-13 254
作为技术人员tcpdump这个工具还是有必要了解的 当你遇到网络协议问题一筹莫展的时候,这时候往往可以通过tcpdump来看网络的通讯过程中发生了什么事。 本文只介绍工作用遇到的问题供大家参考,旨在给你工作中遇到类似问题提供解决灵感,具体tcpdump怎么使用google吧。 下面通过三个案例进行介绍: 案例一:flume写kafka日志报错 案例二:LB(负载均衡)增加请求header后,nginx日志获取不到header key client_ip 案例三:mysql QPS 特别高,但mys
linux 网络故障排查工具
kan_Feng的博客
10-09 1307
linux 常用的网络故障排查工具
网络原理实验资料CCNA网络工程师笔记linux环境下使用tcpdump
10-19
本资料集合了CCNA(Cisco Certified Network Associate)网络工程师的学习笔记,专注于网络体系结构、协议的理解,并在Linux环境下详细介绍了如何使用tcpdump这一强大的网络分析工具。以下是关于这些知识点的详细...
三十八、Linux性能优化实战学习笔记-案例篇:怎么使用 tcpdump 和 Wireshark 分析网络流量?
MyySophia的博客
01-26 1081
tcpdump 和 Wireshark 就是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。 tcpdump 仅支持命令行格式使用,常用在服务器中抓取和分析网络包。 Wireshark 除了可以抓包外,还提供了强大的图形界面和汇总分析工具,在分析复杂的网络情景时,尤为简单和实用。 案例准备 ...
Linux常用命令行——表格形式,一目了然
05-08 2113
表格形式,一目了然
tcpdump抓包笔记
qq_33451695的博客
11-17 4693
抓包工具tcpdump笔记
Linuxtcpdump的使用
CoLiuRs
01-13 3443
若没有安装,则需要安装  yum install tcpdump* 从所有网卡中捕获数据包 运行下面命令来从所有网卡中捕获数据包:  tcpdump -i any 从指定网卡中捕获数据包 tcpdump -i eth0 将捕获的包写入文件 使用 -w 选项将所有捕获的包写入文件:  tcpdump -i eth0 -w packets_file
tcpdump 数据抓包,排查网络故障问题(转载)
一个老菜鸟的学习分享
03-04 5291
转载链接https://linux.cn/article-10191-1.html tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服
一些常用技巧
qq_38781075的博客
11-02 268
linux篇 1、linux操作会话容易过期(临时设置) unset TMOUT # 或者 TMOUT = 99999 2、打印文件描述符 lsof -p pid 3、源码编译只有configure.ac文件 如何编译源码目录下只有configure.ac文件和Makefile.am文件的工程 - 克林斯顿 - 博客园 4、定位文件路径 locate 定位文件名字 5、返回上一次cd的目录 cd - 6、系统服务位置 cd /lib/systemd/system 7、
tcpdump
chenliang0224的专栏
12-18 958
TSval是本端填写的时间戳, TSecr是回显给对端的时间戳。 两端必须都分别在SYN包和SYN|ACK包中开启时间戳选项,时间戳功能才能生效。 1. tcpdump相关操作 1.1. 绑定相应的网络接口设备     tcpdump -i eth0  1.2. 通过端口抓包     tcpdump tcp port 9132     1.3. 通过目的端口抓包     tcpdump t...
Linux性能优化笔记
wu_amber的博客
03-20 2290
CPU性能监控解析 首先,最容易想到的应该是 CPU 使用率,这也是实际环境中最常见的一个性能指标。 CPU 使用率描述了非空闲时间占总 CPU 时间的百分比,根据 CPU 上运行任务的不同,又被分为用户CPU、系统CPU、等待I/O CPU、软中断和硬中断等。 用户 CPU 使用率,包括用户态 CPU 使用率(user)和低优先级用户态 CPU 使用率(nice),表示 CPU 在用户态运行的...
tcpdump命令详解
热门推荐
wj31932的博客
06-05 12万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
运行时出现段错误
寻境 的专栏
11-27 3491
编译通过,运行时出现段错误 产生段错误是因为访问了错误的内存段,一般是你没有权限(这句话很重要),或者根本就不存在对应的物理内存,尤其常见的是访问0地址.    通常,段错误就发生在访问的内存超出了系统所给程序的内存空间,这个值是由gdtr来保存的,它是一个48位的寄存器,其中的32位保存由它指向的gdt表,后 13位保存相应于gdt的下标,最后3位包括了程序是否在内存中以及程序的在cpu中的运行
linux tcp dump使用方法
paul
06-05 1480
使用Wireshark分析网络包的时候需要抓包,可以在服务器上安装Wireshark,不过觉得tcpdump挺方便的。tcpdump -s 0 -U -n -w - -i eth0 not port 22 >/home/zhuhuihua/packet_capture各个参数的表示的意义: -i:指定网络接口 not port 22 表示不截取端口号为22的网络包 -s 设置抓取网络包的大小,
Linux学习笔记:Spring Boot与MyBatis整合
资源摘要信息: "Spring Boot Mybatis Linux 笔记" 主要围绕 Linux 操作系统的学习和应用,特别是与 Spring Boot 和 Mybatis 这两个流行的 Java 技术栈组件的结合使用。在这份笔记中,作者可能整理了一系列的实践经验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值