tcpdump 速查

最新推荐文章于 2024-02-29 13:41:13 发布
最新推荐文章于 2024-02-29 13:41:13 发布
阅读量907 收藏
点赞数
分类专栏: linux bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdss58/article/details/105408859
版权
linux 同时被 2 个专栏收录
38 篇文章 1 订阅
订阅专栏
bash
8 篇文章 0 订阅
订阅专栏

basic

tcpdump -nvvv -i any

-n: 打印ip port, 而非hostname, portname
-v: verbose, -vvv 三级 verbose
-i:指定网络interface

针对IP port 进行过滤

tcpdump -nvvv -i any -c 20 '(port 80 or port 443) and host 10.0.3.169'

打印包内容,hex and ascII

tcpdump -nvvv -i any -c 1 -XX 'port 80 and host 10.0.3.1'

-XX: 用hex and ascII打印包内容

会有类似下面到输出(极丑无比):

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
19:51:15.697640 IP (tos 0x0, ttl 64, id 54313, offset 0, flags [DF], proto TCP (6), length 483)
    10.0.3.1.45732 > 10.0.3.246.80: Flags [P.], cksum 0x1ccc (incorrect -> 0x2ce8), seq 3920159713:3920160144, ack 969855140, win 245, options [nop,nop,TS val 624122099 ecr 624117334], length 431
        0x0000:  0000 0001 0006 fe0a e2d1 8785 0000 0800  ................
        0x0010:  4500 01e3 d429 4000 4006 49f5 0a00 0301  E....)@.@.I.....
        0x0020:  0a00 03f6 b2a4 0050 e9a8 e3e1 39ce d0a4  .......P....9...
        0x0030:  8018 00f5 1ccc 0000 0101 080a 2533 58f3  ............%3X.
        0x0040:  2533 4656 4745 5420 2f73 6f6d 6570 6167  %3FVGET./somepag
        0x0050:  6520 4854 5450 2f31 2e31 0d0a 486f 7374  e.HTTP/1.1..Host
        0x0060:  3a20 3130 2e30 2e33 2e32 3436 0d0a 436f  :.10.0.3.246..Co
        0x0070:  6e6e 6563 7469 6f6e 3a20 6b65 6570 2d61  nnection:.keep-a
        0x0080:  6c69 7665 0d0a 4361 6368 652d 436f 6e74  live..Cache-Cont
        0x0090:  726f 6c3a 206d 6178 2d61 6765 3d30 0d0a  rol:.max-age=0..
        0x00a0:  4163 6365 7074 3a20 7465 7874 2f68 746d  Accept:.text/htm
        0x00b0:  6c2c 6170 706c 6963 6174 696f 6e2f 7868  l,application/xh
        0x00c0:  746d 6c2b 786d 6c2c 6170 706c 6963 6174  tml+xml,applicat
        0x00d0:  696f 6e2f 786d 6c3b 713d 302e 392c 696d  ion/xml;q=0.9,im
        0x00e0:  6167 652f 7765 6270 2c2a 2f2a 3b71 3d30  age/webp,*/*;q=0
        0x00f0:  2e38 0d0a 5573 6572 2d41 6765 6e74 3a20  .8..User-Agent:.
        0x0100:  4d6f 7a69 6c6c 612f 352e 3020 284d 6163  Mozilla/5.0.(Mac
        0x0110:  696e 746f 7368 3b20 496e 7465 6c20 4d61  intosh;.Intel.Ma
        0x0120:  6320 4f53 2058 2031 305f 395f 3529 2041  c.OS.X.10_9_5).A
        0x0130:  7070 6c65 5765 624b 6974 2f35 3337 2e33  ppleWebKit/537.3
        0x0140:  3620 284b 4854 4d4c 2c20 6c69 6b65 2047  6.(KHTML,.like.G
        0x0150:  6563 6b6f 2920 4368 726f 6d65 2f33 382e  ecko).Chrome/38.
        0x0160:  302e 3231 3235 2e31 3031 2053 6166 6172  0.2125.101.Safar
        0x0170:  692f 3533 372e 3336 0d0a 4163 6365 7074  i/537.36..Accept
        0x0180:  2d45 6e63 6f64 696e 673a 2067 7a69 702c  -Encoding:.gzip,
        0x0190:  6465 666c 6174 652c 7364 6368 0d0a 4163  deflate,sdch..Ac
        0x01a0:  6365 7074 2d4c 616e 6775 6167 653a 2065  cept-Language:.e
        0x01b0:  6e2d 5553 2c65 6e3b 713d 302e 380d 0a49  n-US,en;q=0.8..I
        0x01c0:  662d 4d6f 6469 6669 6564 2d53 696e 6365  f-Modified-Since
        0x01d0:  3a20 5375 6e2c 2031 3220 4f63 7420 3230  :.Sun,.12.Oct.20
        0x01e0:  3134 2031 393a 3430 3a32 3020 474d 540d  14.19:40:20.GMT.
        0x01f0:  0a0d 0a

仅使用ASCII打印包内容

tcpdump -nvvv -i any -c 1 -A 'port 80 and host 10.0.3.1'

实验实例

抓包一个完整的 http 请求和返回。

启动一个 http server

用python3

准备一个 cgi script

cat <<eof > cgi-bin/helloworld.py
#!/usr/bin/env python
print('Content-type: text/html')
print()
print('hello world')
eof

启动 http.server 在 9899 端口,并开启cgi模式

python -m http.server --cgi 9899

用 Ncat

nc -vl 9899 -c 'echo -e "HTTP/1.1 200 OK\n\nhello world"'
http 请求就用 curl

请求python cgi

curl -d'{"A": a, "B": b}' http://localhost:9899/cgi-bin/helloworld.py

请求 Ncat server

curl -d'{"A": a, "B": b}' http://localhost:9899
tcpdump 抓包
sudo tcpdump -iany -nvvv -A 'port 9899'

下面输出完整包含了 1. tcp 三次握手过程,2. 请求发送的http 请求 head 和body 数据,3. http 返回 head 和 body 数据,4. tcp 四次挥手过程。

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:55:16.172743 IP (tos 0x0, ttl 64, id 2001, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.59340 > 127.0.0.1.9899: Flags [S], cksum 0xfe30 (incorrect -> 0xa737), seq 2474881011, win 43690, options [mss 65495,sackOK,TS val 65447970 ecr 0,nop,wscale 7], length 0
E..<..@.@.4...........&..............0.........
..."........................
11:55:16.172752 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    127.0.0.1.9899 > 127.0.0.1.59340: Flags [S.], cksum 0xfe30 (incorrect -> 0x7eab), seq 4251746053, ack 2474881012, win 43690, options [mss 65495,sackOK,TS val 65447970 ecr 65447970,nop,wscale 7], length 0
E..<..@.@.<.........&....l...........0.........
..."..."....................
11:55:16.172759 IP (tos 0x0, ttl 64, id 2002, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.59340 > 127.0.0.1.9899: Flags [.], cksum 0xfe28 (incorrect -> 0x50f0), seq 1, ack 1, win 342, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4..@.@.4...........&......l.....V.(.....
..."..."................
11:55:16.172800 IP (tos 0x0, ttl 64, id 2003, offset 0, flags [DF], proto TCP (6), length 216)
    127.0.0.1.59340 > 127.0.0.1.9899: Flags [P.], cksum 0xfecc (incorrect -> 0x44a1), seq 1:165, ack 1, win 342, options [nop,nop,TS val 65447970 ecr 65447970], length 164
E.....@.@.4K..........&......l.....V.......
..."..."POST / HTTP/1.1
User-Agent: curl/7.29.0
Host: localhost:9899
Accept: */*
Content-Length: 16
Content-Type: application/x-www-form-urlencoded

{"A": a, "B": b}................
11:55:16.172805 IP (tos 0x0, ttl 64, id 55076, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.9899 > 127.0.0.1.59340: Flags [.], cksum 0xfe28 (incorrect -> 0x5044), seq 1, ack 165, win 350, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4.$@.@.e.........&....l.........^.(.....
..."..."................
11:55:16.174520 IP (tos 0x0, ttl 64, id 55077, offset 0, flags [DF], proto TCP (6), length 81)
    127.0.0.1.9899 > 127.0.0.1.59340: Flags [P.], cksum 0xfe45 (incorrect -> 0xb7ca), seq 1:30, ack 165, win 350, options [nop,nop,TS val 65447970 ecr 65447970], length 29
E..Q.%@.@.e.........&....l.........^.E.....
..."..."HTTP/1.1 200 OK

hello world
................
11:55:16.174529 IP (tos 0x0, ttl 64, id 2004, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.59340 > 127.0.0.1.9899: Flags [.], cksum 0xfe28 (incorrect -> 0x502f), seq 165, ack 30, win 342, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4..@.@.4...........&......l.#...V.(.....
..."..."................
11:55:16.174608 IP (tos 0x0, ttl 64, id 55078, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.9899 > 127.0.0.1.59340: Flags [F.], cksum 0xfe28 (incorrect -> 0x5026), seq 30, ack 165, win 350, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4.&@.@.e.........&....l.#.......^.(.....
..."..."................
11:55:16.174650 IP (tos 0x0, ttl 64, id 2005, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.59340 > 127.0.0.1.9899: Flags [F.], cksum 0xfe28 (incorrect -> 0x502d), seq 165, ack 31, win 342, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4..@.@.4...........&......l.$...V.(.....
..."..."................
11:55:16.174661 IP (tos 0x0, ttl 64, id 55079, offset 0, flags [DF], proto TCP (6), length 52)
    127.0.0.1.9899 > 127.0.0.1.59340: Flags [.], cksum 0xfe28 (incorrect -> 0x5025), seq 31, ack 166, win 350, options [nop,nop,TS val 65447970 ecr 65447970], length 0
E..4.'@.@.e.........&....l.$.......^.(.....
..."..."................
bdss58
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python调用tcpdump抓包过滤的方法
12-25
本文实例为大家分享了python调用tcpdump抓包过滤的具体代码,供大家参考,具体内容如下 之前在linux用python脚本写一个抓包分析小工具,实在不想用什么libpcap、pypcap所以,简单来了个tcpdump加grep搞定。基本思路是分别起tcpdump和grep两个进程,进程直接通过pipe交换数据,简单代码如下: #! /usr/bin/python def tcpdump(): import subprocess, fcntl, os # sudo tcpdump -i eth0 -n -s 0 -w - | grep -a -o -E "Host: .*|GET
TCP/IP详解 卷1完整版
07-28
作者用Lawrence Berkeley实验室的tcpdump程序来捕获不同操作系统和TCP/IP实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。 本书适合作为计算机专业学生学习网络的教材和教师参考书。也...
查看tcpdump数据
云行雨施 品物流形
03-13 862
使用wireshark
Linux之抓包神器Tcpdump ~
最新发布
关注我!带你一路 "狂飙" 到底!
02-29 1926
最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口,上面的例子第一条数据报中,源地址 ip 是192.168.1.110,源端口是 40411,目的地址是 192.168.1.123,目的端口是 80。-X 告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;
tcpdump 侦测网络端口数据
xiaofei0859的专栏
08-23 1405
<br />tcpdump 侦测网络端口数据<br /><br />tcpdump采用命令行方式,它的命令格式为:<br />  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]<br />          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]<br />          [ -T 类型 ] [ -w 文件名 ] [表达式 ]<br />  1. tcpdump的选项介绍<br />   -a    将网络地址和广播地址
全网最全tcpdump和Wireshark抓包实践
青梅煮酒
06-08 3200
1、介绍wireshark的基本使用,涉及过滤器,抓包方式等 2、介绍tcpdump的基本使用以及参数说明
tcpdump***者的IP
weixin_34413065的博客
09-15 69
当网站受到***的时候我们第一个想到的答案就是查看web的log..或者用netstat -an查看网络连接,判断***类型,然后用iptables进行封锁ip。这种方案看起来很管用,但是有时候服务器受到肉鸡的CC***的时候根本从log中看不到什么有用的信息。而这个时候就需要用抓包来分析ip的来源了,linux下的抓包工具我就不例举了,这里我只说说tcpdump ...
查看进程(ps),查看网络状态(netstat),linux下抓包(tcpdump等),linux网络相关(ifconfig等)...
alexlee0123的博客
12-22 2045
一、ps 我们用ps命令最多的就是查看系统进程,看它存在不存在,看它的进程id: [ruan.wenwu@kddi-zol-fss-web1 conf]$ ps aux|grep nginx root 4184 0.0 0.0 78372 192 ? Ss Dec07 0:00 nginx: master process /usr/lo...
tcpdump 监测网络包
weixin_34138521的博客
12-11 188
tcpdump 监测网络包,类似于 sniffer, netxray, ethereal tcpdump -c 8 收到8个packet 就退出程序 tcpdump -a 将ip地址转换成为域名 tcpdump -d -dd -ddd 将packet-matching code 显示然后退出 什么是packet-matching c...
python tcp处理_在python中处理tcpdump输出
weixin_30193461的博客
12-23 197
Im trying to handle tcpdump output in python.What I need is to run tcpdump (which captures the packets and gives me information) and read the output and process it.The problem is that tcpdump keeps ru...
VVV文档在线导出工具 百度文库导出
05-05
VVV文档在线导出工具 百度文库导出工具,不用下载,在线使用
TCP-IP详解卷一:协议
01-25
作者用Lawrence Berkeley实验室的tcpdump程序来捕获不同操作系统和TCP/IP实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。 本书适合作为计算机专业学生学习网络的教材和教师参考书。也...
《TCP/IP详解,卷1:协议》
05-30
作者用Lawrence Berkeley实验室的tcpdump程序来捕获不同操作系统和TCP/IP实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。 本书适合作为计算机专业学生学习网络的教材和教师参考书。也...
python如何实时捕捉cmd显示_python如何实时获取tcpdump输出
weixin_39624429的博客
12-09 199
一、背景今天有个小需求,要确认客户端有没有往服务端发送udp包,但为了减轻工作量,不想每次到机器上手动执行tcpdump抓包命令。于是就写了个脚本来释放人力。二、代码实现整个脚本我还加了一些其他功能:时间戳、发送端IP提取,数据包分析,数据持久化等。这里都先去掉,仅记录下简单的实时获取tcpdump输出功能。代码如下:# -*- coding: utf-8 -*-# !/usr/bin/env p...
Python实现TcpDump抓包
qq_44638169的博客
03-13 529
python:tcpdump抓取log
python进行tcpdump抓包
文思源想的技术空间
05-03 3846
1 python进行tcpdump抓包 使用tcpdump抓包需要使用子进程进行操作比较好,不影响其他主代码逻辑,主要思路总结如下: 开启抓包:使用 self.tcpprocess = subprocess.Popen(cmd1),将tcpdump命令传入cmd命令内; 停止抓包:直接将tcpprocess kill即可:self.tcpprocess.kill(); import sys i...
python写的Android的 tcpdump 数据实时发送到wireshark
lb5761311的专栏
09-13 584
import signal import sys import subprocess import os import time global forward_status global adb_root forward_cmd = "adb forward tcp:2015 tcp:2015" tcpdump_cmd = 'adb shell "tcpdump -n -s 0 -w
肝了三天,万字长文教你玩转 tcpdump,从此抓包不用愁
CSDN资讯
07-02 4643
图源 | 视觉中国来源|Python编程时光(ID: Cool-Python)今天要给大家介绍的一个 Unix 下的一个网络数据采集分析工具-- Tcpdump,也就是我们常说的抓包...
Linux tcpdump命令深度解析
"Linux tcpdump命令详解文档详细介绍了如何使用tcpdump这个强大的网络数据包捕获工具。tcpdump能够截取网络中的数据包并提供分析,支持基于网络层、协议、主机、网络或端口的过滤,允许使用逻辑语句进行筛选。本文档...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值