linux tcpdump 抓包

最新推荐文章于 2024-08-23 17:13:19 发布
最新推荐文章于 2024-08-23 17:13:19 发布
阅读量4k 收藏 9
点赞数 2
分类专栏: tcp/ip协议 文章标签: linux tcpdump 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bolatu_youshang/article/details/80970312
版权

1.安装tcpdump

安装命令:yum install tcpdump -y

2.tcpdump命令

NAME

       tcpdump - dump traffic on a network

SYNOPSIS

       tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]

               [ -c count ]

               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]

               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]

               [ --number ] [ -Q|-P in|out|inout ]

               [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]

               [ -W filecount ]

               [ -E spi@ipaddr algo:secret,...  ]

               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

               [ --time-stamp-precision=tstamp_precision ]

               [ --immediate-mode ] [ --version ]

               [ expression ]

3.基本应用

  • 过滤主机IP:tcpdump -i eth0  host 104.238.132.163  说明:过滤经过网卡0,且主机IP为104.238.132.163的数据包
  • 过滤端口:tcpdump -i eth0 port 1234     说明:过滤经过网卡0,且端口为1234的数据包
  • 过滤指定协议的数据包:tcpdump -i eth0 udp   说明:过滤经过网卡0的udp协议数据包
  • 抓取本地环回数据包:tcpdump -i lo udp   说明:主要区别就是抓取的网卡,本地环回则取,lo,其它内容不变
  • 抓取特定类型的数据包:   
    • 抓取所有经过网卡1的SYN类型数据包 :tcpdump -i eth0 'tcp[tcpflags] = tcp-syn'
  • 逻辑过滤语句:tcpdump -i eth1 '((tcp) and ((dst net 172.16) and (not dst host 192.168.1.200)))' 说明:抓取所有经过网卡1,目的网络是172.16,但目的主机不是192.168.1.200的TCP数据 
  • 抓包存取: tcpdump -i eth1 host 172.16.7.206 and port 80 -w /tmp/xxx.cap  说明:抓取所有经过网卡1,目的主机为
  • 172.16.7.206的端口80的网络数据并存储

 4. 遇到的问题

  1. tcpdump: packet printing is not supported for link type NFLOG: use -w               
    是因为默认网卡的问题,则通过ifconfig 查看一下当前的网卡信息 
    ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.6.128  netmask 255.255.255.0  broadcast 192.168.6.255
        inet6 fe80::ef0d:79fa:8ef6:3358  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:6e:fe:db  txqueuelen 1000  (Ethernet)
        RX packets 1895  bytes 127294 (124.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3245  bytes 803811 (784.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 64  bytes 5568 (5.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 64  bytes 5568 (5.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

    对应的网卡是,ens33 ,则执行,tcpdump -i ens33 即可

  2. 抓包并写入文件中:tcpdump -i ens33 -c 5000 -w one.cap 此条命令的意思是,监听ens33网卡,抓5000个包停止,并将文件写入one.cap文件中
  3. 停止抓包:ctrl + c  或者 找到tcpdump 的进程id pid ,然后通过 kill -9 [pid] 去关闭

vinson-zh
关注
专栏目录
Linux tcpdump 抓包
qq_39063722的博客
07-24 474
tcpdump --help root@kali:~# tcpdump --help tcpdump version 4.9.2 libpcap version 1.8.1 OpenSSL 1.1.1b 26 Feb 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_si...
Linux网络抓包分析工具tcpdump
m0_54594153的博客
08-28 917
Linux tcpdump命令用于倾倒网络传输数据。执行tcpdump指令可列出经过指定网络界面的数据包文件头,可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你摘取有用信息。由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。...
进程收不到网络数据,但 tcpdump 能抓到包
码农
05-22 9532
情景:服务端进程绑定了 udp://0.0.0.0:10004 端口,客户单一直在往服务端发送数据,但是 strace 发现,服务端进程一直都在轮询调用 epoll_wait, 也就是服务端程序一直都没有收到过时间通知。但是通过 tcpdump 抓 udp 10004 端口的数据却能抓到。 查看了一下 iptables 的配置: Chain ETH1_UDP (1 references) ta
linux tcp dump使用方法
paul
06-05 1467
使用Wireshark分析网络包的时候需要抓包,可以在服务器上安装Wireshark,不过觉得tcpdump挺方便的。tcpdump -s 0 -U -n -w - -i eth0 not port 22 >/home/zhuhuihua/packet_capture各个参数的表示的意义: -i:指定网络接口 not port 22 表示不截取端口号为22的网络包 -s 设置抓取网络包的大小,
tcpdump: undefined symbol: pcap_set_tstamp_precision(包)
最新发布
m0_60171711的博客
08-23 231
发现libpcap.so.1 => /usr/local/lib/libpcap.so.1 (0x00007f3b33160000)使用的还是libpcap.so.1.4.0。直接删除/usr/local/lib/libpcap.so.1,重装 tcpdump libpcap即可解决问题,tcpdump就可以使用啦。发现libpcap版本为 1.4.0,并不是我们最新安装libpcap-1.5.3,因此需要修改为最新的libpcap-1.5.3。查看tcpdump和使用libpcap的版本。
linux tcpdump能抓到包但是应用程序不能收到包
qq_39466755的博客
01-11 1403
tcpdump命令能抓到过来的数据包,可是应用程序的recvfrom等套接字接收函数无法接收数据包;原因可能是各种各样的;由于疏忽不用时没有关闭所有的套接字,导致套接字越来越多,系统和单个进程都是有文件描述符上限的;太多的文件描述符就会导致应用程序的recvfrom等套接字接收函数出现问题;在网络编程项目中会遇到各种各样的网络问题,原因往往是多种多样的,在网上不会找到一个满意的答案;由于我的项目中的另外一个进程:在使用某功能时会创建很多套接字(文件描述符);我的好像是五百多个文件描述符就出现这个问题。
tcpdump命令以及简单使用
super_m@n的博客
09-11 1079
0*00首先给出参数: root@kali:~# tcpdump -h tcpdump version 4.9.2 libpcap version 1.9.0 (with TPACKET_V3) OpenSSL 1.1.1c 28 May 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] ...
Linux 命令(11)—— tcpdump
baboon_chen
10-26 917
tcpdump是一个网络抓包工具,它可以捕获和分析TCP/IP网络协议的数据包。它使用libpcap库来抓取网络数据包,这个库在几乎在所有的 Linux/Unix 中都有。之所以叫做tcpdump,是因为它最初是用于捕获和分析TCP协议的数据包。然而,随着时间的推移,它的功能扩展到了其他协议,如UDPICMP等。尽管如此,它的名称仍然保持为tcpdump。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
linux-利用tcpdump抓包和awk处理写的基于端口的流量统计
08-13
Linux系统中,我们可以使用以下命令来启动tcpdump并捕获指定端口的数据包: ```bash tcpdump -i interface -nn port port_number ``` 这里的`interface`是指你要监听的网络接口(如eth0、wlan0等),`-nn`选项...
tcpdump抓两个网卡的包_linux使用tcpdump抓包工具抓取网络数据包,多示例演示
weixin_39782832的博客
12-20 1788
tcpdumplinux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04。tcpdump的命令格式tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数:tcpdump [-i 网卡] -nnAX '表达式'各参数说明如下:-i:interface 监听的网卡。-nn:表示以ip和port的...
go-nflog-acctd:在Linux iptables下使用NFLOG进行IP记帐
05-16
%go-nflog-acctd(1)用户手册%Nick Craig-Wood%2013年5月17日 进行NFLOG记帐 这是一个在Linux iptables下使用NFLOG进行IP记帐的程序。 要使用它,您需要在iptables(和ip6tables)中添加一些NFLOG规则,并配置go-nflog-acctd来读取它们。 它将定期转储.csv文件供您分析。 要监视与该主机之间的IPv4,可以使用 iptables -A OUTPUT -j NFLOG --nflog-group 4 --nflog-range 20 --nflog-threshold 50 --nflog-prefix "IPv4out" iptables -A INPUT -j NFLOG --nflog-group 5 --nflog-range 20 --nflog-threshold 50 --nflog
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 3万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump使用转载
guangyacyb的博客
10-19 611
抓包神器 tcpdump 使用介绍 Linux基础:用tcpdump抓包 Linux tcpdump命令详解 网络基本功(十八):细说tcpdump的妙用(下)
Linux tcpdump
斌斌(Java)
02-13 572
tcpdump - 转储网络上的数据流。是不是感觉很懵?
symbol lookup error:XXX.so: undefined symbol: 解决办法----以 libpcap.so 的 pcap_dump_open_append 函数为例
Jason_Math的博客
03-23 2233
symbol lookup error:XXX.so: undefined symbol: 解决办法----以 libpcap.so 的 pcap_dump_open_append 函数为例;修改动态库链接路径的一个方法。
symbol lookup error: undefined symbol
hkqzero的博客
02-04 1589
调用动态库时,使用了未定义的符号,检查makefile中是否只包含了头文件没有将动态库添加进去
symbol lookup error:undefined symbol
weixin_30698527的博客
09-18 8063
symbol lookup error:undefined symbol 通过一个实例,引入这个问题。特在此说明一下,搞清楚原因。 问题: 向设备移植openvas时遇到一个问题。 运行openvassd,报错,在此之前我已经将libgio-2.0.so.0库移植到设备上, libgio-2.0.so.0是安装glib-2.0 (版本号2.42.1)时一块安装的库。 初...
linux tcpdump抓包命令
07-27
tcpdumplinux系统中常用的抓包工具,可以用来抓取网络中传输的数据包。使用方法: 在终端输入命令:tcpdump [options] [expression] - options:可选的参数,如-i eth0表示抓取eth0网卡的数据包 - expression:过滤表达式,如host 192.168.1.1表示只抓取目标地址为192.168.1.1的数据包 如果不指定参数和表达式,默认会抓取所有网络中的数据包。 例如:tcpdump -i eth0 host 192.168.1.1 如果你想抓取所有数据包并将其保存到文件中,可以使用 -w 参数 例如: tcpdump -i eth0 -w /path/to/save.pcap 更多详细的使用方法可以使用man tcpdump查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值