tcpdump 使用介绍

于 2020-06-27 10:41:56 发布
阅读量318 收藏
点赞数
分类专栏: Linux http Mysql 文章标签: linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenlvzhou/article/details/106978709
版权
Mysql 同时被 3 个专栏收录
34 篇文章 0 订阅
订阅专栏
Linux
17 篇文章 0 订阅
订阅专栏
http
4 篇文章 0 订阅
订阅专栏

介绍

tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

常用选项

-n  表示不要解析域名,直接显示 ip。
-nn**  不要解析域名和端口。
-X  同时用 hex 和 ascii 显示报文的内容。
-XX  同 -X,但同时显示以太网头部。
-S  显示绝对的序列号(sequence number),而不是相对编号。
-i  监听的网卡。
-v, -vv, -vvv  显示更多的详细信息。
-c number  截取 number 个报文,然后结束。
-A  只使用 ascii 打印报文的全部数据,不要和 -X 一起使用。
-D  列出所有可以监控的网卡。
-s 指定每条报文的最大字节数,默认为262144,如果值为0时,表示不截断,抓取完整的数据包

过滤器

机器上的网络报文数量异常的多,很多时候我们只关系和具体问题有关的数据报(比如访问某个网站的数据,或者 icmp 超时的报文等等),而这些数据只占到很小的一部分。把所有的数据截取下来,从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报,简化分析的工作量。这些选择数据包的语句就是过滤器(filter)!

过滤器也可以简单地分为三类:type, dir 和 proto。

Type 让你区分报文的类型,主要由 host(主机), net(网络) 和 port(端口) 组成。src(源地址) 和 dst(目的地址) 也可以用来过滤报文的源地址和目的地址。

过滤的真正强大之处在于你可以随意组合它们,而连接它们的逻辑就是常用的 与/AND/&& 、 或/OR/|| 和 非/not/!。

用例

1.监听所有端口,直接显示 ip 地址
	tcpdump -nS
	
2.显示更详细的数据报文,包括 tos, ttl, checksum 等
	tcpdump -nnvvS
	
3.显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出
	tcpdump -nnvvXS
	
4.监控一个指定的网络接口
	tcpdump -i eth0
	
5.基于IP查找流量
	tcpdump host 114.114.114.114 
	
6.根据来源和目标进行筛选
	tcpdump src 1.1.1.1 (源地址)
	tcpdump dst 1.0.0.1 (目的地址)
	tcpdump not src  1.1.1.1 (过滤源地址)
	tcpdump not dst   1.0.0.1 (过滤目的地址)
	
7.查看某一网段或者子网的进出流量
	tcpdump net 1.2.3.0/24
	
8.使用十六进制输出
	tcpdump -c 1 -X icmp
	
9.显示特定端口的流量
	tcpdump port 3389 
	tcpdump src port 1025
	tcpdump dst port 1026
	
10.显示特定协议的流量
	tcpdump icmp
	tcpdump udp
	tcpdump tcp
	
11.查看某一范围内的所有端口的流量
	tcpdump portrange 21-23
	
12.将包存在文件中
	tcpdump port 80 -w capture_file
	
13.从文件中读取
	tcpdump -r capture_file
	
14.来自特定的IP,发往特定的端口
	tcpdump -nnvvS src 139.5.6.4 and dst port 3389
	
15.从某个网段来,到某个网段去
	tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
	
16.到某个IP的非ICMP流量
	tcpdump dst 192.168.0.2 and src net and not icmp
	tcpdump -vv src mars and not dst port 22
	
17.GET请求
	tcpdump -vvAls0 | grep 'GET'
	tcpdump -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
	
18.POST请求
	tcpdump -vvAls0 | grep 'Host:'
	tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

输出

10:35:25.648675 IP chenlvzhoudembp.54018 > 192.168.1.1.domain: 18464+ PTR? 1.1.168.192.in-addr.arpa. (42)
10:35:25.650092 IP 192.168.1.1.domain > chenlvzhoudembp.54018: 18464* 1/0/0 PTR 192.168.1.1. (67)
10:35:25.895269 IP chenlvzhoudembp.58063 > 117.34.61.133.http: Flags [F.], seq 706908684, ack 3609747502, win 4096, length 0
10:35:25.896315 IP chenlvzhoudembp.52148 > 192.168.1.1.domain: 8596+ PTR? 133.61.34.117.in-addr.arpa. (44)
10:35:26.739836 IP chenlvzhoudembp.57928 > 14.215.177.39.https: Flags [F.], seq 907035098, ack 3372296595, win 4096, length 0
10:35:26.790594 IP 192.168.1.1.domain > chenlvzhoudembp.52148: 8596 NXDomain 0/1/0 (106)

第一列:时分秒毫秒
第二列:网络协议
第三列:发送方的ip地址+端口号(或者协议)
第四列:>
第五列:接收方的ip地址+端口号(或者协议)
第六列:冒号
第七列:Flag标识符:
[S]:建立连接的标识SYN
[P]:发送数据的标识
[F]:结束连接的标识FIN
[.]:没有标识

chenlvzhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump简介及使用
运维小白
12-25 788
NIDS ========================================================================= 网络嗅探器 linuxtcpdump,wireshark windows: sniffer tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻...
tcpdump使用小结
cloudary的专栏
08-03 3448
Tcpdump的常用选项 -a 尝试将网络和广播地址转换成名称。 -c数据包数目> 收到指定的数据包数目後,就停止进行倾倒操作。 -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。 -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。 -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。 -e 在每列倾倒资料上显示连接层级的文件头。 -
tcpdump入门介绍
ironGYI的博客
09-25 699
最近在测试一个程序的时候使用到了tcpdump,怀着走过路过,不能错过的原则,学习一下tcpdump使用方法。这里记录的是简单学习的知识。 在这里我们就不展示man tcpdump 的帮助页了。那些说实话,我看不懂。。。 这里我写一下我记录的一些简单的用法: 一:控制抓的包输入和输出。 在tcpdump文档中,一开始接触的就是-w -r -V,-c三个选项。 1. tcpdump
理解TCP序列号(Sequence Number)和确认号(Acknowledgment Number)
热门推荐
怀揣梦想,努力前行
07-25 19万+
原文见:http://packetlife.net/blog/2010/jun/7/understanding-tcp-sequence-acknowledgment-numbers/ 如果你正在读这篇文章,很可能你对TCP“非著名”的“三次握手”或者说“SYN,SYN/ACK,ACK”已经很熟悉了。不幸的是,对很多人来说,对TCP的学习就仅限于此了。尽管年代久远,TCP仍是一个相当复杂并且值得研...
tcpdump高级过滤表达式
lepton126的专栏
11-08 1万+
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt   tcpdump advanced filters ======================== Sebastien Wains http://www.wains.be $Id: tcpdump_advanced_filters.txt 34
linux tcpdump
qq_27403547的博客
12-14 857
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n    第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明
Linux下抓包工具tcpdump使用介绍.docx
09-26
Linux 下抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
Linuxtcpdump使用
02-18
本篇将详细介绍 `tcpdump` 的使用方法,包括基本命令格式、捕获控制参数、包显示参数以及过滤表达式。 1. **基本命令格式** 基本的 `tcpdump` 命令格式如下: ``` tcpdump [-包显示格式参数] [-捕获控制参数] '...
Tcpdump使用小结
11-15
Tcpdump 使用小结 TcpdumpLinux 中一个非常有用的抓包工具,能够捕获通过某网络接口的匹配某布尔表达式的数据报文信息。...通过本文的介绍,您应该能够更好地使用 Tcpdump 来完成您的抓包任务。
tcpdump简介
06-30
抓包神器,非常常用的抓包工具,生成pcap文件
Tcpdump使用
05-06
介绍Tcpdump使用,很详细,word形式!~~~~
Tcpdump的详细用法
weixin_33691700的博客
07-05 400
1. TCPDump介绍 TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeB...
mysql_Innodb的undo_log和redo_log
chenlvzhou的专栏
10-28 3963
众所周知,mysql支持多种存储引擎,现在常用的是MyISAM和InnoDB。MyISAM相对简单,但不支持事务,而InnoDB是事务安全型的。而InnoDB的事务处理离不开undo_log和redo_Log。 mysql innodb存储引擎 下面简单的介绍一下innodb的存储引擎 内存缓冲池 如果mysql不用内存缓冲池,每次读写数据时,都需要访问磁盘,必定会大大增加I/O请求,导致
mysql semi-sync浅谈
chenlvzhou的专栏
11-20 3222
在mysql异步复制的情况下,Mysql Master Server将自己的Binary Log通过复制线程传输出去以后,Mysql Master Sever就自动返回数据给客户端,而不管slave上是否接受到了这个二进制日志。在半同步复制的架构下,当master在将自己binlog发给slave上的时候,要确保slave的IO_THREAD接收日志写入relay-log以后,才会返回数据给客户端
py_innodb_page_info简介
chenlvzhou的专栏
12-04 2798
py_innodb_page_info工具使用     此工具是《MySQL技术内幕 InnoDB存储引擎》作者姜承尧写的用来分析表空间中的各页得类型和信息,用python编写。最近我也在拜读这本书。由三个文件py_innodb_page_info.py,mylib.py和include.py组成。需要放在同一个目录下,chmod 755 这三个文件的权限。注意:py_innodb_page_i
MySQL profiling的用法
chenlvzhou的专栏
07-07 2661
MySQL数据库是常见的两个瓶颈是CPU和I/O的瓶颈,CPU在饱和的时候一般发生在数据装入内存或从磁盘上读取数据时候。磁盘I/O瓶颈发生在装入数据远大于内存容量的时候,如果应用分布在网络上,那么查询量相当大的时候那么平瓶颈就会出现在网络上,我们可以用mpstat, iostat, sar和vmstat来查看系统的性能状态。今天我们不讨论服务器硬件的性能瓶颈,只是谈谈MySQL系统本身,通常需要对
keepalived原理及配置段的说明
chenlvzhou的专栏
11-17 2522
keepalived原理 概念:   就是所谓的高可用或热备,用来防止单点故障(单点故障是指一旦某一点出现故障就会导致整个系统架构的不可用的发生,那说到keepalived时不得不说的一个协议就是VRRP协议,可以说这个议就是keepalived实现的基础,那么首先我们来看看VRRP协议(虚拟路由冗余协议).Keepalived就是巧用VRRP协议来实现高可用性(HA)的. 原理: k
MySQL InnoDB存储引擎之表(一)
chenlvzhou的专栏
12-01 2235
主要介绍InnoDB存储引擎表的逻辑存储以及实现。重点介绍数据在表中是如何组织和存放的。 1.索引组织表(index organized table)     在InnoDB存储引擎中,表都是根据主键顺序组织存放的,这种存储方式的表叫索引组织表。在InnoDB存在引擎表中,每张表都有个主键(Primary key),如果在创建表时没有显示定义主键,则会按照如下方式选择或者创建主键:a.判定
tcpdump 工具介绍
最新发布
09-15
使用 tcpdump 需要有 root 权限或者特定的权限,因为它需要访问网络接口进行数据包捕获。常用的命令格式如下: ```shell tcpdump [选项] [过滤条件] ``` 通过设置不同的选项和过滤条件,可以实现各种不同的抓包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值