tcpdump的简单使用

最新推荐文章于 2022-09-09 14:33:15 发布
最新推荐文章于 2022-09-09 14:33:15 发布
阅读量163 收藏 1
点赞数
文章标签: 网络 awk
原文链接:http://www.cnblogs.com/mke2fs/p/9978263.html
版权

0X01.抓包

二话不说直接上命令

tcpdump -i wlan0 -s 0 -w file.pcap

简单说一下每个参数的作用,

-i  接指定网络接口,eth0/wlan0

-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节

-w 将抓取的数据保存到指定文件,后面接一个指定的文件名

 如图抓取了919个数据包.

0X02.既然抓包完成,我们来读取一下内容:

tcpdump -r file1.pcap

-r 读取指定文件

-A 以ACSll码格式进行表示

-X 以16进制格式显示

0X03.除了抓取所有流经网络接口的数据包,我们还可以只抓取指定协议端口的数据包.

命令:(这里说一下如果不将抓到的包保存文件,那么就会动态显示)

tcpdump -i wlan0 tcp port 80 -w file2.pcap

tcp 指定只抓取tcp协议的包

port 80 抓取80端口的包

好,下面上图

0X04.tcpdump的显示筛选器.

先放命令:

tcpdump -n -r file1.pcap | awk '{print $3}' |sort -u

-n 不将ip解析为域名

| 管道符,将上一个命令的输出作为后一个命令的输入

 awk '{print $3}'  这一句只将第三列筛选出来(也即是ip)

sort -u 去除重复项

0X05.下一个筛选显示源ip

命令:

tcpdump -n src host 10.152.23.31 -r file1.pcap

src host ip 筛选源IP

dst host ip 筛选目标ip

 0X06.筛选指定协议端口,并以ascll码格式显示

命令:

tcpdump -n -A tcp port 80 -r file2.pcap

 tcpdump -n -X tcp port 80 -r file2.pcap

同理以16进制显示数据包内容

0X07.tcpdump 高级筛选(可以精确到字节)

这里简单说一下tcp包结构.

TCP包头结构如下,8个位为一个字节,每一行为四个字节,一共是32个位,源端口占了前面的16个位,两个字节;

目的端口一样;第四行第三列是标签位

 0                                      1                                     2                                    3

 0  1  2  3  4  5  6  7  8  9  0 1  2  3  4  5  6  7  8  9  0 1  2  3  4  5  6  7 8  9  0  1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                  Source Port                    |                          Destination Port          |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                                                              Sequence Number                                     |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                                                   Acknowledgment Nuber                                      |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|  Date    |                                 |C|E|U|A|P|R|A|F|                                             |

| Offset |   Res.                      |W|C|R|C|S|S|Y|I|                 Windwos              |

|              |                                 |R|E|G|K|H|T|N|N|                                             |
 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|            Checksum                               |                    Urgent Pointer                    |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                      Options                        |                          Padding                          |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                                                          data                                                              |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

当tcp三次握手完成以后,服务度和客户端建立链接就会发送真正的数据请求内容,

此时flag既标记位就会是ack 和psh开头,表示数据传输的最起始位置

从wireshark我们可以知道flag标记位以0,1表示,因此我们在这里筛选ack和psh位.二进制编码就是00011000

转化为十进制就是24

命令:

tcpdump -A -n 'tcp[13]=24' -r file1.pcap

每一行四个字节,到第四行就是第13个字节.

因此

 

转载于:https://www.cnblogs.com/mke2fs/p/9978263.html

digupang7059
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump基础使用.pdf
08-04
这份文档《tcpdump基础使用.pdf》为我们详细介绍了如何使用tcpdump这个强大的工具。 首先,tcpdump的基础命令格式可以表示为: ``` tcpdump [选项] [过滤表达式] ``` 在文档中给出了一个简单的示例: ``` tcpdump -...
利器Tcpdump使用
蓝法典的专栏
04-03 2077
tcpdump采用命令行方式,它的命令格式为:  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]          [ -T 类型 ] [ -w 文件名 ] [表达式 ]  1. tcpdump的选项介绍   -a    将网络地址和广播地址转变成名字;  
tcpdump抓包
热门推荐
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
Linux tcpdump常用抓包语法
mukouping82的博客
04-29 3676
一、基本语法 过滤主机: tcpdump -i any host 192.168.1.1 过滤端口: tcpdump -i any port 80 过滤某一网段: tcpdump -i any net 192.168.0.0/16 过滤协议: tcpdump -i eth1 arp/ip/tcp/udp/icmp 常用表达式 非 : ! or "not" (去掉双引号) 且 : && or "and" 或 : || or "or" 抓取所有经过eth1,目的地址是1..
linux 下抓取无线网卡 802.11包
只有自己觉到悟到的,才是自己的。
08-20 3953
注意:无线网卡只有在监听模式下,才可以抓到无线帧。AP和Station模式虽然可以抓到数据包,但不是802.11的无线帧。 1、将无线网卡设置为 monitor 模式。 具体有三种设置方法可参考 :https://blog.csdn.net/Adrian503/article/details/119825551 2、抓包注意事项 单个网卡,可以直接设置成 monitor 模式,此时,网卡就只能工作在这个模式,监听空中所有的无线帧,都会接受。但是一般情况下,我们会正常使用网卡,作为station模..
tcpdump命令大全
linux_tcpdump的博客
03-08 993
how-to-use-tcpdump Tcpdump command is a famous network packet analyzing tool that is used to display TCP IP & other network packets being transmitted over the network attached to the system on which tcpdump has been installed. Tcpdump uses libpcap libr
Tcpdump使用手册
11-08
- **启动Tcpdump**:最简单使用方式是直接输入`tcpdump`命令,此时Tcpdump将默认监听第一个网络接口上流过的所有数据包。例如: ``` bash-2.02# tcpdump ``` - **指定监听的网络接口**:使用`-i`参数指定监听...
使用tcpdump
05-04
在提供的PPT和视频教程中,可能涵盖了以下内容:tcpdump的基础概念、命令行参数的使用、过滤表达式的编写、常见网络协议的分析,以及如何结合Wireshark这样的图形界面工具进行更深入的分析。这些教程将帮助你从实践...
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdump是Linux下面的一个开源的抓包工具,和Windows下面的...
libpcap源码和tcpdump源码文件,用于编译tcpdump
最新发布
11-20
1. **直观易用**:tcpdump提供了一个简单的命令行界面,用户可以通过参数指定捕获的网络接口、过滤条件等。 2. **协议解析**:tcpdump能解析多种网络协议,包括TCP、UDP、IP、ICMP等,并将数据包的内容以可读的格式...
使用tcpdump抓取Android手机或者机顶盒网络
wirelessdisplay的博客
03-10 3929
1. android系统root,tcpdump进行交叉编译, 适应手机系统 2. 运行cmd/shell 3. 使用adb.exe(android-sdk-windows\platform-tools \adb.exe)上传tcpdump到手机上     adb.exe push /localdir/tcpdump /data/local/tcpdump 4. 登录android she
tcpdump flags 常见标志位汇总
qq_32783703的博客
09-09 3445
flags MF表示有更多分片,DF表示不分片,这里是DF,未使用分片,所以id和offset的值都可以忽略。S : SYN - 同步;P : PUSH - 推送;R : RST - 复位;F : FIN - 结束;A : ACK - 应答。
tcpdump - 数据包进行截获的包分析工具
墨鱼菜鸡
07-11 1303
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 30 分钟掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm Androidtcpdump下载:https://www.androidt...
Linux使用tcpdump抓获取WIFI包
李迟的专栏
10-28 1万+
Linux上常用的抓包工具有tcpdump,还有大名鼎鼎的wireshark(图形界面)。它们都可以抓无线网络WIFI包。本文介绍用两者如何在Linux系统中抓包,假设系统已经正确安装无线网卡驱动,并能识别到wlan0设备。
tcpdump进行网络抓包
yangyangrenren的专栏
01-29 640
命令sudo tcpdump -A -i wlan0 host 115.159.95.165 > tcpdump.txt 一个普通的网站,有登录功能:用户名与密码。使用tcpdump进行抓包,获取用户名以及密码。 使用上述命令sudo tcpdump -A -i wlan0 host 115.159.95.165,可以对主机上的行为进行监控,得到输入的用户名与密码。 netstat -rn
TcpDump 抓包 传输数据包
weixin_33843409的博客
04-03 472
TcpDump 抓包工具 (很容易的,别有压力,朋友) 1.首先看一下它的作用:TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤, 并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 2.举个例子 jason@jason-Inspiron-3542:~$ sudo tcp...
Linux下抓包工具tcpdump使用
11-29 1万+
为了弄明白keepalived+lvs是如何交互的,必须学会分析和使用抓包工具进行分析,下面就是对抓包工具的的使用简单介绍如下,有些部分参考的网上的,如有不对的地方欢迎指正,谢谢! 1.第一种是关于类型的关键字主要包括host,net,port 例如: host host 10.10.10.12,指明host 10.10.10.12是一台主机,net 202
tcpdump教程入门
靑い空゛
03-09 2024
tcpdump教程入门 tcpdump是一个最基本重要的网络分析工具, 掌握好这, 对于学习tcp/ip协议也是很有帮助的. 理解了tcp/ip协议栈的知识, 分析调优网络的能力才会更高. 所以使用tcpdump相比其它的工具, 更能帮我们理解协议. tcpdump的一些命令选项 -n不要转换一些数值, 比如把80端口转换成http显示.-i需要监控的网卡.
如何使用tcpdump命令抓包
08-29
使用tcpdump命令抓包的方法有多种。以下是其中一些常用的方法: 1. 使用特定的网卡和端口进行抓包: - 要抓取特定网卡上的所有数据包,可以使用命令 `tcpdump -i eth0`。 - 要捕获特定主机和端口的数据包,可以使用命令 `tcpdump host 192.168.1.51 and port 22`。这将捕获源或目标IP地址为192.168.1.51,端口为22的所有数据包。 2. 保存抓包结果到文件: - 要将抓包结果保存到文件中,可以使用 `-w` 参数,后面跟上文件路径,例如 `tcpdump -i eth0 -w /tmp/tcpdump.cap`。这将把所有捕获到的数据包保存到指定的文件中。 3. 查看保存的抓包文件: - 要查看保存的抓包文件,可以使用命令 `tcpdump -r /path/to/file.cap`。这将显示文件中的所有数据包。 4. 筛选特定的数据包: - 要筛选特定源或目的地IP地址的数据包,可以使用命令 `tcpdump -n src host ip -r /path/to/file.cap` 和 `tcpdump -n dst host ip -r /path/to/file.cap`,将 `ip` 替换为目标IP地址。这将只显示与指定IP地址相关的数据包。 5. 进一步处理抓包结果: - 可以使用管道和其他命令对抓包结果进行进一步处理。例如,使用 `awk '{print $3}'` 来提取输出中的第三列,并使用 `sort -u` 剔除重复的内容。例如: `tcpdump -n -r /path/to/file.cap | awk '{print $3}' | sort -u`。 希望以上信息可以帮助您理解如何使用tcpdump命令进行抓包。如需更多详细信息,请参考引用资料。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Tcpdump抓包命令详解](https://blog.csdn.net/Romanticn_chu/article/details/116052964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [tcpdump命令以及简单使用](https://blog.csdn.net/qq_34398519/article/details/100736161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Linux下使用tcpdump抓包的实现方法](https://download.csdn.net/download/weixin_38667835/14108772)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值