linux tcpdump 使用大全

最新推荐文章于 2024-08-24 08:53:03 发布
最新推荐文章于 2024-08-24 08:53:03 发布
阅读量4.8k 收藏 6
点赞数
分类专栏: linux/unix 文章标签: linux dst tcp file interface 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hittata/article/details/7683515
版权
TCPDUMP(8)    TCPDUMP(8)

NAME
       tcpdump - dump traffic on a network

SYNOPSIS
       tcpdump [ -AdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
      [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
      [ -i interface ] [ -m module ] [ -M secret ]
      [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
      [ -W filecount ]
      [ -E spi@ipaddr algo:secret,... ]
      [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
      [ expression 
      
--------------------------------
-option param       
-s snaplen 指定捕获数据包大小,防止包过大,导致丢失,常用: -s 0  将包大小设置为65535 bytes
-i interface 指定网络接口名 如 eth0 eth1 等等 
-w file 指定文件名,存储捕获结果,可以将捕获结果保存为后缀为pcap文件或cap文件,供wireshark 分析工具分析
-r file 从指定的文件中读取包(这些包一般通过-w选项产生)
-c count 指定捕获包数量,默认是没有限制,一直捕获下去
-l >result.txt 将捕获包定向到文本文件
----------------------------------
-option
-v   输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv   输出详细的报文信息;
-n 不进行地址域名转换
-nn 不进行端口号服务名转换 如port 22转换为ssh 


-X 以16进制和文本两种方式显示数据包内容
--------------------------------------------------
option
   方向:src,dst,src or dst, src and dst
   端口:port value
   范围:host value  单个ip、net netvalue 网络地址(采用192.168.0.0/24格式)、ether  value(MAC地址)、gateway value(网关)
   逻辑:and ,or ,not,&&,!,||
   协议:tcp,udp,ip,arp,icmp 

注意tcpdump 中括号一定要转义 \( \) 例如:
tcpdump -i eth0 host \(192.168.59.1 or 192.168.59.133\) and tcp 
--------------------------------------------------
tcp包相关标志:
   S=SYN,发起连接标志。
   P=PUSH,传送数据标志。
   F=FIN,关闭连接标志。
   R=RESET,异常关闭连接。
   . 表示没有任何标志   通常是只发送ACK报文,实际上ACK标准是1.
   ack    表示确认包。

--------------------------------------------------

1.捕获某个网络接口报文

tcpdump -i eth0


2.捕获某个网口上某个种协议报文

tcpdump -i eth0 tcp


3.捕获某个网口上某个种协议和某个端口报文

   tcpdump -i eth0 tcp port 80


4.tcpdump -i etho src host 192.168.59.11 and dst port 22

5.tcpdump -i etho src net 192.168.59.0/24 and dst port 22

6.查看捕获数据包文件
  [root@localhost ~]# tcpdump -r my.pcap
  reading from file my.pcap, link-type EN10MB (Ethernet)
  09:39:19.264188 ARP, Request who-has 192.168.59.133 tell 192.168.59.1, length 46
  09:39:19.264275 ARP, Reply 192.168.59.133 is-at 00:0c:29:27:f4:a8 (oui Unknown), length 28

7.tcpdump -i etho src host 192.168.59.11 and dst port 22 -c 500 -w ssh.pcap
  
8.tcpdump -i eth0 tcp port 22 -n -nn -l >tcp.dump
 
---------------------------------------
1.抓eth1的包 
tcpdump -i eth1 -w /tmp/xxx.cap 

2.抓192.168.1.123的包 
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 

3.抓192.168.1.123的80端口的包 
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 

4.抓192.168.1.123的icmp的包 
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap 

5.抓192.168.1.123的80端口和110和25以外的其他端口的包 
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110-w /tmp/xxx.cap 

6.抓vlan 1的包 
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap 

---------------------------------------
1.注意tcpdump 中括号一定要转义 \( \)
 tcpdump -i eth0 dst host 192.168.59.133 and tcp                 
 tcpdump -i eth0 dst host 192.168.59.133 and tcp and dst port 22 
 tcpdump -i eth0 dst net 192.168.59.0/24 and tcp and dst port 22 
 tcpdump -i eth0 host \(192.168.59.1 or 192.168.59.133\) and tcp 

---------------------------------------
A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1

B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要进行转义)
#tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \)

C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1

E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
#tcpdump -i eth0 src host hostname

G 下面的命令可以监视所有送到主机hostname的数据包:
#tcpdump -i eth0 dst host hostname

H 我们还可以监视通过指定网关的数据包:
#tcpdump -i eth0 gateway Gatewayname

I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpdump -i eth0 host hostname and port 80

J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1


----------------------------------------------------------------------------------

千年的塔
关注
专栏目录
Linux 网络命令必知必会之 tcpdump,一份完整的抓包指南请查收! ...
测试0901-1
04-19 623
Linux 网络命令必知必会之 tcpdump,一份完整的抓包指南请查收!这篇文章我总结得比较详尽,可以当字典查,建议收藏,不过别光顾着收藏,点赞什么的鼓励我一下,这能让我更有动力给大家输出更好的内容。 01 简介#tcpdump 是一款 Linux 平台的抓包工具。它可以抓取涵盖整个 TCP/IP 协议族的数据包,支持针对网络层、协议、主机、端口的过滤...
Linux 工具 】 tcpdump详细使用说明
jingling122的博客
06-27 667
tcpdump 是一个在 Unix-like 系统上广泛使用网络分析工具,用于捕获和分析网络数据包。以下是 tcpdump 的基本使用方法和一些常用选项的详细说明:1. 安装 tcpdump在大多数 Linux 发行版上,可以使用包管理器来安装 tcpdump。2. 使用 tcpdump 命令
Linux-tcpdump
feiyu5323的专栏
06-05 1030
Linux-tcpdump 目录 tcpdump介绍 tcpdump帮助信息 抓包对象 使用表达式文件 数据包的保存及查看 manpage里的例子 更多示例 输出格式(以下为man原文翻译) 链接级别标题 ARP/RARP数据包 IPv4数据包 ...
Linux tcpdump
greywolf5的博客
09-28 101
tcpdump 把网卡 设置成 promiscuous 模式,并记录任何 通过的包。 sudo tcpdump -i xxx -n tcpdump 认识 各个网络层 的各种协议( ARP, RARP, ICMP, TCP, UDP, IP, IPv6)。比如:TCP 的包 # tcpdump tcp web 和 UDP 的包: tcpdump udp or port 80 or port 443 推荐一个有界面的 抓包 工具:wireshark 原始类型 操作符 or and !。可以..
Linux TCPDUMP使用
浴血重生-学习空间
11-16 2240
tcpdumplinux系统提供的一个命令行工具,可以将网络传送的数据包完全截获下来,提供网络数据分析。Windows端可以使用Wireshark达到同样效果。 官方网站:http://www.tcpdump.org/ 最新版本:http://www.tcpdump.org/#latest-release
linux使用tcpdump
HES_C的博客
06-01 704
对于网络管理人员来说,使用嗅探器能够随时掌控网络 的实际情况,在网络性能急剧下降的时候,能够通过嗅探器来分析原因,找出造成网络阻塞的根源。 Tcpdump就是Linux平台下一个以命令行方式运行的网络流量监测工具。他能截获网卡上收到的数据包,并能够协助网络管理员对其的内容进行相应的分析。  嗅探器能够截获指定接口或任何接口的数据包,这取决于如何对嗅探器进行配置。缺省情况下嗅探
linux离线安装tcpdump
11-02
里面附有安装文档(亲测可用)
Linux tcpdump命令详解大全
09-15
### Linux tcpdump命令详解 #### 一、简介 tcpdump是一款功能强大的网络数据包抓取工具,主要用于在Linux系统上捕获和分析网络流量。它能够根据用户设定的过滤条件来截取网络上的数据包,并对其进行详细的分析。该...
Linuxtcpdump命令解析及使用详解
01-09
Linux下的tcpdump是一个强大的网络数据包分析工具,用于捕获并分析网络的数据包。它可以帮助用户监控网络流量,诊断网络问题,或者进行网络安全审计。tcpdump能够截获网络层的头部信息,提供了丰富的过滤选项,...
arm linux tcpdump
06-26
标题的“arm linux tcpdump”指的是在基于ARM架构的Linux系统上使用tcpdump工具。Tcpdump是一个强大的网络分析工具,广泛用于抓取、查看和分析网络封包,它可以帮助我们理解网络流量,诊断网络问题,或者进行...
Linux网络Linux网络抓包工具tcpdump
程序员笔记
11-02 581
tcpdump 是一个Linux网络抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。
linuxtcpdump命令详解,tcpdump命令详解
weixin_34183702的博客
04-29 1179
linux命令tcpdump1、tcpdump命令简介tcpdump命令是基于unix系统的命令行的数据报嗅探工具,可以抓取流动在网卡上的数据包。它的原理大概如下:linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统所有已经注册的网络协议,如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把...
Linux抓包工具TCPdump,用过的网工,都说好用!
最新发布
ICT系统集成阿祥
08-24 711
背景tcpdump作为Linux常用的抓包工具,原理是它使用 libpcap 库来抓取网络数据包,这个库几乎在所有的 Linux/Unix 都有,抓取到的数据包用来提供网络分析。工具支持针对网络层、协议、主机、网络或端口的过滤,并可使用and、or、not等逻辑指令来帮助使用者筛掉无用信息。工具安装一、tcpdump安装1、云主机:CentOS 7.62、安装tcpdumpyum-yinst...
linuxtcpdump命令详解,linux tcpdump命令详解
weixin_34161139的博客
04-29 297
LinuxLinux tcpdump是最重要的技术之一,下面由学习啦小编为大家整理了linux tcpdump命令的相关知识,希望对大家有帮助!1.Linux tcpdump的选项介绍-a将网络地址和广播地址转变成名字;-d将匹配信息包的代码以人们能够理解的汇编格式给出;-dd将匹配信息包的代码以c语言程序段的格式给出;-ddd将匹配信息包的代码以十进制的形式给出;-e在输出行打印出数据链路层...
linuxtcpdump命令详解,tcpdump命令
weixin_31730595的博客
04-29 370
tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件,方便以后分析。语法tcpdump(选项)选项-a:尝试将网络和广播地址转换成名称;-c:收到指定的数据包数目后,就停止进行倾倒操作;-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;-dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;-ddd:...
Linux tcpdump详解
qq_62311779的博客
06-17 1513
BPF介绍、tcpdump语法结构、|| && != 逻辑运算符、常用选项及参数、常用原子条件(host net src dst port proto flags
Linux命令tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-03 4051
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
Linux 上功能强大的网络工具 tcpdump 详解
usstmiracle的博客
07-21 3865
然后,您可以存储这些数据包,然后对其进行分析,以找到任何与网络相关的问题的根源。如果您有多个正在使用的活动网络接口,您可能需要定义tcpdump应该从捕获数据包的网络接口。好吧,您很幸运,因为这是可能的,这归功于tcpdump命令使用逻辑运算符的能力。tcpdump是一种功能强大的网络工具,如果您需要对Linux上的网络错误进行故障排除,它可以捕获和分析网络流量。要过滤通过特定协议传输的数据包,请使用tcpdump命令输入协议名称,它只会捕获通过定义的网络协议传输的数据包。...
Linux下抓包命令Tcpdump
C3399的博客
11-01 8983
一、命令概述 tcpdump可以将网络传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 二、命令参数 -A以ASCII格式打印出所有分组,并将链路层的头最小化。 -c在收到指定的数量的分组后,tcpdump就会停止。 -C在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数file...
linux tcpdump使用
05-29
Linux tcpdump 是一款非常强大的网络抓包工具,它可以抓取网络数据包,并将其以文本形式显示在终端上。使用 tcpdump 可以帮助用户进行网络调试和分析,例如查找网络故障、监控网络流量等。 以下是 tcpdump 的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值