tcpdump抓取指定报文

最新推荐文章于 2024-06-26 15:30:14 发布
最新推荐文章于 2024-06-26 15:30:14 发布
阅读量4.7k 收藏 2
点赞数
原文链接:https://www.jianshu.com/p/3cc822a082b4
版权

关于tcpdump命令的详细用法,下面两图分别显示了IP和TCP报文的首部
在这里插入图片描述
在这里插入图片描述

1. 抓取 http GET/POST请求:

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

解析:

1) 获取tcp报文头长度:tcp[12:1]&0xf0 >> 2

首先,因为tcp 报文的data-offset(数据偏移)字段长度为4位,我们取 data-offset所在字节,并AND 0xf0取数据偏移位,即 tcp[12:1]&0xf0

其次,因为data-offset字段位于字节高位,帮右移4位后才是真实的数据长度:tcp[12:1]&0xf0 >> 4

最后,因为data-offset字段单位为32位字(1字长为4字节),因此需要将结果乘以4(左移2位),因此得 tcp[12:1]&0xf0 >> 4 << 2,得到最后结果为:tcp[12:1] & 0xf0) >> 2

2) 获取tcp报文内容头4字节:

‘GET ’ = 0x47455420

‘POST’ = 0x504f5354

查ASCII表:

0x47:‘G’

0x45:‘E’

0x54:‘T’

0x20:’空格‘

详细解释请参考此处:
https://security.stackexchange.com/questions/121011/wireshark-tcp-filter-tcptcp121-0xf0-24
tcpdump详细用法:
https://hackertarget.com/tcpdump-examples/

2. 只抓取有数据的HTTP报文内容

不抓取 TCP session setup (SYN / FIN / ACK).

tcpdump 'tcp port 80 and(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

  1. 从IP报文中获取I报文总长度: ip[2:2]

  2. 从IP报文中获取IP报文头长度: (ip[0]&0xf)<<2

  3. 从TCP报文中获取TCP报文头长度:(tcp[12]&0xf0)>>2

  4. 计算数据包长度:报文总长度-IP报文头长度-TCP报文头长度

  5. 获取HTTP数据包长度非空的报文:(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’

3. 抓取发包最多的IP地址

tcpdump -nnn -t-c 200| cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

完整报文内容:

IP 52.231.189.25.20523 > 192.168.1.117.16414: Flags [P.], seq 2274221020:2274221373, ack 4123247268, win 1452, options [nop,nop,TS val 1627996351 ecr 949364960], length 353

1) 选项释意:

-t: 不打印时间

-c:抓200个数据包

2) 切割报文:

cut -f 1,2,3,4 -d ‘.’  :以’.'为分隔符切割报文,并取 1,2,3,4 段域

  1. 排序:sort

  2. 计算并打印相同数据出现的次数:uniq -c

  3. 以数字倒序排序: sort -nr

  4. 取前20条数据:head -n 20

4. 抓所有协议的明文密码:

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

tcpdump抓取http包
https://www.jianshu.com/p/c46f8fc1dd1d

liucy007
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络报文抓取
12-18
1. **数据包捕获原理**:网络报文抓取工具,如Wireshark、tcpdump或smsniff,工作原理通常是利用网络驱动程序的原始套接字接口,直接访问网络层的数据,而不经过传输层(如TCP/UDP)或应用层。这样可以捕获到所有...
tcpdump抓取HTTP报文头部
lotluck的专栏
04-02 9544
因为要做一个需求,我需要调研现网请求http头部的大小,都有什么字段,shell脚本代码如下所示 #! /bin/bash s_512=0 s_512_1k=0 s_1k_2k=0 s_2k_4k=0 s_4k_8k=0 s_8k=0 idx=0 while true do if (($idx &gt;= 10000));then break fi ...
tcpdump抓包规则命令大全
sandshell的博客
07-13 3万+
tcpdump日常抓包
TCPDump抓包命令详解:网络分析的强大工具
最新发布
xmp65535的博客
06-26 1320
在网络管理和故障排除中,实时监控和分析网络流量是至关重要的。TCPDump 是一个强大的命令行工具,它允许用户捕获和分析通过网络接口的原始数据包。本文将详细介绍如何在 CentOS 操作系统中安装和使用 TCPDump,以及如何通过它来诊断和解决网络问题。
tcpdump详解
qq_44881113的博客
08-17 2768
tcpdump能够分析网络行为,性能和应用产生或接收网络流量。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息,从而使用户能够进一步找出问题的根源。 也可以使用 tcpdump 的实现特定目的,例如在路由器和网关之间拦截并显示其他用户或计算机通信。通过 tcpdump 分析非加密的流量,如Telnet或HTTP的数据包,查看登录的用户名、密码、网址、正在浏览的网站内容,或任何其他信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的
网络抓包工具Wireshark Capture Filter 技巧
grmsu的专栏
07-29 1730
网络抓包工具Wireshark  Capture Filter 技巧:抓获所有HTTP GET请求包的filter:     tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 抓获所有HTTP POST请求报的filter    tcp[
tcpdump指定捕包长度
rclijia的专栏
02-23 1万+
tcpdump -s 参数用于指定最大捕获长度,不能精确指定数据包的实际长度tcpdump 支持protocol[x:x]表达式,用于指定某协议[起始偏移量:数值类型长度], 如指定IP包长度大于100: tcpdump ip[2:2] > 100 此命令只会捕获IP包长度大于100字节的包, 更方便用于网络检测。
tcpdump 抓包
liuqiuyuewo的博客
05-30 593
tcpdump 命令 tcpdump 抓包的一般步骤 1) 通过-i命令指定一个网卡 如: tcpdump -i ens33 2) 过滤协议 协议类型如下 tcpdump -i ens33 arp tcpdump -i ens33 ip tcpdump -i ens33 tcp tcpdump -i ens33 udp tcpdump -i ens33 icmp 3) ...
tcpdump抓取工具和使用说明
03-26
在命令行中,你可以输入`tcpdump -i interface`来捕获指定接口(如`eth0`或`wlan0`)的数据包。`-i`参数后的`interface`代表你要监听的网络接口。如果你想捕获所有接口的数据包,可以使用`-i any`。tcpdump默认会...
Linux运维-03--服务器的高可用-17tcpdump抓vrrp包查看.mp4
06-01
Linux运维-03--服务器的高可用-17tcpdump抓vrrp包查看.mp4
抓取的HTTPS数据包(新)
09-12
请求的url:https://blog.qihooyun.cn/ 响应内容:https-test 方便自己以后查看,不必每次都重新抓取一个包了。 Server端设置了keep-alive为65秒。
Tcpdump & Wireshark
06-05
Tcpdump和Wireshark是网络分析领域的两个重要工具,它们主要用于抓取和分析网络报文,对于网络故障排查、性能优化和安全审计具有重要作用。 **Tcpdump** Tcpdump是一款命令行式的网络数据包分析工具,它能够实时...
tcpdump命令
zxh87的专栏
05-21 648
tcpdump抓包命令:
tcpdump过滤http的get/post,无视tcp的option
muyan9的专栏
04-21 3798
(src host localip and not tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420) and (src host localip and not tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 2万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
tcpdump 抓包和记录、tshark 过滤抓包
05-21 3135
tcpdump
用抓包工具分析HTTPS报文
程序员青菜学厨记
09-12 1806
https协议比http安全、它传输的是加密的数据,一般不容易被拦截破解,但更耗时、对CPU消耗也更大,下面通过Tcpdump抓包,用Wireshark分析分别使用两种协议请求同一个网页的报文,对比两者的报文对这两个协议的区别便一目了然了。
HTTPS】HTTPS过程详解,tcpdump抓包 全过程分析
ALLEN'Blog
01-05 2004
客户端随后发送一个经过加密的数据,服务端可以根据生成的session Key来进行解密,这个加密的消息解密后有固定的格式,符合这个格式,或者满足一些字符匹配才是合法的。使用 ECDH做密钥交换, 使用ECDSA做认证, 使用AES-128做加密算法, 使用SHA256做MAC算法。客户端能支持的加密套件即浏览器能支持的加密算法。通知客户端接下来的数据采用被sessionKey加密的对称加密方式。通知服务端,接下来的数据采用session Key对称加密的方式。密钥交换用到的服务器方的信息,有公钥信息。
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 3万+
tcpdump是Linux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump抓取的是什么类型的报文
07-14
tcpdump是一个常用的网络抓包工具...除了上述类型的报文tcpdump还可以抓取其他协议的报文,如ARP(地址解析协议)报文、DNS(域名系统)报文等。它可以通过过滤规则来选择性地捕获特定类型的报文,以满足用户的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值