tcpdump 常用用法

已于 2024-04-12 16:54:36 修改
阅读量309 收藏
点赞数 2
文章标签: tcpdump 网络 linux
于 2024-02-29 17:13:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liufeng1980423/article/details/136372179
版权

简要记录下tcpdump用法

监控某个ip上的某个端口的流量

tcpdump  -i enp0s25  tcp port 5432 -nn -S

各个参数作用

-i enp0s25 指定抓包的网卡是enp0s25

-nn  显示ip地址和数字端口 ,如果只 -n 则显示ip,但是端口为services文件中的服务名

如果一个n也不指定,则显示域名以及服务名

port 抓取该端口中的信息

-S TCP的seq以及ack显示绝对值

更详细的参数信息可以参考

Linux系统 tcpdump 抓包命令使用教程 - 知乎

https://www.cnblogs.com/wongbingming/p/13212306.html

客户端telnet  192.186.100.138 命令下,服务器端显示如下

tcp三步握手

SYN=1 seq=3967800135
客户端处于SYN_SEND状态
16:38:20.116860 IP 192.168.100.182.7109 > 192.168.100.51.5432: Flags [S], seq 3967800135, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

SYN=1 ACK=1 seq=504220911(随机值) ack=3967800136(上一步seq+1), 服务器端处于SYN_RCVD,这步完成后客户端的状态为ESTABLISHED
16:38:20.116915 IP 192.168.100.51.5432 > 192.168.100.182.7109: Flags [S.], seq 504220911, ack 3967800136, win 65535, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0


ACK=1 ack=504220912(上一步的seq+1),完成这步后服务器端状态也变成了ESTABLISHED

16:38:20.117243 IP 192.168.100.182.7109 > 192.168.100.51.5432: Flags [.], ack 504220912, win 8212, length 0


tcp结束链接,由于tcp属于全双工通讯,所以关闭实际上分为4步骤,此例子由于使用telnet链接的5432端口的pg服务,因此服务器端超时后,服务器端主动关闭链接,因此前两步为关闭服务器
服务器发起断开链接FIN=1 ACK=1 seq=504220912 完成后服务器状态为FIN_WAIT_1,客户端状态为CLOSE_WAIT
16:39:20.118195 IP 192.168.100.51.5432 > 192.168.100.182.7109: Flags [F.], seq 504220912, ack 3967800136, win 1024, length 0

客户端回复ACK=1 ack=504220913(上一步seq+1),完成后服务器的状态为FIN_WAIT_2, 客户端状态为LAST_ACK
16:39:20.118419 IP 192.168.100.182.7109 > 192.168.100.51.5432: Flags [.], ack 504220913, win 8212, length 0
此时服务器端已经不能再发送应用数据给客户端了,但是客户端是可以发送数据给服务器端的,因此现在的状态处于半双工状态

后两步是关闭客户端

客户端发送断开链接请求FIN=1 ACK=1 ack=504220913(上一步的ack) seq=3967800136(随机),此时服务器端状态为TIME_WAIT
16:39:20.118551 IP 192.168.100.182.7109 > 192.168.100.51.5432: Flags [F.], seq 3967800136, ack 504220913, win 8212, length 0

服务器端回复请求ACK=1 ack=3967800137 (上一步seq+1), 此时客户端的状态为CLOSED,服务器的状态TIME_WAIT等待2MSL时间后变成CLOSED
16:39:20.118575 IP 192.168.100.51.5432 > 192.168.100.182.7109: Flags [.], ack 3967800137, win 1024, length 0

借用网络上的两个图

                                                图1 ,三次握手连接图

                                                          图2 四次挥手关闭连接图

当然这个图是客户端先发起关闭链接请求,跟实际测试例子不同,因此仅仅为了参考使用。

当然上述过程也可以使用cisco packet tracer等网络模拟工具查看,具体如何在cisco packet tracer上模拟http协议,进行抓包,可以查看网络,本文中不在介绍,抓取完成内容如下:

1.  完成界面

2-4步为三次握手链接,对应图一的三个步骤

2. 客户端发起链接,发送SYN,SYN置位以及syn和ack给服务器

3. 服务器接收到SYN后的回复信息

ACK=上一步seq+1, 同时随机生成seq,  SYN+ACK置位

4. 服务器回复客户端

ack=seq(上一步)+1

同时只有ACK置位

后续5-7步骤为四次挥手断开链接

5.

对应图2 中的第一步

6. 对应上面图2的第2,3步

服务器把ACK和FIN合并一步发送了,所以ACK和FIN都置位了(tcp的延迟确认机制,具体可以参考TCP中断可以用3次挥手吗? - 知乎

7. 对应上图2中的第四步

RST位

关于tcp标志位可以参考

TCP标志位详解(TCP Flag)-CSDN博客

telnet服务器上一个没有监听进程的端口,并且端口没有被防火墙DROP或者REJECT(服务器正常状态)

服务器上抓取置位RST的包

tcpdump -i enp0s25  "tcp[tcpflags] & tcp-rst != 0" -nn

telnet 192.168.100.138 5433

服务器回复给客户端的都是RST标志
13:38:39.291773 IP 192.168.100.138.5433 > 192.168.100.182.13288: Flags [R.], seq 0, ack 739931968, win 0, length 0
13:38:39.799136 IP 192.168.100.138.5433 > 192.168.100.182.13288: Flags [R.], seq 0, ack 739931968, win 0, length 0
13:38:40.307957 IP 192.168.100.138.5433 > 192.168.100.182.13288: Flags [R.], seq 0, ack 739931968, win 0, length 0
13:38:40.817424 IP 192.168.100.138.5433 > 192.168.100.182.13288: Flags [R.], seq 0, ack 739931968, win 0, length 0
13:38:41.326290 IP 192.168.100.138.5433 > 192.168.100.182.13288: Flags [R.], seq 0, ack 739931968, win 0, length

由于客户端很快就能收到服务器的回复,所以针对这种情况客户端很快就会报connection refused.

禁止444端口传出RST标志位置位的数据,这样客户只能等待
iptables -t filter -I OUTPUT -p tcp --sport 444  --tcp-flags SYN,ACK,FIN,RST ACK,RST -j DROP

另外一种情况:

端口被防火墙DROP或者REJECT了

这种情况下,服务器端之后收到SYN标志位的数据(TCP第一次握手的数据),内核不会回复任何的信息,因此客户端内核会重复几次链接请求,因此客户端时间等待比较长。

例子:

curl 192.168.100.51:444
curl: (28) Failed to connect to 192.168.100.51 port 444 after 21013 ms: Timed out

tcpdump -i em1 -nn tcp port 444
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 262144 bytes
10:49:40.026594 IP 192.168.100.182.5736 > 192.168.100.51.444: Flags [S], seq 2445456492, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
10:49:41.035866 IP 192.168.100.182.5736 > 192.168.100.51.444: Flags [S], seq 2445456492, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
10:49:43.035775 IP 192.168.100.182.5736 > 192.168.100.51.444: Flags [S], seq 2445456492, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
10:49:47.036702 IP 192.168.100.182.5736 > 192.168.100.51.444: Flags [S], seq 2445456492, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
10:49:55.038645 IP 192.168.100.182.5736 > 192.168.100.51.444: Flags [S], seq 2445456492, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0



当然linux操作系统上可以通过降低重传次数,来减少客户端等待的时间
net.ipv4.tcp_syn_retries=1

sysctl -p
vm.max_map_count = 655360
vm.swappiness = 1
kernel.sem = 50100 128256000 50100 2560
net.ipv4.tcp_syn_retries = 1



具体可以查看
https://blog.csdn.net/GAGA__CHEN/article/details/127808835

__风__
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
tcpdump_exe.zip
09-01
tcpdumpLinux系统中常用网络数据包分析工具,它能够捕获网络上的数据包并进行解析,对于网络故障排查、网络安全分析以及协议学习等场景有着重要作用。本压缩包"tcpdump_exe.zip"包含了针对不同架构的tcpdump工具...
tcpdump 用法
03-30
在Windows平台上有诸如NetXray和Sniffer Pro等类似工具,但在Linux环境中,Tcpdump是最常用网络数据采集和分析工具。 **Tcpdump简介** Tcpdump的工作原理是截取网络上的数据包头部,然后按照用户定义的规则进行...
tcpdump常用命令用法
i-Curve的博客
09-27 1179
tcpdump常用命令用法 tcpdump是一款很好的linux抓包分析数据包的软件,下面讲解一下如何通过tcpdump进行抓取数据包,分析数据包的过程. 设置所抓取的网卡,用参数-i 首先我们在命令行中输入ifconfig,查看自己的所分配的ip 地址的网卡信息 可能是eth0 或者ens0,当然...
抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 4879
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
tcpdump安装以及基本使用
热门推荐
cbbbc
10-04 2万+
0x01 Tcpdump简介 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析。可以定义过滤规则,只截获感兴趣的数据包,以减少输出文件大小和数据包分析时的装载和
使用tcpdump 进行网络包分析
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络网络知识有
tcpdump的基本用法之选项
FreeeLinux's blog
11-25 4362
tcpdump基本用法 需要在root用户下使用,非root用户可用sudo。 tcpdump -i eth1 -nn -X port 8080 -c 1 -i:i 是interface的含义,是指我们有义务告诉tcpdump希望它去监听哪一个网卡。用ifconfig可以看到,一般不是eth0就是eth1。 -nn:是当tcpdump遇到协议号或端口号时,不要将这些号码转换成对
服务端tcpdump.zip
08-05
在IT领域,网络诊断是日常运维工作中的重要环节,而`tcpdump`是Linux系统下常用网络抓包工具,用于捕获和分析网络流量。本教程将详细介绍如何在Linux服务器上安装并使用`tcpdump`。 首先,让我们了解`tcpdump`的...
TCPDump使用方法小结
09-10
在进行网络测试的时候,我们经常需要进行抓包的工作,当然有许多测试工具可以使用,比如,sniffer, ethreal等.但最为方便和简单得就非TCPDump莫属. Linux的发行版里基本都包括了这个...下面给出TCPDump的部分常用选项。
tcpdump数据抓包及分析
10-09
tcpdump和Wireshark是两个在该领域常用的工具,本篇文章将详细探讨它们的使用和分析方法。 tcpdump是一款强大的命令行网络数据包嗅探工具,广泛应用于各种Unix-like系统(包括Linux和macOS)。它的主要功能是实时...
tcpdump工具的使用方法与常见选项
ZWE7616175的博客
05-30 2630
tcpdump可以将网路中传送的数据包的“头”完全截获下来提供分析。支持对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。 不带参数的tcpdump会收集网络中所有的信息报头,数据量巨大,所以,必须过滤。 常用选项 具体含义 -i 指定监听的网络接口。 -nn IP和端口均以数字形式显示。 -c 在...
TCPDUMP的一些常见用法
wl23301的专栏
08-07 1813
http://lcycenter.iteye.com/blog/1081844 1. 监听指定网卡上的包 $ tcpdump -i eth1   2. 指定监听包的数量 $ tcpdump -c 2 -i eth0   3. 以ASCII方式显示捕捉到的包 $ tcpdump -A -i eth0   4. 以ASCII和HE
tcpdump抓包常见用法
米刀文
10-16 6568
常用选项-a —— 将网络地址和广播地址转变成名字 -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出 -dd —— 将匹配信息包的代码以c语言程序段的格式给出 -ddd —— 将匹配信息包的代码以十进制的形式给出 -e —— 在输出行打印出数据链路层的头部信息 -f —— 将外部的Internet地址以数字的形式打印出来 -l —— 使标准输出变为缓冲行形式 -n —— 不把
超级详细Tcpdump用法
会哭的雨@的博客
08-02 1万+
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如...
tcpdump常用指令
Artisan_w
08-15 555
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包)打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包。打印所有源地址或目标地址是本地主机的IP数据包。监视所有送到主机hostname的数据包。监视指定主机和端口的数据包。
Iperf基本用法
最新发布
peterhunter0320的博客
07-04 243
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 365
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
【面试题】网络 IO多路复用模型 select
abclui的专栏
07-02 316
为什么要引入select模型呢 同步阻塞问题我们可以利用多线程 或者把socket改成非阻塞 当我们要接受数据的时候我们要来回查看接受缓冲区有没有数据这样我们就要来回切换用户和内核浪费时间降低效率 所以我们让一个把所有的socket的有无数据都看了呢。
tcpdump用法
11-15
tcpdump是一款常用网络抓包工具,可以用于捕获网络数据包并进行分析。以下是tcpdump用法: 1. 抓取指定接口的数据包 ```shell tcpdump -i eth0 ``` 2. 抓取指定主机的数据包 ```shell tcpdump host 192.168.1.1 ``` 3. 抓取指定端口的数据包 ```shell tcpdump port 80 ``` 4. 抓取指定源IP的数据包 ```shell tcpdump src 192.168.1.1 ``` 5. 抓取指定目的IP的数据包 ```shell tcpdump dst 192.168.1.1 ``` 6. 抓取指定协议类型的数据包 ```shell tcpdump tcp tcpdump udp ``` 7. 抓取指定数量的数据包 ```shell tcpdump -c 10 ``` 8. 显示数据包的详细内容 ```shell tcpdump -XX ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值