【TCPDUMP使用和报文分析】

最新推荐文章于 2024-05-14 17:36:58 发布
最新推荐文章于 2024-05-14 17:36:58 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: Linux 文章标签: tcpdump 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsc_2019/article/details/130373525
版权

介绍

tcpdump是一个网络抓包工具,可以截获并分析网络传输的数据包。它可以监听特定的网络接口,过滤和捕获网络数据包,并将捕获的数据包以可读格式输出到控制台或文件中。tcpdump可以在多种操作系统上使用,包括Linux、Unix和Windows等。

使用tcpdump可以帮助网络管理员和安全专业人员分析网络问题和攻击,例如识别网络流量威胁、检测网络配置问题、调查网络故障等。它可以捕获和分析各种协议的数据包,例如TCP、UDP、ICMP、HTTP、FTP等。由于tcpdump是命令行工具,因此需要一定的技能和经验才能使用它进行高效的网络分析。

使用

-c 
count 抓取数据包的数量达到count后结束命令,如果不使用-c 参数,会不停的抓取数据包,直到手动停止
 
-C 
file_size 抓取数据包保存到文件时,通过该命令指定文件的大小。文件达到指定大小后,会创建一个在原文件名称后面加上序号的新文件,如:dump.txt,dump.txt1。file_size的单位是b
 
-D
列出服务器所有网卡。tcpdump默认监听的是编号最小的那个网卡,一般是eth0。在进行抓包时可以通过 -i 参数指定监听的网卡,any表示监听所有网卡
 
-i 
interfaces指定监听的网卡名称,any表示监听所有的网卡
 
-n
 输出结果中,不把ip转换成主机名(默认显示的是主机名)
 
-q
 快速输出,只输出简要的数据包信息
 
-r 
file从文件中获取数据包,不再从网络获取数据包
 
-t
不输出时间戳
 
-w 
file将抓取的数据包保存到文件,-r 参数可以从文件中读取数据包
 
-W 
filecount指定文件的数量,当文件滚动到指定数量后会从第一个文件开始覆盖

-host
过滤主机,如 tcpdump host 1.1.1.1  只抓取经过这个ip的数据包
 
-src
用来过滤请求来源方的参数,如:tcpdump src host 1.1.1.1  只抓取从这个ip过来的数据包
 
-dst
用来过滤请求接收方的参数,如:tcpdump dst host 1.1.1.1  只抓取发送到这个ip的数据包
 
-port
过滤端口,如:tcpdump port 8080  只抓取经过8080端口的数据包
 
-net
过滤网络,如:tcpdump net 1.1  只抓取经过这个网段的数据包
 
-and、not、or
条件过滤,和字面意思一样。如:tcpdump net 1.1 and port 8080  抓取经过1.1网段并经过8080端口的数据包

示例

抓取8080端口的数据包
tcpdump -i any port 8080 

抓取从1.1.1.1发送到1.1.1.2的数据包
tcpdump -i any src host 1.1.1.1 and dst host 1.1.1.2

抓取1.1网段除了1.1.1.1的请求的数据包
tcpdump -i any src net 1.1 and 'src host not 1.1.1.1'

抓取8080端口的数据包并写入dump.log文件中
tcpdump -i any port 8080 -w dump.log

k8s中容器内复制到容器外
kubectl -n ns1 cp -c istio-proxy podname:dump.cap /root/dump.cap

报文分析

在这里插入图片描述

这些术语是TCP/IP协议中的标志位(flag),用于在网络通信中标识通信的不同阶段或类型:


PSH:推送标志,表示数据包应该立即发送而不是等待缓冲区填满。

SYN:同步标志,表示发起一个连接请求。

ACK:确认标志,表示确认收到了数据包。

SYN,ACK:表示确认连接请求,并发起连接。

FIN,ACK:表示结束一个连接。
仙女肖消乐
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux抓包工具:tcpdump
debang2014010的专栏
11-04 476
tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。 本文中,我们将讨论 tcpdu...
linux 看数据包工具,使用tcpdump查看原始数据包
weixin_28901327的博客
05-04 1437
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹...
linux下使用tcpdump工具分析UDP报文_tcpdump查看udp接收的数据并打印(1)
最新发布
2401_85014040的博客
05-14 522
UDP数据部分为应用层报文,而UDP报文再向下层(OSI七层网络模型)网络层(IP协议)传递时,会被加上IP协议头。通过tcpdump工具获取到了发送或接收到的报文包,但是如何读取,还需要了解UDP报文格式。码讲义、实战项目、大纲路线、电子书籍、讲解视频,并且后续会持续更新**UDP协议和TCP协议同位于传输层,介于网络层(IP)和应用层之间。
tcpdump抓包数据报文内容详解
QAQ__QAQ0123的博客
04-20 3595
利用 tcpdump 与 nc 观察 tcp/ip 传输的数据包内容: 0x0000: 0000 0304 0006 0000 0000 0000 0000 0800 ................ 0x0010: 4500 0041 fa6e 4000 4006 4246 7f00 0001 E..A.n@.@.BF.... 0x0020: 7f00 0001 b984 56ce 2121 59e8 82bc 8211 ......V.!!Y..... 0x0030: 8018 0
tcpdump详细数据显示方法
嵌入式技术在路上
02-19 1万+
抓取UDP某一个端口的数据,显示详细信息 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 抓取发到服务器的某一个端口的数据: tcpdump udp port 18290 -XX -vvv -nn -v:当分析和打印的时候,产生详细的输出。 -vv:产生比-v更详细的输出。 ...
linux 的抓包操作(tcpdump)
jiu_yue_ya的博客
05-26 1万+
linux 查看网络状况(netstat)linux 查看网络状况(netstat)使用 netstat 命令用来打印网络连接状况、系统所开放端口、路由表等信息。最常用的关于netstat 的命令就是:以及如果你所管理的服务器是一台提供 web 服务(80 端口)的服务器,那么你就可以使用 netstat -an |grep 80 开查看当前连接 web 服务的有哪些 IP 了。
TCP基础篇-02-tcpdump抓包
Alan0517
03-03 1817
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。默认启动普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。tcpdump如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
tcpdump使用大全
IT技术
11-30 2481
tcpdump使用详解
tcpdump
weixin_42753043的博客
04-17 2296
tcpdump (仅作为个人笔记,如有雷同,请联系删除。。) https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html https://www.cnblogs.com/shijiaqi1066/p/3898248.html 1、命令格式:支持and、or、not等逻辑语句,以及协议类型、host等,来过滤抓包信息。 tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
网络数据采集分析工具tcpdump定义抓包过滤器
Peter的博客
06-30 1499
第三节到第六节里的 tcpdump 命令示例,只为了说明参数的使用,并不一定就能抓到包,如果要精准抓到你所需要的包,需要配合第五节的逻辑逻辑运算符进行组合搭配。 不同 Linux 发行版下、不同版本的 tcpdump 可能有小许差异, 本文是基于 CentOS 7.2 的 4.5.1 版本的tcpdump 进行学习的,若在你的环境中无法使用,请参考man tcpdump进行针对性学习。 1. tcpdump 核心参数图解 大家都知道,网络上的流量、数据包,非常的多,因此要想抓到我们所...
tcpdump详解
weixin_33465519的博客
03-20 2万+
原文地址:全网最详细的 tcpdump 使用指南 - 王一白 - 博客园 今天要给大家介绍的一个 Unix 下的一个网络数据采集分析工具,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 可以用wireshark 读取tcpdump 生成的pcap文件,用wireshark的图形化界面分析tcpdump 结果数据。 在讲解之前,有两点需要声明: 第三节到第六节里的 tcpdump 命令示例,.
tcpdump显示报文内容_tcpdump/Wireshark验证HTTP Keep-Alive
weixin_39719165的博客
12-01 1884
通过这篇文章,能直观地了解到以下4个知识点:1,TCP四次挥手的状态跳转2,HTTP Keep-Alive配置的作用3,HTTP长连接4,利用tcpdump和Wireshark做一个简单的网络数据包分析准备1,需要启动一个nginx服务,nginx.conf配置如下,端口号是10011。worker_processes 1; error_log logs/error.log; events {...
Linux之tcpdump抓包及Wireshark查看分析
flyfhj的博客
05-26 4516
tcpdump介绍 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and 、or 、not等逻辑语句 tcpdump安装 以centos7为例:如果服务器未安装tcpdump,则执行以下命令进行安装 yum install tcpdump tcpdump命令参数 -i    指定需要抓包的网卡 -w    指定数据包信息保存的文件目录,文件格式为*.pcap,方便wireshark分析 host   抓取源主机或目的主机的报文 port 
tcpdump显示包内容_tcpdump 使用小结
weixin_39531229的博客
12-10 3917
写在之前tcpdump 可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。(百度百科)常用选项-i 指定监听的网络接口-n 不要解析域名-nn 不要解析域名和端口-c 抓取多少个报文-w 抓取的数据包保存为文件-v -vv -vvv 显示更多的详细信息-s 抓取的报文字节数,...
超详细的网络抓包神器 tcpdump 使用指南
wjianwei666的专栏
02-27 1148
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
计算机网络抓包工具——tcpdump详解
m0_52165864的博客
08-01 2万+
tcpdump是Linux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
怎么使用tcpdump分析vlan报文
03-28
使用tcpdump分析VLAN报文的步骤如下: 1. 确保你已经安装了tcpdump工具。如果没有安装,可以通过包管理器进行安装,例如在Ubuntu上可以使用以下命令进行安装: ``` sudo apt-get install tcpdump ``` 2. 打开终端窗口,并使用以下命令启动tcpdump: ``` sudo tcpdump -i <interface> -e vlan ``` 其中,`<interface>`是你要监听的网络接口,例如eth0或者wlan0。使用`-e vlan`选项告诉tcpdump只捕获VLAN报文。 3. tcpdump将开始监听指定的网络接口,并显示捕获到的VLAN报文的详细信息,包括源MAC地址、目标MAC地址、VLAN ID等。 4. 可以根据需要添加其他选项来过滤和分析报文。例如,可以使用`-s`选项指定要捕获的报文的最大长度,使用`-c`选项指定要捕获的报文的数量等。 5. 当你完成分析后,可以按Ctrl+C停止tcpdump的运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仙女肖消乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值