tcpdump 抓包和记录、tshark 过滤抓包

已于 2023-05-22 07:11:41 修改
阅读量3.1k 收藏 7
点赞数 1
分类专栏: linux 基础知识 文章标签: linux
于 2023-05-21 23:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwj457700209/article/details/130797335
版权
文章介绍了tcpdump和tshark这两个网络抓包工具的使用,包括指定网卡、端口过滤、数据包捕获数量以及文件存储等参数。还提到了DDoS攻击下的网络流量管理,并展示了tshark如何过滤HTTP请求。
摘要由CSDN通过智能技术生成

目录

tcpdump

一、包名

二、可用参数

tcpdump -nn   

tcpdump -nn -i  网卡名   —— 指定显示的网卡

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

tshark

一、包名

二、常用命令

抓取外部访问http80端口服务的通信

tcpdump

一、包名

tcpdump

二、可用参数

tcpdump -nn   

第一个 n 表示ip会用数字显示,否则显示为主机名

第二个n 表示端口用数字显示,否则显示为服务名

以下这个提示说明还需要指定网卡 

tcpdump -nn -i  网卡名   —— 指定显示的网卡

显示内容如下:

 时间    ip   源ip.源端口   >   目标ip.目标端口    数据包信息   length数据包长度

 通常80端口的通信都是成对的。

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

 抓取到足够数量时候会提示。

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

这个文件不能直接cat 查看,这里面写入的是从网卡里捕获的真实通信数据(数据包)。

(虽然能用 tcpdump -r 能读出该文件,但仅仅是数据流的流向,真实包含的内容远不止于此

一开始记录成文件的时候命令没有 -nn 就会记成主机名的模式。

收到udp大量可能是DDos攻击,DDos的udp攻击量可多达300G ,这种需要专门的防攻击的服务商,比如创宇

tshark

一、包名

wireshark

二、常用命令

抓取外部访问http80端口服务的通信

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

参数解释:

tshark -t a   时间标签。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间

-i     捕获的网卡

-n    禁止网络对象名称解析

-R    过滤条件。   -R  http.request  过滤出http请求。

-f 'tcp dst port 80'      只捕获http协议,目标端口为80 

-s   只抓取前多少字节

-T   格式化输出,默认是txt

-e    设置打印输出哪些字段(和-T连用)

-c   抓取多少个包以后结束 

>   重定向则结果输出为文件

参考文献

命令行工具tshark使用小记

lwj457700209
关注
专栏目录
python解包dump,tcpdump抓包及tshark解包方法介绍
weixin_42198780的博客
03-26 1199
tshark是wireshark的命令行工具,经过shell命令抓取、解析报文。tcpdumpLinux系统下的抓包工具。wiresharktcpdump都共同使用 libpcap做为其底层抓包的库,tshark也能够抓取报文。html有时候须要在linux系统或者ARM开发板中进行抓包使用tcpdump抓包更加方便,在这种场景下,通常使用tcpdump进行抓包,而后在Windows中使用w...
tcpdump使用过滤条件抓包(基础篇)
BruceLeeNumberOne的博客
10-31 1万+
引言 这是有关网络协议的第三篇文章。 前两篇文章分享了tcpdump和tshark最基本的用法。这篇文章原本是想翻译tcpdump官方文档,但是网上已经有了现成的翻译版本,作者已经对比较难懂的部分做了说明,当然作者也有略过一部分的说明。Tcpdump实际上非常复杂,需要对网络协议有全面又细致的掌握,有兴趣可以参考tcpdump官方文档。 这篇文章主要从使用的角度对tcpdump常用的命令进行分享,...
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
关于fi dd ler 手机抓包 网卡地址地址_linux 抓包工具tcpdump和tshark
weixin_39999859的博客
10-22 203
yum -y install tcpdump有时候我们发现网卡流量很高,可能超出你们平时的预期,比如说我们就买了10m宽,平时的话就跑个5M 6M,今天实际上跑满了 很明显有波动,这个时候你肯定想看,到底是什么数据占我们这个网卡,把我们的宽跑满了,这个时候要抓下包[root@tufei ~]# tcpdump /不加-nn的效果[root@tufei ~]# tcpdump -nn //查看...
从0开始学杂项 第八期:流量分析(2) 数据提取
最新发布
CHTXRT的博客
09-03 917
主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取
Wireshark/Tshark过滤
buside的博客
07-10 4457
引自:https://www.wireshark.org/docs/man-pages/wireshark-filter.html 名称 wireshark-filter - Wireshark过滤器语法和参考 概要 wireshark[其他选项][-R“过滤器表达式”] tshark[其他选项][-R“过滤表达式”] 描述 Wireshark和TShark共享一个强...
Wireshark入门与进阶系列八之命令行tsharktcpdump
煜铭2011
08-04 9807
0x00 前言 tshark是WireShark的命令行版本,有类似tcpdump的输出。
tcpdump抓包命令,过滤IP端口,保存为pcap文件,抓本机上的包
一名Java后端程序员,分享日常bug和一些好玩的东西!
10-16 1万+
tcpdump抓包命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件在Wireshark上打开查看 tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
### Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析 #### 知识点一:tshark与Wireshark的关系及其安装 - **tshark与Wireshark的关系**: - tshark是Wireshark的一部分,主要用于命令行下进行网络...
linux http协议抓包,linuxtcpdump,tshark抓包分析HTTP协议
weixin_36331312的博客
05-15 667
前言和第三方调试接口时,单独请求传送数据无问题,但跑起来代码就不行. HTTP返回417错误到底是网络原因还是,接口传过来的数据有问题?抓包分析1. tcpdump -s 0 tcp port 80 -w log.cap参数解释-s Snarf snaplen bytes of data from each packet rather than the default of 68 .Se...
wireshark抓包合成.doc
10-13
通过过滤器、时间线对比等功能,可以方便地研究多份抓包数据之间的关联和差异。 总之,`mergecap.exe`是Wireshark提供的一个实用工具,它简化了对多个抓包文件的管理和分析。正确使用这个工具,能极大地提高网络...
tcpdump VS tshark用法(转)
weixin_34348805的博客
03-16 109
Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析工具wireshark (原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wiresharktcpdump使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP详细manpage参见tcpdump网站。基...
tcpdump抓包通过IP或端口过滤抓包方法
抱富的博客
10-21 1万+
1.通过ip过滤抓包方法 tcpdump -i any -s 0 -w 100.pcap net 172.16.1.139 or 172.16.1.159 2.通过端口过滤抓包方法 tcpdump sctp or udp port 2123 or udp portrange 10000-11000 -i any -s 0 -w 01.pcap
tshark筛选、过滤特定ip数据包
呆萌的代Ma
01-20 6016
使用-Y "规则",其中规则部分: ip.dst表示目的ip使用ip.src表示源ip or表示或,and表示与 示例 比如: tshark -Y "ip.src==60.28.215.75 or ip.src==61.181.204.99" 含义:只保留源ip为60.28.215.75或61.181.204.99这两个ip地址的流量 tshark -Y "ip.src!=60.28.215.75 and ip.src!=61.181.204.99" 含义:不保留源ip为60.28.215.75与
抓包工具tcpdump和tshark
weixin_34235371的博客
01-13 122
网卡流量很高,有波动,把宽跑满了,这时候可以用一下抓包工具。tcpdump 安装 :yum install -y tcpdump查看数据流[root@wy ~]# tcpdump -nn说明:-nn 以数字的形式显示ip和端口号指定抓包的数量 -c[root@wy ~]# tcpdump -nn -c 100注:最主要看的就是来源ip到目标ip,若发现网卡...
使用WireShark的tshark命令,在window系统Cmd命令行抓包(附环境变量的设置)
m0_53412352的博客
08-26 864
工作中,有时候会遇到抓特定数据包的情况,但是却不知道这个特定数据包什么时候出现。因此就需要有设备值守抓包,这时就可以使用wireshark提供的tshark命令抓包
二、Linux使用tshark简单抓包分析
稳健的我的博客
11-03 2017
实验时间:10.20 虚拟机登录 ssh ee@ip地址 sudo su提权 查询tshark使用手册 man tshark 查看对外网卡,ip地址 tshark -D ifconfig 如何开始开始抓包,同时发起http请求? 开启两个终端,A终端打开tshark抓包程序,B终端使用curl进行请求。 ...
Linux tshark抓包
weixin_30340617的博客
01-17 277
使用tshark进行抓包 注:需要安装wireshar抓包工具 安装:yum -y install wireshark # 可以抓的包 命令:tshark # 抓取mysql查询 命令:tshark -n -i eth0 'mysql.query' -T fields -e 'ip.src' -e 'mysql.query' # 抓取指定类型的mysq...
Linux之tshark抓包工具安装和使用
热门推荐
月生的静心苑
12-29 1万+
tshark是一个网络协议分析器。它允许您从实时网络捕获数据包数据,或者从以前保存的捕获文件读取数据包,或者将这些数据包的解码形式打印到标准输出,或者将数据包写入文件。TShark的本机捕获文件格式是pcapng格式,这也是Wireshark和其他各种工具使用的格式。如果不设置任何选项,TShark的工作方式将非常类似于tcpdump。它将使用pcap库捕获来自第一个可用网络接口的流量,并在每个接收到的数据包的标准输出上显示摘要行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值