Linux tcpdump常用抓包语法

最新推荐文章于 2024-04-13 10:48:31 发布
最新推荐文章于 2024-04-13 10:48:31 发布
阅读量3.5k 收藏 5
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mukouping82/article/details/116249400
版权

一、基本语法

过滤主机:
tcpdump -i any host 192.168.1.1

过滤端口:
tcpdump -i any port 80

过滤某一网段:
tcpdump -i any net 192.168.0.0/16

过滤协议:
tcpdump -i eth1 arp/ip/tcp/udp/icmp


常用表达式
非 : ! or "not" (去掉双引号)  

且 : && or "and"  

或 : || or "or"


抓取所有经过eth1,目的地址是192.168.1.254或192.168.1.200端口是80的TCP数据
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'


抓取所有经过eth1,目标MAC地址是00:01:02:03:04:05的ICMP数据
tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'


抓取所有经过eth1,目的网络是192.168,但目的主机不是192.168.1.200的TCP数据
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

常用参数:
-n  不把IP地址解析成域名
-nn    不用域名,不用端口名,使用IP+端口号
-i   指定要抓取数据包的网卡名称  例如:-i  ens33  或者  -i  any
-c   指定抓取包的个数
tcpdump  -i  ens33  -c  10  #只抓取10个包 
-w   把抓取到的数据存放到文件中供以后分析

常用语句:
tcpdump -i any host 41.50.5.28 -s 0 -w /tmp/28stream.cap      #抓包并保存
tcpdump -nn host 172.16.8.56       #抓包实时查看
tcpdump -i bond0 -s 0 -vv -w /tmp/605_5458.pcap host 236.0.1.178 and port 5458     #展示抓到的包数量
tcpdump -X -i any host 41.50.5.28   #实时展示包内容
tcpdump igmp -i bond0 -c 40 and host 239.252.15.220 -s 0 -w /tmp/igmp.cap             #抓固定数量的igmp包


二、高级包头过滤

在网关可以用下面的命令看看网络中谁在使用traceroute
tcpdump -i eth1 'ip[8] < 5'

抓大于X字节的包
大于600字节
tcpdump -i eth1 'ip[2:2] > 600'

抓取源端口大于1024的TCP数据包
tcpdump -i eth1 'tcp[0:2] > 1024'

只抓SYN包,第十四字节是二进制的00000010,也就是十进制的2
tcpdump -i eth1 'tcp[13] = 2'


抓SYN, ACK (00010010 or 18)
tcpdump -i eth1 'tcp[13] = 18'


抓SYN或者SYN-ACK
tcpdump -i eth1 'tcp[13] & 2 = 2'


抓PSH-ACK
tcpdump -i eth1 'tcp[13] = 24'


抓所有包含FIN标记的包(FIN通常和ACK一起,表示幽会完了,回见)
tcpdump -i eth1 'tcp[13] & 1 = 1'


抓RST(勾搭没成功,伟大的greatwall对她认为有敏感信息的连接发RST包,典型的棒打鸳鸯)
tcpdump -i eth1 'tcp[13] & 4 = 4'

只抓SYN包
tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'


抓SYN, ACK
tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'


抓SMTP数据
tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓取数据区开始为"MAIL"的包,"MAIL"的十六进制为0x4d41494c。

 

抓HTTP GET数据
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

"GET "的十六进制是47455420

 

抓SSH返回
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'


"SSH-"的十六进制是0x5353482D
tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'
 

Tech Talking
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嵌入式 tcpdumpLinux下的抓包用法
skdkjxy的专栏
05-27 1448
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.     第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and 
Linux tcpdump 抓包
qq_39063722的博客
07-24 420
tcpdump --help root@kali:~# tcpdump --help tcpdump version 4.9.2 libpcap version 1.8.1 OpenSSL 1.1.1b 26 Feb 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_si...
tcpdump抓包分析
07-10
tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析
【数据库测试】tcpdump抓包
test_dog的博客
11-04 3125
tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
2401_84253380的博客
04-13 914
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
tcpdump截取MySQL报文
ctsu9014的博客
12-15 170
(一)tcpdump用法 1、tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [...
抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 4892
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
tcpdump常用命令
zyqash的博客
02-17 2047
常用 tcp 端口 FTP SSH Telnet web SQLServer Oracle MySQL 20/21 22 23 80 1433 1521 3306 常用 udp 端口 DNS DHCP SNMP 53 67/68 161/162 常用参数 -i 指定从哪个接口抓包 -w 将抓包信息保存到文件中 -r 从抓取的包中读取抓包内容 示例 抓取所有接口上所有的报文直接打印
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump使用教程
wkd_007的博客
04-30 1911
介绍tcpdump的参数选项和表达式,理解怎样使用tcpdump
linux 嵌入式抓包工具tcpdump
11-10
5. **安全与隐私**:抓包工具可能涉及敏感信息,如用户数据、密码等。务必遵守相关法律法规,确保数据安全和隐私保护。 配合源码学习: 通过查看tcpdump的源码,开发者可以深入理解网络数据包捕获的原理,了解如何...
Linux基础学习之利用tcpdump抓包实例代码
09-15
9. **限制抓包数量**:`-c`参数用于限制抓取的封包数量,如`tcpdump -c 1000`只捕获前1000个封包。 10. **其他高级选项**:`-t`不显示时间戳,`-s`设置抓取的数据包长度,默认68字节,`-S 0`可以抓取完整包,`-vvv`...
linux抓包程序tcpdump及其依赖
12-12
Linux抓包程序tcpdump是网络诊断和分析的重要工具,它允许系统管理员或开发者捕获网络上的数据包,以便分析网络通信的问题、监控网络活动或者进行安全审计。tcpdump能够解析并显示各种网络协议的数据包详细信息,...
tcpdump数据抓包及分析
10-09
tcpdump和Wireshark是两个在该领域常用的工具,本篇文章将详细探讨它们的使用和分析方法。 tcpdump是一款强大的命令行网络数据包嗅探工具,广泛应用于各种Unix-like系统(包括Linux和macOS)。它的主要功能是实时...
抓包工具-tcpdump
07-14
tcpdump 的使用非常灵活,它通过命令行界面操作,允许用户指定各种参数来控制抓包的行为。例如,你可以指定监听哪个网络接口,过滤特定类型的网络流量,或者将捕获的数据包保存到文件以便后续分析。 以下是一些基本...
tcpdump命令
wdirdo的博客
10-22 1883
tcpdump tcpdump命令介绍 tcpdump,用简单的语言概括就是dump the traffic on a network,是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有sniffer等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的...
Tcpdump抓包命令全
weixin_45965698的博客
09-04 811
以下是我看过抓包命令写得比较详细,每一条抓包命令都有详细的参数说明,作为小白不担心看不懂哟! 转载自 http://blog.chinaunix.net/uid-25135004-id-1696519.html 作者:xyaxlz
tcpdump用法
oligaga的博客
01-08 527
tcpdump用法
tcpdump抓包常用参数
weixin_56319791的博客
10-11 2312
tcpdump 抓包工具,网络安全设备分析报文神器
tcpdump常用抓包命令
08-17
常用tcpdump抓包命令有: 1. 抓取指定网卡的所有数据包: `tcpdump -i <interface>` 2. 抓取指定源IP地址的数据包: `tcpdump src <source_ip>` 3. 抓取指定目标IP地址的数据包: `tcpdump dst <destination_ip>` 4. 抓取指定源端口号的数据包: `tcpdump src port <source_port>` 5. 抓取指定目标端口号的数据包: `tcpdump dst port <destination_port>` 6. 抓取指定协议类型的数据包: `tcpdump <protocol>` 7. 抓取指定源IP地址和目标端口号的数据包: `tcpdump src <source_ip> and dst port <destination_port>` 8. 抓取指定目标IP地址和源端口号的数据包: `tcpdump dst <destination_ip> and src port <source_port>` 这些命令可以根据需要进行组合和调整,以满足具体的抓包需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值