linux下使用tcpdump抓取数据包

已于 2024-05-15 10:52:51 修改
阅读量9.3k 收藏 12
点赞数 4
分类专栏: 网络协议 文章标签: linux 网络 tcpdump
于 2022-05-02 11:56:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new9232/article/details/124537795
版权
  • 我们都知道windows系统下抓包有强大的wireShark工具,Linux下则可以使用tcpdump进行抓包。

tcpdump命令格式

tcpdump option proto dir type

  • option : 可选参数
  • -w 写数据到文件
  • -r 从文件读数据
  • -A 以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据
  • proto : 协议。
  • tcp
  • udp
  • ether
  • wlan
  • ip
  • ip6
  • dir : 方向。
  • src 源地址
  • dst 目的地址
  • type : 类型。
  • host 主机
  • net 网络
  • port 端口
  • portrange 端口范围

举例

  • tcpdump host 192.168.10.100 抓取该ip地址上的所有数据包
  • tcpdump src port 8088 抓取源端口号8088上的所有数据包
  • tcpdump portrange 8000-8080 抓取这个端口范围的所有数据包
  • tcpdump tcp 抓取所有tcp数据包
  • tcpdump -i lo 抓取本地回环包

tcpdump输出内容介绍

19:50:51.802675 IP ubuntu.53284 > 182.92.205.179.10088: Flags [P.], seq 1:7, ack 23, win 64218, length 6
  • 19:50:51.802675 时间
  • IP 网络协议
  • ubuntu.53284 发送方地址以及端口号
  • 182.92.205.179.10088 接收方地址以及端口号
  • Flags [P.] flags标识符。有以下几种
  • [S] SYN(开始连接)
  • [P] PSH(推送数据)
  • [F] FIN (结束连接)
  • [R] RST(重置连接)
  • [.] 没有 Flag (意思是除上面四种类型外的其他情况,有可能是 ACK 也有可能是 URG)
  • seq 序列号
  • ack 确认号
  • length 数据长度

抓包分析

  • 命令:tcpdump host 182.92.205.179
  • 先抓取这个地址上的所有数据包

三次握手

20:28:44.659214 IP ubuntu.53310 > 182.92.205.179.10088: Flags [S], seq 3892635409, win 64240, options [mss 1460,sackOK,TS val 3092868458 ecr 0,nop,wscale 7], length 0
20:28:44.686879 IP 182.92.205.179.10088 > ubuntu.53310: Flags [S.], seq 1283407174, ack 3892635410, win 64240, options [mss 1460], length 0
20:28:44.686916 IP ubuntu.53310 > 182.92.205.179.10088: Flags [.], ack 1, win 64240, length 0
  • 可以看到客户端先发送了一个SYN请求,服务端回应了一个ACK + SYN,客户端回应了一个ACK,三次握手建立连接。(这里flags里面的点就是ACK)

数据传输

  • 客户端发送了一个"hello"字符串
20:29:09.856194 IP ubuntu.53310 > 182.92.205.179.10088: Flags [P.], seq 1:7, ack 1, win 64240, length 6
20:29:09.856332 IP 182.92.205.179.10088 > ubuntu.53310: Flags [.], ack 7, win 64240, length 0
  • flags标志位为P,表示进行数据推送。

四次挥手

20:24:52.536351 IP ubuntu.53304 > 182.92.205.179.10088: Flags [F.], seq 1, ack 1, win 64240, length 0
20:24:52.536547 IP 182.92.205.179.10088 > ubuntu.53304: Flags [.], ack 2, win 64239, length 0
20:24:52.561859 IP 182.92.205.179.10088 > ubuntu.53304: Flags [FP.], seq 1, ack 2, win 64239, length 0
20:24:52.561889 IP ubuntu.53304 > 182.92.205.179.10088: Flags [.], ack 2, win 64240, length 0
  • 客户端发起断开请求FIN,服务端回应ACK,服务端发起断开请求FIN,客户端回应ACK。完成四次挥手断开连接。

备注

  • 具体三次握手和四次挥手,以及数据的推送过程在这里就不详细分析了,其实和wireShark差不多,可以参考我在另一篇文章中的详细分析。
  • wireShark抓包分析tcp

输出

  • 如果你觉得在linux下分析数据不方便,我们可以把抓取到的数据包保存到文件中
tcpdump -w tcpdata.pcap host 182.92.205.179
  • 然后把tcpdata.pacap文件传到windows系统下,可以直接使用wireShark打开进行分析。

参考

大草原的小灰灰
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下抓命令--tcpdump使用
01-04
linux下抓命令--tcpdump使用
Linux中的tcpdump命令示例详解
09-15
主要给大家介绍了关于Linuxtcpdump命令的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Linux系统下进行抓操作
最新发布
Leonard_csdn的博客
05-23 608
但是A却因为久久收不到B的确认而将发送的请求连接置为失效,等到一段时间后,接到B发送过来的确认,A认为自己现在没有发送连接,而B却一直以为连接成功了,于是一直在等待A的动作,而A将不会有任何的动作了。假设之后主机A再次向主机B发送一条连接请求,而这条连接请求比之前的确认报文更早地到达主机B,则会使得主机B以为这条连接请求是在旧的连接中A发出的报文,并不看成是一条新的连接请求了,即使得这个连接请求失效了,增加2MSL的时间可以使得这个失效的连接请求报文作废,这样才不影响下次新的连接请求中出现失效的连接请求。
linux系统下使用tcpdump进行抓方法
09-15
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行抓的方法和相关知识点,需要的朋友们学习下。
Linux网络工具——tcpdump详解
qq_42580553的博客
04-01 641
第七列:数据包内容,括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1。tcpdumpLinux里的字符界面的数据抓分析软件。tcpdump截取的默认数据的头部,默认情况下,直接启动tcpdump将监听的是第一个网络接口上所有流过的数据包。src 00:0c:29:ae:89:5d :是指源mac地址为:00:0c:29:ae:89:5d。根据源ip:需要两台虚拟机配合,虚拟机A去ping,虚拟机B去抓
Linux基础:用tcpdump
Lamb的博客
08-04 286
网络数据包截获分析工具。支持针对网络层、协议、主机、网络端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。
linuxtcpdump
热门推荐
alexliu2360的专栏
12-10 2万+
tcpdump命令需要在root权限下运行。 1、指定端口Port抓 示例:12500端口上抓。 命令如下: tcpdump -n -X -i any port 12500 将会把抓结果打印到控制台界面上。 命令如下: tcpdump -n -X -i any port 12500 > 1.txt 将会把抓结果保存到当前路径下的1.txt中。 注意:指定端口时,显示的抓结果最大为1472字节的数据。udp大的情况,一个4KB的分成多个片,其他数据片的显示打印不出来。
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
【数据库测试】tcpdump
test_dog的博客
11-04 3200
tcpdump是一个常用的网络分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络数据包tcpdump使用libpcap库来抓取网络,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络端口的过滤,并提供and、or、not等逻辑语句进行过滤。
Linux tcpdump,我的个人使用实例
$firecat利白的代码足迹$
07-26 1666
我的个人实践如下: Wireshark是Windows下非常简单易用的抓工具。但在Linux下很难找到一个好用的图形化抓工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓,然后在Windows 里分析。 记得先在终端执行命令“ip a”,查看网卡的名称。 CentOS 需要确保安装了tcpdump工具  #yum -y...
tcpdump如何抓接口_Linux下如何抓指定IP
weixin_39882394的博客
12-31 3097
展开全部用tcpdum命令可以抓指定IP,具体命令为:tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap参数解析:tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放e68a8432313133353236313431303231...
Linux运维-运维课程MP4频-05-入侵检测-16tcpdump抓取多条件数据包.mp4
06-02
Linux运维-运维课程MP4频-05-入侵检测-16tcpdump抓取多条件数据包.mp4
Linux运维-运维课程MP4频-05-入侵检测-14tcpdump抓取指定主机数据包.mp4
06-02
Linux运维-运维课程MP4频-05-入侵检测-14tcpdump抓取指定主机数据包.mp4
Linux运维-运维课程MP4频-05-入侵检测-12tcpdump抓取指定端口数据包.mp4
06-02
Linux运维-运维课程MP4频-05-入侵检测-12tcpdump抓取指定端口数据包.mp4
Linux系统 tcpdump命令
qq_28807077的博客
03-08 1939
原文链接:https://zhuanlan.zhihu.com/p/74812069   tcpdumpLinux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   本教程对tcpdump命令使用进行讲解说明,通过本教程您可以学会linux系统下使用tcpdump命令进行网络,实现对数据包进行捕获分析。 tcpdump 命令格式介绍   首先我们对Linux系统下tcp
tcpdump 命令
ajax_beijing_java的博客
09-11 6882
TCPDUMP是一款非常强大的网络流量分析工具,通过合理使用指定IP端口功能,我们可以更加精确地抓取和分析网络数据包。相信通过本篇文章的介绍,读者已经掌握了TCPDUMP指定IP端口的基本用法,并能够灵活地运用到实际的网络流量分析中。
Linux基础急速入门:用 TCPDUMP_sudo tcpdump -n -t -s -i enp0s3 port 80
2401_84302538的博客
04-17 724
有的时候因为问题不是立马复现,需要后台进行抓保存,但是如果都抓到一个会导致数据量很大,不好分析,因此需要滚动保存数据,以下命令就会后台执行抓命令,并且按照时间对每个进行命名,当不需要抓的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可。注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的可以使用wireshark工具打开进行分析。网卡,端口,和W参数后的数量,还有命名,可以根据需求自己修改,其他参数可以不用修改。
tcpdump命令
和光同尘的博客
12-13 6568
通过以上结果只能做简单的分析,可以使用-w参数把数据包写入文件,文件中记录的数据包比命令行要详细的多。借助分析工具可以对文件进一步分析,这里推荐使用Wireshark,这个工具是开源的,开箱即用使用简单,这里不做详细介绍了。2.抓取数据包通过length字段只能做一些简单的判断,想要详细分析,需要借助数据包分析工具,如:Wireshark。程序员日常排查问题,最常用的是使用过滤器功能获取指定端口数据包,用来分析服务器是否收到请求、请求数据是否完整。tcpdump命令的参数很多,详见如下。
tcpdump获取指定IP的记录
Lee的博客
12-17 6025
抓取IP或目标IP是192.168.1.1的记录 tcpdump host 192.168.1.1
linuxudp某端口
06-12
可以使用tcpdump命令来抓取UDP某个端口数据包,具体命令如下: ``` sudo tcpdump -i eth0 udp port <port> ``` 其中,<port>是要抓取的UDP端口号。例如,要抓取UDP 53端口数据包,命令如下: ``` sudo tcpdump -i eth0 udp port 53 ``` 这将会在终端实时显示抓取到的UDP 53端口数据包。如果需要将抓取到的数据包保存到文件中,可以使用以下命令: ``` sudo tcpdump -i eth0 udp port <port> -w <file> ``` 其中,<file>是保存数据包的文件名。例如,要将抓取到的UDP 53端口数据包保存到dns.pcap文件中,命令如下: ``` sudo tcpdump -i eth0 udp port 53 -w dns.pcap ``` 这将会将抓取到的数据包保存到dns.pcap文件中,可以使用Wireshark等协议分析工具进行进一步分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值