tcpdump常用方法

已于 2023-08-11 17:41:19 修改
阅读量1.9k 收藏 2
点赞数
分类专栏: Linux网络 文章标签: tcpdump
于 2021-09-02 11:14:53 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/120028623
版权

tcpdump常用方法

tcpdump基本用法

超详细的网络抓包神器 tcpdump 使用指南

# 抓取所有流经该网卡的数据包
## -i 指定网卡
tcpdump -i wlp0s20f3

# 查询dns请求 ,必须root
## -i 指定网卡,any表示所有网卡
## -nn 不进行端口名称的转换(数字显示ip和端口)
## port 
tcpdump -i any port domain -nn

# 查询dns解析中的zoom字段
tcpdump -i any port domain -nn | grep zoom

tcpdump常用参数

https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
https://www.linuxcool.com/tcpdump
https://wangchujiang.com/linux-command/c/tcpdump.html

tcpdump选项介绍

  • -A 以ASCII格式打印出所有分组,并将链路层的头最小化。

  • -c 在收到指定的数量的分组后,tcpdump就会停止。

  • -C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。

  • -d 将匹配信息包的代码以人们能够理解的汇编格式给出。

    • -dd 将匹配信息包的代码以c语言程序段的格式给出。
    • -ddd 将匹配信息包的代码以十进制的形式给出。

  • -D 打印出系统中所有可以用tcpdump截包的网络接口。

  • -e 在输出行打印出数据链路层的头部信息。

  • -E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。

  • -f 将外部的Internet地址以数字的形式打印出来。

  • -F 从指定的文件中读取表达式,忽略命令行中给出的表达式。

  • -i 指定监听的网络接口。

  • -l 使标准输出变为缓冲行形式,可以把数据导出到文件。

  • -L 列出网络接口的已知数据链路。

  • -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。

  • -M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。

  • -b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。

  • -n 不把网络地址转换成。

    • -nn 不进行端口名称的转换。

  • -N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。

  • -t 在输出的每一行不打印时间戳。

  • -O 不运行分组分组匹配(packet-matching)代码优化程序。

  • -P 不将网络接口设置成混杂模式。

  • -q 快速输出。只输出较少的协议信息。

  • -r 从指定的文件中读取包(这些包一般通过-w选项产生)。

  • -S 将tcp的序列号以绝对值形式输出,而不是相对值。

  • -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。

  • -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。

  • -t 不在每一行中输出时间戳。

  • -tt 在每一行中输出非格式化的时间戳。

  • -ttt 输出本行和前面一行之间的时间差。

  • -tttt 在每一行中输出由date处理的默认格式的时间戳。

  • -u 输出未解码的NFS句柄。

  • -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。

    • -vv 输出详细的报文信息。

  • -w 直接将分组写入文件中,而不是不分析并打印出来。

  • -x 当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据(但不包括连接层的头部).总共打印的数据大小不会超过整个数据包的大小与snaplen 中的最小值. 必须要注意的是, 如果高层协议数据没有snaplen 这么长,并且数据链路层(比如, Ethernet层)有填充数据, 则这些填充数据也会被打印.(nt: so for link layers that pad, 未能衔接理解和翻译, 需补充 )

  • -xx tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据, 其中包括数据链路层的头部.

  • -X 当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.

  • -XX 当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据, 其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便.


查看设备接口列表

# 查看设备的设备接口列表
## -D 打印出系统中所有可以用tcpdump截包的网络接口
tcpdump -D

在这里插入图片描述

# 解析内容
tcpdump -X

在这里插入图片描述


监视指定ip的数据包

# 监视指定ip的数据包
## host 主机名或ip地址
tcpdump host wgtest

在这里插入图片描述

# 从指定网卡监视指定主机的数据包
## -i 指定网卡
## -n 不解析域名以ip地址显示
## host 主机名或ip地址
tcpdump -i eth0 -n host 10.0.01

在这里插入图片描述


tcpdump抓取指定端口

# 抓取80端口
## -i 指定网卡
## -n 不解析域名以ip地址显示
## port 指定要抓取的端口号
## -x 打印包头和16进制数据
## -xx 打印详细包头和16进制数据
tcpdump -i any -n port 80 -x

# 抓取80/tcp的数据
## tcp and port 80 表示80/tcp
tcpdump -i eth0 -nn tcp and port 80  -vvv

在这里插入图片描述


抓取udp

## udp 抓取udp端口
tcpdump -i eth0 -n port 51820

在这里插入图片描述

# 抓取80端口
## -i 指定网卡
## -n 不解析域名以ip地址显示
## host 主机名或ip地址
## and “和“ 谁的通信(和80端口的通信)
## port 指定要抓取的端口号
tcpdump -i eth0 -n host 10.0.01 and port 80

结果写入到文件

https://arthurchiao.art/blog/tcpdump-practice-zh/

# 抓取80端口
## -i 指定网卡
## -n 不解析域名以ip地址显示
## host 主机名或ip地址
## and “和“ 谁的通信(和80端口的通信)
## port 指定要抓取的端口号
## -w 抓包过程写入文件
tcpdump -i eth0 -n host 10.0.01 and port 80 -w tmp.pcap

在这里插入图片描述


tcpdump标准输出结构

如果不指定输出的话,tcpdump 会直接将信息打到标准输出,就是我们上面看到的那样。从这些输出里,我们看到了很多信息。

在这里插入图片描述


以ASCII文本模式输出

# 查看3306的具体通信内容
## -A 以ASCII文本模式输出捕获到的数据包内容
tcpdump -A dst port 3306

tcpdump排查DNS解析

https://www.wafunny.com/blog/linux/tcpdump.html

# 抓取dns 包
## -s0 表示不限制包大小
## -i any 表示抓取所有网卡
## -n 表示,使用数字表示ip
## -nn 表示,使用数字表示ip与端口
tcpdump port 53 -s0 -i any -n

##  -A 显示文本
tcpdump port 80 -s0 -i any -A

## -XXX 显示二进制
tcpdump port 80 -s0 -i any -XXX

在这里插入图片描述

# 排查dns是否解析成功
# tcpdump -i any port domain -nn |grep 域名关键字
## -i any 指定所有网卡
## port domain 抓取tcp协议的domain 服务数据包
## -nn -nn 不进行端口名称的转换(数字显示ip和端口)
tcpdump -i any port domain -nn |grep zoom

在这里插入图片描述


winrshark抓包

Winrshark抓包组件原理
在这里插入图片描述

组件顺序从下往上

  • WinPcap/libpcap : 抓包依赖库
  • Capture : 补包引擎,利用WinPcap/libpcap的抓包接口,获取网卡比特流
  • Wiretap : 格式支持引擎,从抓包文件中读取数据包
  • Core : 核心引擎,通过函数调用把其他模块连在一起,起到联动调度作用
    • Epan : 包分析引擎
      • Protocol-Tree : 保存数据包的协议树
      • Dissectors : 各种协议解码器
      • Plugins : 插件解码器
      • Display-Fiters : 显示过滤引擎
  • GTK1/2 : 软件图形化界面

ngrep抓包

https://wangchujiang.com/linux-command/c/ngrep.html
https://www.linuxcool.com/ngrep

# 抓本机eth0 与192.168.1.9的通信信息,并且以行来打印出来
## -d 使用哪个网卡,可以用-L选项查询
## -W 设置显示格式byline将解析包中的换行符
ngrep -d eth0 -W byline host 192.168.1.9
识途老码
关注
专栏目录
案例篇:怎么使用 tcpdump 和 Wireshark 分析网络流量?
echohuangshihuxue的博客
08-28 934
上一节,我们学习了 DNS 性能问题的分析和优化方法。简单回顾一下,DNS 可以提供域名和 IP 地址的映射关系,也是一种常用的全局负载均衡(GSLB)实现方法。通常,需要暴露到公网的服务,都会绑定一个域名,既方便了人们记忆,也避免了后台服务 IP 地址的变更影响到用户。不过要注意,DNS 解析受到各种网络状况的影响,性能可能不稳定。比如公网延迟增大,缓存过期导致要重新去上游服务器请求,或者流量高峰时 DNS 服务器性能不足等,都会导致 DNS 响应的延迟增大。
tcpdump常用技巧以及wireshark借助tcpdump实现跨设备远程
AndrewYZWang的博客
06-16 366
tcpdump - dump traffic on a network interface[IMPORTANT] .Feeding the Werewolves 认识tcpdump 刚开始接触tcpdump肯定会被这些参数给吓到,其实实际使用中只需要掌握几个关键的参数就行了。53端口是DNS使用的端口,DNS分为查询和应答: DSN requires – DNS response,来让我们看一下我们的电脑在查询哪些DNS[TIP] 我有个程序,监听所有的网卡上,监听端口是1668,我应该如何 ...
使用tcpdumpDNS
CrazyRabbitttt
04-19 6190
本文主要是介绍了我们使用tcpdump工具进行DNS数据取与分析,希望能够帮助到大家
Tcpdump 详解(
weixin_46837396的博客
10-07 2327
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息的代码以c语言程序段的
tcpdump
mayue_web的博客
10-31 3万+
1、简介 Tcpdump是linux环境下的报文工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
tcpdump进行DNS
bugcat的博客
08-06 4015
第一个数据中(DNS查询报文),从ip:10.0.4.5(本机)端口39454发向ip:183.60.83.19(DNS服务器)的53端口(DNS服务的端口),47814是DNS查询报文的标识值,因此该值也出现在DNS应答报文中。”表示使用A类型的查询方式。“CNAME www.a.shifen.com., A 112.80.248.76, A 112.80.248.75”则表示3个应答资源记录的内容。其中CNAME表示紧随其后的记录是机器的别名,A表示紧随其后的记录是ip地址。...
tcpdump命令详解
热门推荐
wj31932的博客
06-05 12万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump 识别成dns_DNS以及观察
weixin_35688303的博客
01-17 675
1:DNS的层次基础如果是一个绝对域名一般要有最后的根‘.’ 顶级域名有三个部分,第一个是arpa,其余的是一些美国部们使用的,一共七个三字符的标志,现在也有别的地方使用,其他的是按照地方的国家在分的顶级域之后,一般将第二级域改陈和顶级域的七个三字符相同的使用顶级域的从左面的第一个用于IP地址得到域名2:DNS报文格式标识(用来请求DNS报文和应答DNS报文返回的标志是否匹配,一般是个数字,2...
tcpdump常用命令
weixin_42226134的博客
02-26 1425
tcpdump 是 Linux 系统提供的一个非常强大的工具,熟练使用它,对我们排查网络问题非常有用。如果你的机器上还没有安装,可以使用如下命令安装: yum install tcpdump 如果要使用 tcpdump 命令必须具有 sudo 权限。 tcpdump 常用的选项有: -i 指定要捕获的目标网卡名,网卡名可以使用前面章节中介绍的 ifconfig 命令获得;如果要所有网卡的上...
tcpdump常用指令
最新发布
08-16
`tcpdump` 是一个常用的网络工具,它允许用户在类 Unix 操作系统中捕获经过网络接口的数据。以下是一些常用的 `tcpdump` 指令: 1. `tcpdump -i eth0`:监听名为 `eth0` 的网络接口。 2. `tcpdump -c 10`:只...
tcpdump常用方式
06-06
tcpdump 是一款常用的网络工具,可以捕获网络数据并对其进行分析。常用tcpdump 命令如下: 1. 捕获所有数据:`tcpdump -i eth0` 2. 捕获指定端口的数据:`tcpdump -i eth0 port 80` 3. 捕获指定 IP ...
tcpdump常用参数
06-01
以下是 TCPDump 常用参数的介绍: 1. -i:指定的网络接口; 2. -n:直接显示 IP 地址,不进行域名解析; 3. -v:显示详细的信息; 4. -c:指定取的数据数量; 5. -w:将到的数据写入文件中; 6. -r...
使用tcpdump观察DNS的通信过程
m0_51551385的博客
04-07 2513
1、实验概述 在Ubuntu上用host命令通过DNS协议查询www.baidu.com的IP地址。同时,使用tcpdump取数据,并观察结果。 2、实验过程 首先,在一个终端上输入如下命令: sudo tcpdump -nt -s 500 port domain -s 500表示每个数据的大小为500字节 使用port domain表示只取使用domain(域名)服务的数据,即DNS查询和应答报文。 然后再开一个新的终端,输入如下命令: host -t A www.baidu.com
使用tcpdump查看DNS信息
weixin_34122548的博客
10-11 2786
tcpdump观察域名解析过程。首先,在终端输入:tcpdump port 53 ,过滤DNS端口的报文。然后另外打开一个终端:ping 一个网站,我ping的是: ping www.17173.comtcpdump如下:09:17:59.658394 IP datou97-Lenovo.local.55968 > es.sia.a...
tcpdump技巧
locahuang的博客
12-20 3169
它主要针对的是 HTTP 协议和 HTTPS 协议, 可以确认我们的网络数据的一个状态, 通过分析请求和响应报文里面的内容, 分析出来请求数据和响应数据是否正确, 定位问题是前端问题还是后端问题。它不仅可以分析http/https的数据,它还可以分析网络2层以上都可以看到,比如tcp的三次握手等,但是如果你只是分析http协议,可以不用这么专业的工具,以免增加筛选请求成本和学习成本。-s 0则是设置为最大上限,即是262144字节,-s 0可防止截断到完整的数据,但是相对应的,会增加处理时间。
用wireshark分析DNS域名解析过程
m0_73576645的博客
12-09 8928
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS在查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
如何使用tcpdump命令
精益求精,永无止境,永远在路上!
10-19 5988
小伙伴们,让我们一起来学习如何使用tcpdump命令
聊聊 tcpdump 与 Wireshark 分析
juary_的专栏
06-24 4291
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值