全面介绍Linux下tcpdump的使用

最新推荐文章于 2024-06-17 01:01:22 发布
最新推荐文章于 2024-06-17 01:01:22 发布
阅读量1k 收藏 27
点赞数 6
分类专栏: Linux 文章标签: shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21845263/article/details/95973084
版权

1. 概述

本文将介绍tcpdump的大部分选项及其表达式的具体用法

tcpdump是Linux上的网络抓包工具,可以监视所有经过网卡的流量包。

tcpdump的命令格式为tcpdump options expression,通过表达式可以过滤流量。直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

2. 选项

常用部分

-c -D -i -n -nn -v -w -X

解释

  • -A 以ASCII格式显示每个包的内容,可读性比较好
  • -c n 抓取n个包
  • -d 把编译过的数据包匹配代码转换成可阅读汇编的格式,并倾倒到标准输出。
  • -dd 把编译过的数据包匹配代码换成C语言的格式,并倾倒到标准输出。
  • -ddd 把编译过的数据包匹配代码转换成十进制数字的格式,并倾倒到标准输出。
  • -D 显示可用的接口列表
  • -e 获取以太网header
  • -E 使用提供的秘钥解密IPSEC流量
  • -i any 监听所有的网卡接口,用来查看是否有网络流量
  • -i eth0 只监听eth0网卡接口
  • -n 不要解析主机名
  • -nn 不要解析主机名或者端口名(以数字形式显示地址和端口)
  • -q 显示更少的输出(更加quiet)
  • -r 读取由-w选项输出的文件
  • -s 指定每一个包捕获的长度,单位是byte,使用-s0可以捕获整个包的内容
  • -S 输出绝对的序列号
  • -t 输出可读的时间戳
  • -tttt 输出最大程度可读的时间戳
  • -v, -vv, -vvv 显示更加多的包信息
  • -w 保存原始数据到文件(可以用wireshark打开)
  • -x 以16进制显示包的数据部分
  • -X 同时以16进制和ASCII格式显示包的数据部分

3. 表达式

3.1 逻辑

  • and(&&)

  • or(||)

  • not(!)

    tcpdump port not 80 # 抓取非80端口

  • 括号()需要斜杠转义,或者用单引号包住

tcpdump -i eth0 host 192.168.17.3 and !port 80

# 截获主机210.27.48.1 和 主机210.27.48.2 或 210.27.48.3的通信
tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \)

# 抓取所有经过eth1,目的网络是192.168,但目的主机不是192.168.1.200的TCP数据
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

3.2 协议

  • ip
  • ip6 ipv6协议
  • tcp
  • udp
  • icmp
  • igmp
  • arp
  • rarp
# 监听协议
tcpdump tcp
tcpdump icmp
  • 有的传输层服务没有可以识别的关键字,可以使用关键字proto或ip proto加上/etc/protocols能够找到的协议名或相应的协议编号。例如,以下两种方式都会查找OSPF报文:
tcpdump ip proto ospf
tcpdump ip proto 89

3.3 方向

  • src :源地址
  • dst :目标地址

3.4 包大小

  • greater:tcpdump greater 20只抓取大于20字节的流量
  • less:tcpdump less 10 小于10字节

3.5 类型

  • host:IP地址或主机名
  • net :CIDR方法表示的网络地址 例tcpdump net 1.2.3.0/24tcpdump net 192.168
  • gateway:指定网关
  • port:端口号
  • portrange:端口范围 例tcpdump portrange 1-1024

3.6 高级包头过滤

proto[x:y]          : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节(第一字节从0开始排)
proto[x:y] & z = 0  : proto[x:y]和z的与操作为0
proto[x:y] & z !=0  : proto[x:y]和z的与操作不为0
proto[x:y] & z = z  : proto[x:y]和z的与操作为z
proto[x:y] = z      : proto[x:y]等于z

例:

# 抓取总长度大于150bytes的ip数据包(因为IP数据包头部第三个和第四个字节表示数据包的总长度)
tcpdump 'ip[2:2]>150'

抓取tcp的syn包

tcpdump 'tcp[tcpflags] = tcp-syn'

3.7 其它

  • broadcast 广播
  • multicast 多播

4. 常见用法

监听与百度的通信

tcpdump host www.baidu.com

监听指定主机和端口的数据包

获取主机196.168.1.8接收或发出的telnet包

tcpdump tcp port 23 and host 196.168.1.8

监听网段

tcpdump net 192.168

查看http协议的包内容

tcpdump -X port 80

过滤 GET 请求:

tcpdump port 80 and 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

过滤 POST 请求:

tcpdump port 80 and 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

5. 附录

延伸

推荐资料

星河arnold
关注
  • 6
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux tcpdump 命令使用详解
benarchen 的博客
02-25 1289
文章目录一、介绍二、基础用法三、进阶用法四、总结和建议 一、介绍 在日常工作中,我们总是能遇上各种各样奇怪的网络问题,比如我这台机器怎么 ping 不通了,我的 ssh 怎么又连不上了,这个控制台怎么又访问不了了等等各种网络问题,当然有时候可以通过 ping、telnet、arp 这些命令和工具来排查和解决,但这些都比不上去抓个包来得实在,也就是下面要分享的 tcpdump 命令。 tcpdumpLinux 系统中最有效的网络工具之一,凡是有网络问题十有八九都可以用它快速定位。它运行在用户态,本质是通
Linux 网络命令必知必会之 tcpdump,一份完整的抓包指南请查收! ...
测试0901-1
04-19 609
Linux 网络命令必知必会之 tcpdump,一份完整的抓包指南请查收!这篇文章我总结得比较详尽,可以当字典查,建议收藏,不过别光顾着收藏,点赞什么的鼓励我一下,这能让我更有动力给大家输出更好的内容。 01 简介#tcpdump 是一款 Linux 平台的抓包工具。它可以抓取涵盖整个 TCP/IP 协议族的数据包,支持针对网络层、协议、主机、端口的过滤...
Linux tcpdump详解
最新发布
qq_62311779的博客
06-17 1429
BPF介绍tcpdump语法结构、|| && != 逻辑运算符、常用选项及参数、常用原子条件(host net src dst port proto flags
Linux命令--tcpdump命令--使用与详解
IT利刃出鞘的博客
05-08 853
本文介绍Linuxtcpdump命令的用法。 tcpdump可以输出网络的通信记录,可以用来排查问题、查看被攻击网站的详细情况等。
Linuxtcpdump命令用法详解
manonghouyiming的博客
04-14 412
LinuxLinux tcpdump是最重要的技术之一,今天就带大家学习一下Linux tcpdump的表达式、Linux tcpdump的输出结果等方面。tcpdump采用命令行方式,它的命令格式为:tcpdump[-adeflnNOpqStvx][-c数量][-F 文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]Linux tcpdump的选...
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-03 2910
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件中。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump:命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
linux 抓包工具---Tcpdump
10-17
Tcpdump、Nmap和Netstat三者结合使用,可以从不同角度全面了解网络状况。Tcpdump提供数据包级别的详细信息,Nmap帮助发现网络中的主机和服务,而Netstat则展示了本机的网络服务状态。这种组合可以有效地帮助网络管理...
tcpdump抓取工具和使用说明
03-26
tcpdump是一款强大的网络数据包分析工具,广泛应用于各种操作系统,包括Linux、Unix和部分支持命令行接口的Android设备。它能够实时捕获网络上的数据包,并进行解析和显示,是网络诊断、性能评估和安全审计的重要...
基于Linux下的网络监听技术.pdf
09-06
总之,《基于Linux下的网络监听技术》一文详细介绍Linux系统下网络监听的基本概念、工作原理和相关工具,为读者提供了一个全面了解和学习网络监听技术的平台,对于从事系统开发和网络安全工作的人员具有极高的参考...
tcpdump数据抓包及分析
10-09
结合tcpdump和Wireshark,我们可以对网络通信进行全面的跟踪和分析。tcpdump用于快速捕获大量数据,而Wireshark则用于深度解析和可视化这些数据。例如,你可以在一台服务器上用tcpdump抓取数据包,然后将其导出到...
tcpdump-4.9.0-5.el7.x86_64.rpm
04-19
Unix平台网络抓包工具,功能全面使用简单,界面友好
Linuxtcpdump的简单使用
18年3月萌新白帽子
06-16 939
首先介绍一下什么是tcpdumptcpdumpLinux下的命令行抓包分析软件,而且在Linux下抓包很好用,一般企业的Linux运行等级为3,即多用户命令行模式,为了排错经常使用Tcpdumptcpdump本身功能十分强大,保存的文件也可以直接使用Wireshark打开Tcpdump抓包指南之关键字的使用1.类型关键字:  host,net,port2.传输关键字:src,dst3.协议关键...
Linux tcpdump 命令详解
Lamb的博客
08-04 2974
proto 修饰符描述id 所属的协议. 可选的协议有: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp以及 upd.(nt | rt: ether, fddi, tr, 具体含义未知, 需补充. 可理解为物理以太网传输协议, 光纤分布数据网传输协议,以及用于路由跟踪的协议. wlan, 无线局域网协议;而其中的 BSSID, RA, TA 域(nt | rt: 具体含义需补充)不会被检测(nt: 不能被用于包过虑表达式中).
Linux抓包工具----tcpdump
这是博客的简介的简介
08-03 6503
这是一个目录
[LINUX]tcpdump命令详解
nierychen的博客
08-28 2246
最后,特别要注意,使用tcpdump命令的时候,建议加上-c命令,因为如果不加任何过滤的话,就会无限制的抓取数据包,直到磁盘存满为止,很可怕的,有些时候我们需要触发抓包的时候,可不用-c,触发完之后停止抓包,就OK了。tcpdumpLinux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。lo    //指的是该主机的回环地址(127.0.0.1),一般用来测试网络专用,一般的数据都不通过这块网卡,所以我们用tcpdump抓包的时候也不使用这块网卡。这可以用来限制捕获的数据包数量。
Linux网络抓包工具——tcpdump详解
qq_42580553的博客
04-01 1046
第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1。tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump截取的包默认数据的头部,默认情况下,直接启动tcpdump将监听的是第一个网络接口上所有流过的数据包。src 00:0c:29:ae:89:5d :是指源mac地址为:00:0c:29:ae:89:5d。根据源ip抓包:需要两台虚拟机配合,虚拟机A去ping,虚拟机B去抓包。
Linux tcpdump命令详解
weixin_34008784的博客
01-14 1744
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
Linux tcpdump 命令详细用法
weixin_34162228的博客
06-12 186
简单介绍 用简单的话来定义tcpdump,就是:dump the traffic on a network,依据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump能够将网络中传送的数据包的“头”全然截获下来提供分析。它支持针对网络层、协议、主机、网络或port的过滤,并提供and、or、not等逻辑语句来帮助你去掉没用的信息。   有用命令实例 默认启动 tcpdum...
Linux命令行下NC工具详解:发送与接收UDP数据包
Linux命令行环境下,理解和掌握如何发送和接收UDP数据包是一项基本的网络调试技能。UDP(User Datagram Protocol)是一种无连接、不可靠的数据报协议,常用于实时应用如在线游戏、视频流传输等,因为它提供了快速...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值