[tcp] 快速掌握tcpdump抓包

最新推荐文章于 2024-05-22 16:15:37 发布
最新推荐文章于 2024-05-22 16:15:37 发布
阅读量735 收藏 4
点赞数 1
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23114283/article/details/113285968
版权

原文链接

 

一说到抓包,好像有点高深莫测,其实在工作中,大部分是应用发生异常时需要抓包,以此来分析原因,Linux下一般用tcpdump命令抓包,而使用tcpdump其实常用的参数也就那么几个

抓包主要是看数据传输是否都走了正确的TCP协议,比如因为网络或者攻击导致某些包(SYN TIME_WAIT)等特别多,这个时候抓包就很容看出来

因此抓包不必记太多参数,只要能过滤到我们想要的包即可

tcpdump命令常用参数

-i 指定网络接口,例如eth0、lo、pp0等等的界面看一段直接用tcpdump命令抓包的文档
-S 将tcp的序列号以绝对值形式输出,默认相对值
-nn 不进行端口名称的转换,默认转换,比如22端口会显示ssh
-w 存储抓到的包,一般.cap格式
-v 输出更详细的报文信息,可以多个v一起使用,如-vvvv
or|and|nor 与或非,以下参数如多个使用,则需要用到
host 指定过滤的ip,比如10.0.0.1,那么只抓与该ip相关的包
port 指定过滤的端口
src host 指定过滤的源ip
dst host 指定过滤的目的ip
src port 指定过滤的源端口
dst port 指定过滤的目的端口

tcpdump抓包实例

tcpdump -S -nn port 443 and host 10.88.77.15
tcpdump -S -nn port 443 and host 10.88.77.15 -w /tmp/dump.wap

如抓取过滤有host为10.25.137.230和端口443
tcpdump -S -nn host 10.25.137.230 and port 443

clipboard.png

15:39:07.427683 IP 10.25.137.230.20260 > 10.29.64.142.443: Flags [P.], seq 1026816011:1026816267, ack 1193238686, win 115, length 256
以此行为例
  • 15:39:07.427683 网络包发生的时间

IP 10.25.137.230.20260 > 10.29.64.142.443:

  • IP标识
  • 源ip或者源主机名和端口20260;
  • >流向符,数据包从左边发往右边
  • 目的ip或者目的主机名和端口443

Flags [P.] Flags的标记,此处为[P.],代表PST和ACK(.代表ACK确认)

seq 1026816011:1026816267, ack 1193238686, win 115, length 256

  • seq为序列号
  • ack为确认码
  • win为滑动窗口大小
  • length为承载的数据(payload)长度length,如果没有数据则为0

tcpdump抓包的FLags标记

tcpdump的Flags代表了这个数据包的用途,这些标记是TCP首部的内容

[S]:SYN同步标识
[.]: .表示ACK确认标识
[S.]:SYN同步标识,以及确认[S]的ACK
[P.]:PSH,push推送,数据传输
[R.]:RST,连接重置
[F.]:FIN结束连接
[DF]:Don't Fragment(不要碎裂),当DF=0时,表示允许分片,一般 -v时才有这个标识
[FP.]:标记FIN、PUSH、ACK组合,这样做是为了提升网络效率,减少数据来回确认等

 

补充: 四次挥手可能只看到3个包,因为一个相应包被包含在[F.]包里了。

乡村农夫
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump数据抓包及分析
10-09
总的来说,掌握tcpdump和Wireshark的使用,对于网络管理员、开发者和网络安全专业人员来说,是提高工作效率和解决问题的关键技能。通过深入理解网络协议和数据包分析,我们可以更好地理解和解决网络相关的问题,从而...
tcpdump Flags的含义
weixin_34401479的博客
09-05 1万+
在看tcpdump输出的时候,看到Flags[S],Flags[.],Flags[S.],Flags[P],搞不懂这是什么意思,百度搜索[tcpdump Flags ]竟然称心的答复.闲话少说,看man文档怎么说:Flags are some combination of S (SYN), F(FIN), P (PUSH), R (RST), U (URG),W (E...
tcpdump flags 常见标志位汇总
qq_32783703的博客
09-09 3344
flags MF表示有更多分片,DF表示不分片,这里是DF,未使用分片,所以id和offset的值都可以忽略。S : SYN - 同步;P : PUSH - 推送;R : RST - 复位;F : FIN - 结束;A : ACK - 应答。
取分析网络数据包?力推默契老搭档——tcpdump&wireshark
最新发布
lx1056212225的博客
05-22 915
tcpdump是一个在linux环境下常用的抓包工具,Wireshark是一个网络封包分析软件,二者结合,其利断金
tcpdump 网络抓包工具使用及实例参考
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-22 4657
前言 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 另外,tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性。tcpdump存在于基本的Linux系统 中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。tcpdump
网络抓包分析--tcpdump及Wireshark的使用
事后不诸葛的博客
01-08 4710
目录 前言 tcpdump和Wireshark的介绍 tcpdump的使用 Wireshark的使用 前言 tcpdump和Wireshark的介绍 tcpdump的使用 Wireshark的使用
一文搞定tcpdump基本用法
热门推荐
chinaltx的博客
02-16 6万+
一、一些简单的介绍 使用了独立于系统的libpcap的接口。libpcap是linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。 tcpdump将打印网络接口上与自己定义的布尔表达式相匹配的信息包的包头部分。 -w选项可以将抓包数据保存下来,利用wireshark等工具进一步分析。解码分析时,分析的大部分对象都是16进制,所以一般都会用该参数配合wireshark使用 -r选...
TCPDUMP
好好活着
08-19 290
Tcpdump的使用   tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ]   1. tcpdump的选项介绍   -a 将网络地址和广播地址转变成名字;   ...
Android中使用tcpdump、wireshark进行抓包并分析技术介绍
09-03
本篇文章将详细介绍如何在Android设备上使用tcpdump进行抓包,以及在PC上使用Wireshark进行数据包分析。 首先,tcpdump是一款开源的网络数据包分析工具,它可以在多个操作系统上捕获网络流量。在Android设备上使用...
各种协议抓包文件
09-12
对于网络工程师认证学习者,掌握这些抓包文件的分析技巧是必不可少的。比如在准备CCNA、CCNP或CCIE等认证考试时,理解并能分析抓包数据将大大提升你的实战能力。在实际工作中,这也能帮助你快速定位网络故障,提高...
TCP实战抓包分析 372-420
05-15
TCP实战抓包分析 本文将对TCP实战抓包分析进行详细的解释和分析。...在本文中,我们将详细介绍TCP实战抓包分析的原理和方法,并提供了多种实践案例,以便读者更好地理解和掌握TCP实战抓包分析的技术。
牛逼抓包工具 Socket通讯抓包
02-24
总的来说,了解和掌握Socket通信抓包技术是提升网络编程技能的重要一环。通过使用高效的抓包工具,开发者能更好地理解网络通信过程,从而优化Socket应用,解决潜在问题,提高系统的稳定性和安全性。
使用tcpdump网络故障排查抓包
HelloWorld搬运工
09-22 3101
个人博客请访问http://www.x0100.top 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。 1.1 Pull Docker 镜像 $sudodockerpullalpine:3.8 1.2 运行容器 $sudodockerrun-d--namectn-1a...
计算机网络抓包工具——tcpdump详解
m0_52165864的博客
08-01 2万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
抓包工具tcpdump用法说明
weixin_30278311的博客
06-22 782
tcpdump采用命令行方式对接口的数据包进行筛选取,其丰富特性表现在灵活的表达式上。 不带任何选项的tcpdump,默认会取第一个网络接口,且只有将tcpdump进程终止才会停止抓包。 例如: shell> tcpdump -nn -i eth0 icmp 下面是详细的tcpdump用法。 1.1 tcpdump选项 它的命令格式为: tcpdum...
linuxtcpdump的使用
知识就是生产力
04-27 1307
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。实用命令实例 默认启动tcpdump 普通情况下,直接启动t
tcpdump常用命令
稻草人技术博客
04-17 1089
tcpdump 参数 -c <number>: 指定抓包个数 tcpdump -c 2 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on atcp_veth0, link-type EN10MB (Ethernet), capture size 65535 by...
tcpdump抓包命令
sunshine716的专栏
11-06 1472
           tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。    tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设...
tcpdump中的Flags [S.]和Flags [.]是什么意思?------顺便看看三次握手包
认知 行动 坚持
06-27 4万+
我们用telnet发起tcp连接, 建立三次握手, 抓包来看看: xxxxxx$ sudo tcpdump -iany port 19006 -Xnlps0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux
TCPdump详解:网络抓包TCP报文段解析
"推荐使用tcpdump进行TCP抓包的教程" TCP抓包是网络诊断和问题排查的重要技术,其中tcpdump是一款强大的网络分析工具,广泛应用于Linux系统。它能够捕获网络接口上的数据包,帮助用户分析网络通信情况,检查网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值