使用tcpdump查看原始数据包

已于 2023-01-10 21:45:29 修改
阅读量2.6k 收藏 1
点赞数
分类专栏: Linux命令工具 文章标签: tcpdump 网络 服务器
于 2022-09-21 14:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27182175/article/details/125885764
版权

0.查看是否安装

which tcpdump

1.基本使用

tcpdump  #您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息
tcpdump -D #检查哪些网络接口可用于捕获,tcpdump --list-interfaces
tcpdump --interface any #使用任何活动接口捕获网络数据包,tcpdump -i interface_id,tcpdump --interface interface_id
tcpdump -c 5 #抓取5次
tcpdump -c 3  udp #抓取3次,协议类型为udp
#ctrl+z可以中断命令
tcpdump -w linuxmi.pcap#tcpdump 命令的输出存储到文件
 tcpdump -r linuxmi.pcap #读文件

2.有用的选项
假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹没。为避免这种情况,只需从输出中消除端口22

tcpdump not port 22 #消除22端口
tcpdump not port 143 and not port 25 and not port 22 #消除多个端口
tcpdump port 143 #仅监视143端口
tcpdump host hal9000 #从网络上的特定主机获取数据
tcpdump -i eth1 #指定要收听的网络接口
tcpdump udp -c 3 #指定协议,可以在/etc/ protocols中找到协议列表
tcpdump -c 3 host 192.168.174.135
tcpdump -c 3 host 192.168.174.135 and port 443 #指定主机和端口
tcpdump -c 3 -x #-x 16进制显示,-A ascii显示

3.保存输出以备后用

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`
tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M` #转换为二进制格式
tcpdump -r tcpdump_raw_YYYMMDD-H.M #读取上面二进制文件,或者wireshark看

tcpdump port 32772 -w dump_32772 #为端口32772运行了一个特定的转储

读取原始输出,举例1个包
17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272>

我们所拥有的是对https://www.linux.org/的Web服务器请求。时间戳记过后,您会在主机名(即端口80)的末尾注意到.www。这将被发送到发出请求的主机test.linux.org的端口34365。“ P”代表TCP“ oush”功能。这意味着应该立即发送数据。在2845:3739(894)之后的数字中,2845标记第一个数据包的八位位组的编号。数字3739是数据包发送的最后一个字节的数字加1。数字894是发送的数据包的长度。表示“ ack 1624”的部分是“ acknowledge”的TCP术语-表示该数据包已被接受,下一个预期的数据包编号为1624。之后,我们看到“ win 9648”发送主机正在等待窗口大小为9648个八位位组的数据包。这之后是时间戳

如果您认为难以解释,则使用-x选项,它将在十六进制输出中包含数据包内容

18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448) 
ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>
        0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;....
        0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3..
        0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw
        0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200
        0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,.
        0x0050:  3135

我们可以从输出中得知这是一个HTTP请求。至于其余的,它不是人类可读的,但是我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是,即使我们无法完全解释此数据包的状况,也可以将其发送给可能的人。最终,这是未经任何过滤通过网络传输的原始数据

qq_27182175
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux使用tcpdump命令监视指定网络数据包的方法
01-10
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包) 代码如下:tcpdump ...
tcpdump命令详解
热门推荐
wj31932的博客
06-05 10万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
linux 看数据包工具,使用tcpdump查看原始数据包
weixin_28901327的博客
05-04 1396
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹...
Linux抓工具:tcpdump
debang2014010的专栏
11-04 447
tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。 本文中,我们将讨论 tcpdu...
TCPDUMP使用和报文分析】
仙女肖消乐的博客
04-25 1359
抓取1.1网段除了1.1.1.1的请求的数据包 tcpdump -i any src net 1.1 and 'src host not 1.1.1.1'
tcpdump数据报文内容详解
QAQ__QAQ0123的博客
04-20 3500
利用 tcpdump 与 nc 观察 tcp/ip 传输的数据包内容: 0x0000: 0000 0304 0006 0000 0000 0000 0000 0800 ................ 0x0010: 4500 0041 fa6e 4000 4006 4246 7f00 0001 E..A.n@[email protected].... 0x0020: 7f00 0001 b984 56ce 2121 59e8 82bc 8211 ......V.!!Y..... 0x0030: 8018 0
linux 的抓操作(tcpdump)
jiu_yue_ya的博客
05-26 1万+
linux 查看网络状况(netstat)linux 查看网络状况(netstat)使用 netstat 命令用来打印网络连接状况、系统所开放端口、路由表等信息。最常用的关于netstat 的命令就是:以及如果你所管理的服务器是一台提供 web 服务(80 端口)的服务器,那么你就可以使用 netstat -an |grep 80 开查看当前连接 web 服务的有哪些 IP 了。
网络数据包收发器的设计与实现
12-27
该收发器基于Libpcap 函数库与原始套接字,支持Tcpdump 格式数据包的读写,允许灵活设置发送策略。针对现有嗅探器与分析器功能上的不足,对大容量数据包定时发送等应用方面进行了设计优化。实验结果表明,该收发器...
局域网查看工具最新版
08-02
目前,winpcap开发的主要对象是windows NT/2000/XP,这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me,并且M$也已经放弃了对win9x的开发。因此本文相关的程序T-ARP也是面向NT/2000/XP用户的...
python_lldp:python LLDP数据包嗅探器
05-21
该代码通过在Linux上创建原始套接字(或在Solaris 10/11上调用snoop和在AIX上调用tcpdump)在所有可用网络接口上嗅探LLDP数据包而起作用。 嗅探/收集/接收到LLDP数据包后,将对其进行解构,并将相关数据保存到含...
harpy:Harpy是一个利用scapy,tcpdump和Flask的小型程序,允许用户为加入其网络的特定设备设置警报
04-29
Harpy(Python中的主机地址解析协议)是一个小程序,它利用scapy,tcpdump对以太网端口中的数据包进行低级监视,同时使用Flask提供简单的Web界面,允许用户为特定设备设置警报加入harpy.harpy的基本用例是提供无缝的...
TCP基础篇-02-tcpdump
Alan0517
03-03 1760
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。默认启动普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包tcpdump如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
tcpdump详细数据显示方法
嵌入式技术在路上
02-19 1万+
抓取UDP某一个端口的数据,显示详细信息 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 抓取发到服务器的某一个端口的数据: tcpdump udp port 18290 -XX -vvv -nn -v:当分析和打印的时候,产生详细的输出。 -vv:产生比-v更详细的输出。 ...
网络数据采集分析工具tcpdump定义抓过滤器
Peter的博客
06-30 1459
第三节到第六节里的 tcpdump 命令示例,只为了说明参数的使用,并不一定就能抓到,如果要精准抓到你所需要的,需要配合第五节的逻辑逻辑运算符进行组合搭配。 不同 Linux 发行版下、不同版本的 tcpdump 可能有小许差异, 本文是基于 CentOS 7.2 的 4.5.1 版本的tcpdump 进行学习的,若在你的环境中无法使用,请参考man tcpdump进行针对性学习。 1. tcpdump 核心参数图解 大家都知道,网络上的流量、数据包,非常的多,因此要想抓到我们所...
如何读取pcap
m0_57236802的博客
11-01 2299
读取PCAP(Packet Capture)文件可以使用多种工具和编程库。
Linux命令查看pcap报文数量、内容
最新发布
captain
11-08 1311
查看pcap文件中的数量,可以使用网络分析工具,如Wireshark或Tcpdump,或者使用编程语言中的网络分析库,如Python中的Scapy或Sniffy。
tcpdump显示内容_tcpdump 实例获取网络的50种方法
weixin_39640646的博客
12-10 4294
TCPDUMP 毫无疑问是最重要的网络分析工具,因为它简单实用,而且功能强大。这篇教程将会教你从 IP、端口、协议、应用层等多方面来获取通信数据包,确保你可以尽可能快的找到你想要的数据。tcpdump 的安装很简单,在 ubuntu 上:$ apt install tcpdump在 Redhat/Centos 上:$ yum install tcpdump首先通过一个简单的命令来获取 H...
使用tcpdump命令进行抓+详细示例
sunrj_niu的博客
03-14 1万+
A: 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取含网页数据的数据包时, 可方便查看数据-c count: tcpdump将在接受到count个数据包后退出-d: 以容易阅读的形式,在标准输出上打印出编排过的匹配码, 随后tcpdump停止-dd: 以C语言的形式打印出匹配码-ddd: 以十进制数的形式打印出匹配码-e: 每行的打印输出中将数据包的数据链路层头部信息: 指定tcpdump 需要监听的接口-s snaplen。
tcpdump分析数据包
09-06
TCPdump是一种用于网络数据包的抓工具,可以在Linux和UNIX系统上使用。通过捕获网络传输中的数据包并分析它们的内容,我们可以获得有关网络流量、协议和网络问题的有用信息。 使用TCPdump分析数据包可以帮助我们进行多种操作。首先,我们可以使用过滤器来选择感兴趣的数据包,例如指定源或目的IP地址、端口号、协议等条件。这样可以减少捕获的数据包量,提高分析效率。 其次,我们可以通过查看分析结果来了解网络流量的特征。TCPdump可以显示数据包的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、时间戳等信息。我们可以根据这些信息来分析网络行为,比如判断是否有异常的通信活动、是否有异常的数据流量等。 此外,通过查看数据包内容,我们还可以进行更详细的分析。TCPdump可以捕获到传输的原始数据,我们可以使用其他工具来解析和分析这些数据。例如,我们可以使用Wireshark来查看数据包的各层协议、负载内容、响应时间、错误码等信息,从而诊断和排查网络问题。 综上所述,TCPdump是一个强大的网络数据包分析工具,可以帮助我们监控和分析网络流量、诊断网络问题以及进行安全审计等任务。通过对数据包的捕获和分析,我们可以获取有关网络流量和通信行为的宝贵信息,进而提高网络性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值