linux下tcpdump的常用用法总结

最新推荐文章于 2023-03-01 15:51:49 发布
最新推荐文章于 2023-03-01 15:51:49 发布
阅读量360 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28317503/article/details/72235545
版权

tcpdump 是linux系统下的抓包工具,它支持针对网络层,协议,主机,端口的过滤,并提供and,or,not等逻辑语句筛选信息。

常用的参数

-n   将ip地址,端口号以数字形式表示

-t   不打印时间戳

-i  后面接选用的网卡(连外网一般是eth0,自身相连一般是lo)

-S  将tcp报文中的序号以绝对值形式显示,tcp建立连接三次握手的时候,发送syn报文段中会含有一个isn(initial sequence number),此后发送的字节都是在此序号基础上的偏  移,如果没有-S,报文字节会以偏移形式显示

-s snaplen 从每个报文中截取snaplen字节的数据,而不是缺省的65535,如果snaplen过小,则原始数据报将会被截断,在输出行中会有类似[|proto]这样的输出,这里的proto是截断发生处的协议层名称,注意,采用更大的捕捉范围既增加了处理报文的时间,又相应的减少了报文的缓冲数量,可能导致报文的丢失。你应该把snaplen设的尽量小,只要能够容纳你需要的协议信息就可以了。设置snaplen参数值为0,即是设置为默认值65535(  -s0 和 -s 0效果一样的,都表示不截断包)  -s 10 会显示在以太网处截断,-s 20会显示在ip处截断

-w  将数据写入文件

这些是常用的参数 ,更具体的可以通过man tcpdump查


基本语法

默认启动

tcpdump

 不指定网卡的话,默认会监视第一个网卡eth0

过滤主机

-------------

抓取所有经过eth0,源地址或目的地址是115.123.141.1的数据包

#sudo tcpdump -nt -i eth0 host 192.168.1.1

源主机

#sudo tcpdump -nt -i eth0  src host 192.168.1.1

目的主机

#sudo tcpdump -nt -i eth0  dst  host 192.168.1.1

过滤端口

-----------

抓取所有经过eth0,源端口或目标端口是51的数据包

#tcpdump -i eth0  port 51

源端口

#tcpdump -i eth0 src port 51

目的端口

#tcpdump -i eth0 dst port 51

网络过滤

------------

#tcpdump -i eth0 net 192.168

#tcpdump -i eth0 src net 192.168

#tcpdump -i eth0 dst net 192.168

协议过滤

-----------

#tcpdump -i eth0 arp

#tcpdump -i eth0 ip


常用表达式

非: !or "not"(去掉双引号)

与: && or "and"

或:|| or "or"

抓取所有经过eth0,目的地址是192.168.1.254 或 192.168.1.200,端口是80的tcp 数据

#tcpdump -i eth0 '((tcp)  and ((dst host 192.168.1.254) ||( dst host 192.168.1.200)) and (port 80))'

抓取所有经过 eth0,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

#tcpdump -i eth0 '((icmp) and (ether dst host 00:01:02:03:04:05))'

- 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

抓取helios与hot 或者与ace 之间通信的数据包

#tcpdump -i eth1 host helios and \( hot or ace \)

抓取ace 与任何其他主机之间通信的ip数据包,但不包括与helios之间通信的数据包

#tcpdump  ip host ace and not helios

抓取所有通过网关snup的ftp数据包(表达式被单引号括起来了,可以防止shell对其中的括号错误解析)

#tcpdump 'gateway snup and (port ftp or ftp-data)'


只抓syn包

#tcpdump -i eth0 'tcp[tcpflags] = tcp-syn'

抓syn,ack包

#tcpdump -i eth0 'tcp[tcpflags] & tcp-syn!=0  and  tcp[tcpflags] & tcp-ack!=0'

更详细深入的可以参考

http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html


qq_28317503
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全牛课堂笔记】tcpdump选项
edu_aqniu的博客
10-19 376
tcpdump选项 -A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含 网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages). -c count tcpdump将在接受到count个数据包后退出. -C file-size (nt: 此选项用于配合-w fil
tcpdump常用命令
weixin_42226134的博客
02-26 1280
tcpdumpLinux 系统提供的一个非常强大的抓包工具,熟练使用它,对我们排查网络问题非常有用。如果你的机器上还没有安装,可以使用如下命令安装: yum install tcpdump 如果要使用 tcpdump 命令必须具有 sudo 权限。 tcpdump 常用的选项有: -i 指定要捕获的目标网卡名,网卡名可以使用前面章节中介绍的 ifconfig 命令获得;如果要抓所有网卡的上...
使用tcpdump 观察DNS IP TCP通信过程
02-10 2087
使用tcp查看DNS通信过程 (base) root@ubuntu:~# sudo tcpdump -i -X ens33 -nt -s 5000 port domain tcpdump: -X: No such device exists (SIOCGIFHWADDR: No such device) (base) root@ubuntu:~# sudo tcpdump -i ens33 -nt -s 5000 port domain IP 192.168.0.107.46401 > 192.1
计算机网络抓包工具——tcpdump详解
m0_52165864的博客
08-01 2万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
最全的tcpdump使用详解
玩IT的川
03-01 4195
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Linux tcpdump命令用法详解
01-09
Linux tcpdump命令 Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 语法tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd][-F]...
linux离线安装tcpdump
11-02
里面附有安装文档(亲测可用)
Linuxtcpdump命令解析及使用详解
01-09
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1 如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都
Linux tcpdump命令的用法详细解析
09-15
以下是对Linuxtcpdump命令的用法进行了详细的介绍,需要的朋友可以过来参考下
Linuxtcpdump命令实例详解
09-15
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包...下面这篇文章主要给大家介绍了关于Linuxtcpdump命令的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 4756
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
linux没有tcpdump命令,大神教你在Linux中使用tcpdump命令
weixin_33147807的博客
05-09 2003
一般情况下Linux系统会自带tcpdump工具,如果系统没有安装,直接用命令安装就行了。安装命令:yum install -y tcpdump查看安装版本命令:tcpdump --help查看网卡命令:知道了网卡,就可以使用tcpdump工具针对服务器上的网卡监控、过滤网络数据。tcpdump常用命令:#抓取所有经过 eth0,目的或源地址是 192.168.29.162 的网络数据命令:tcp...
TCPDUMP
好好活着
08-19 284
Tcpdump的使用   tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ]   1. tcpdump的选项介绍   -a 将网络地址和广播地址转变成名字;   ...
Linux tcpdump命令详解
weixin_34008784的博客
01-14 1707
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
tcpdump使用过滤条件抓包(进阶篇)
BruceLeeNumberOne的博客
11-08 1万+
引言 这是有关网络协议的第四篇博客。 上一篇博客分享了tcpdump使用过滤条件抓包的一些用法,如果没有特殊的要求,基本能够满足一般的抓包要求,这篇博客如何在抓包的过程中将过滤条件更加具体化。 如果对tcpdump常用的命令行选项不了解,请查看上一篇博客或者查看tcpdump官网。 常用选项介绍 -s0 : Snap length, is the size of the packet to cap...
tcpdump笔记
运维求生之路
06-03 224
tcpdump笔记1、抓取dns协议2、抓取30012端口,host为 10.0.113.189 详细报文信息 1、抓取dns协议 使用“port domain”来过滤数据包,表示只抓取使用 domain(域名)服务的数据包,即 DNS 查询和应答报文 tcpdump -i eth0 -nt -s 500 port domain 另一个窗口使用 host 命令进行 DNS 查询 host -t A www.qq.com IP 192.168.34.245.58724 > 183.60.83.19.d
tcpdump命令选项介绍
键盘的起始页
03-10 294
tcpdump的简单选项介绍 -A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages). -c count tcpdump将在接受到count个数据包后退出. -C file-size (nt: 此选项用于配合-w file 选项使用) 该选项使得tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-s
tcpdump
weixin_30700977的博客
05-01 279
Linux 报文捕获及分析、服务开启状态分析 抓包工具、分析工具 tcpdump,libpcap(winpcap) wireshark tshark snort(Nids)入侵检测 sniffer 商业 扫描器 nmap snort(NIDS...
tcpdump抓包分析详解
热门推荐
不用此栏
01-08 8万+
 說實在的,對於 tcpdump 這個軟體來說,你甚至可以說這個軟體其實就是個駭客軟體, 因為他不但可以分析封包的流向,連封包的內容也可以進行『監聽』, 如果你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 很可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行)
linux命令tcpdump
最新发布
09-01
tcpdump 是一个在命令行下运行的网络数据包分析工具。它可以捕获网络接口上的数据包,并显示其详细信息,帮助用户进行网络故障排查、安全分析等。 使用 tcpdump 命令的基本语法如下: ``` tcpdump [选项] [表达式] ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值