tcpdump必知必会

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量173 收藏
点赞数
文章标签: tcpdump 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30236895/article/details/134323566
版权

962ff2afd4f0fdc0a05775b3b6fd2db1.gif

  1. 1. tcpdump原理 & 在tcp协议栈的位置

  2.     2. tcpdump用法

  • • 基于协议、主机、端口过滤

  • • 使用and or逻辑运算符做复杂的过滤操作

  • • tcpdump Flags

1. tcpdump原理

linux中非常有用的网络工具,运行在用户态

8025319f5b8fbae94259debfeb2e831a.png

数据包到达网卡,经过数据包过滤器bpf筛选后,拷贝至用户态的tcpdump程序。

tcpdump抓包

“抓” 这个动作是由数据包过滤器bpf完成, bpf的主要作用就是根据用户输入的过滤规则,只将用户关心的数据包拷贝至tcpdump,注意是拷贝,不是剪切。

面试题:某些数据包被iptables封禁,是否可通过tcpdump抓包?  

linux中netfilter是工作在tcp协议栈阶段, tcpdump的过滤器bpf是工作在更底层,所以当然是可以抓到包。

2. tcpdump常规用法

抓包上帝视角:

  • • 可将tcpdump当做网络请求的对端。

  • • tcpdump 支持网络层协议、主机、ip或端口的过滤,并提供and、or、not等逻辑语句来帮助过滤。

2.1抓包前置参数:

  • • -D:提供可以捕获流量的设备列表

  • • -c n:捕获n个包后终止

  • • -n: tcpdump默认会对(ip:port)转换为主机名,影响抓包效率,-n可设置不做转换,直接显示ip地址;

  • • -s 0 : 设置抓取(已经筛选出的数据包的)长度,0 意味着tcpdump自动选择合适的长度抓包;

  • • -w:将抓取的内容输出到文件

  • • -r :跟-w 是对应的,从文件读取抓包文件并输出到终端

  • • -vvv :输出详细的最高级别

2.2 抓包筛选参数:

  • • host:过滤特定主机的流量,可填hostname或者ip;

注意:命令中的hostname会被解析成ip地址,如果解析出来的是vip(可能会作用到多个实际的业务Host),会抓取到非预期的数据包。

可以使用 src host 或者 dst host来抓取特定方向的流量。

tcpdump -n -i eth0 host janus.qa.xxxx.com -vvv -tttt

2023-11-08 14:37:48.478256 IP (tos 0x0, ttl 64, id 47134, offset 0, flags [DF], proto TCP (6), length 554)
    10.178.75.56.44054 > 10.98.21.3.http: Flags [P.], cksum 0x776b (incorrect -> 0x1251), seq 514:1028, ack 186, win 589, length 514: HTTP, length: 514
    POST /janus-api/api/agent/tasks HTTP/1.1
    Host: janus.qa.****.com
    User-Agent: Go-http-client/1.1
    Content-Length: 366
    Accept-Encoding: gzip

    {"groupId":"63fefa20b1e3c135612005c9","ip":"10.178.75.56","env":"qa","idc":"officeidc_hd2","tags":["10.178.75.56","officeidc_hd2","machine"],"lastTaskId":"202303210000000017","versionInfo":{"staticConfigVersionId":"v2023.03.20.004","autoConfigVersionId":"v2023.03.20.004","configVersionId":"0","status":true,"ipTime":"2019-12-04 01:06:06"},"lastTasks":{"status":[]}}[!http]
2023-11-08 14:37:48.520706 IP (tos 0x0, ttl 52, id 64787, offset 0, flags [DF], proto TCP (6), length 40)
    10.98.21.3.http > 10.178.75.56.44054: Flags [.], cksum 0xa1f6 (correct), seq 186, ack 1028, win 150, length 0
2023-11-08 14:37:48.523697 IP (tos 0x0, ttl 52, id 64788, offset 0, flags [DF], proto TCP (6), length 225)
    10.98.21.3.http > 10.178.75.56.44054: Flags [P.], cksum 0xb2f6 (correct), seq 186:371, ack 1028, win 150, length 185: HTTP, length: 185
    HTTP/1.1 200 OK
    Content-Type: application/json; charset=utf-8
    Content-Length: 38
    Connection: keep-alive
    Date: Wed, 08 Nov 2023 06:37:48 GMT

2023-11-08 14:37:48.523718 IP (tos 0x0, ttl 64, id 47135, offset 0, flags [DF], proto TCP (6), length 40)
    10.178.75.56.44054 > 10.98.21.3.http: Flags [.], cksum 0x7569 (incorrect -> 0x9f7e), seq 1028, ack 371, win 597, length 0

  • • port :指定抓取某个X端口的网络数据包。

  • • and or not逻辑运算符 :tcpdump -i eth0 “host redhat.com and (port 80 or port 443)”

  • • tcp/udp:过滤tcp/udp流量: tcpdump -i eth0 host janus.t.17usoft.com and tcp

2.3 tcpdump [Flags]
3265be72f15f18350476dc7e80df0811.png

  • https://www.zhihu.com/question/41710052/answer/2945109424

  • https://docs.netgate.com/pfsense/en/latest/diagnostics/packetcapture/tcpdump.html

  • https://amits-notes.readthedocs.io/en/latest/networking/tcpdump.html

82be5c3295947253d4d2b3ec2dcf5543.png最后啰嗦一句:全文原创,希望得到各位反馈,欢迎斧正交流, 若有更多进展,会实时更新到[左下角阅读原文]。

有态度的马甲
关注
tcpdump源码分享
04-21
tcpdump是一款广泛使用的开源网络数据包分析工具,它允许用户实时捕获并分析网络上的数据包。这个资源包含了tcpdump的4.0和3.9两个版本的源代码,对于理解网络协议、学习网络监控以及进行网络调试具有极高的价值。 ...
tcpdumpFlags [S.]和Flags [.]是什么意思?------顺便看看三次握手包
热门推荐
认知 行动 坚持
06-27 4万+
我们用telnet发起tcp连接, 建立三次握手, 抓包来看看: xxxxxx$ sudo tcpdump -iany port 19006 -Xnlps0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux
Linuxtcpdump抓包命令详解
专注自动化、性能测试、测试架构学习交流
06-07 1万+
Tcpdum是Linux上强大的网络数据采集分析工具
Tcpdump 详解(抓包
最新发布
明日之星
08-18 5488
一、TCPDUMP抓包工具介绍。
TCP 三次握手 四次挥手 tcpdump Flags
qq_29807203的博客
10-15 4182
TCP三次握手,四次挥手 三次握手 简单的三次握手示意图。 四次挥手 简单的四次挥手过程示意图。 TCPFlags字段 SYN 表示建立连接,在TCP监听为: Flags [S]; FIN 表示关闭连接,在TCP监听为: Flags [F]; ACK 表示收到请求,返回响应,在TCP监听为: Flags [.]; PSH 表示数据传输,在TCP监听为: Flags [P]; RST 表示连接重置,在TCP监听为: Flags [R]。 Flags字段组合使用 收到并建立连接为: Flags
tcpdump 网络抓包工具使用及实例参考
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-22 4825
前言 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 另外,tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性。tcpdump存在于基本的Linux系统 ,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。tcpdump
tcpdump
05-09
支持 wireshark 软件抓包的工具
tcpdump离线安装
03-03
TCPDump是一款强大的网络封包分析软件,主要用于在网络层截取并分析网络数据包。它在IT行业被广泛用于网络故障排查、性能优化、安全审计等多个领域。TCPDump的名字由TCP(Transmission Control Protocol)和Dump...
tcpdump离线.rar
10-27
在安装这些RPM包时,通常会使用`rpm`命令,例如: ```bash sudo rpm -ivh libpcap-1.5.3-12.el7.x86_64.rpm sudo rpm -ivh tcpdump-4.5.1-2.el7.x86_64.rpm ``` 这将安装libpcap库和tcpdump工具到系统路径,随后...
tcpdump.zip
04-22
- 数据包捕获:tcpdump工作时会监听指定网络接口上的所有数据包,捕获并存储这些包的头部信息和部分数据内容。 - 链路层解析:它能够解析多种链路层协议,如Ethernet、Wi-Fi(802.11)和PPP等。 - 网络层解析:对...
tcpdump常用命令
稻草人技术博客
04-17 1137
tcpdump 参数 -c <number>: 指定抓包个数 tcpdump -c 2 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on atcp_veth0, link-type EN10MB (Ethernet), capture size 65535 by...
tcpdump flags 常见标志位汇总
qq_32783703的博客
09-09 3534
flags MF表示有更多分片,DF表示不分片,这里是DF,未使用分片,所以id和offset的值都可以忽略。S : SYN - 同步;P : PUSH - 推送;R : RST - 复位;F : FIN - 结束;A : ACK - 应答。
tcpdump详解
weixin_33465519的博客
03-20 2万+
原文地址:全网最详细的 tcpdump 使用指南 - 王一白 - 博客园 今天要给大家介绍的一个 Unix 下的一个网络数据采集分析工具,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 可以用wireshark 读取tcpdump 生成的pcap文件,用wireshark的图形化界面分析tcpdump 结果数据。 在讲解之前,有两点需要声明: 第三节到第六节里的 tcpdump 命令示例,.
tcpdump Flags的含义
weixin_34401479的博客
09-05 1万+
在看tcpdump输出的时候,看到Flags[S],Flags[.],Flags[S.],Flags[P],搞不懂这是什么意思,百度搜索[tcpdump Flags ]竟然称心的答复.闲话少说,看man文档怎么说:Flags are some combination of S (SYN), F(FIN), P (PUSH), R (RST), U (URG),W (E...
使用tcpdump 进行网络包分析
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络网络知识有
tcpdumpFlags S 和Flags 是什么意思 ------顺便看看三次握手包
sjhfkhsf的博客
02-15 4919
tcpdumpFlags S 和Flags 是什么意思 ------顺便看看三次握手包
TCP 报文格式及TCP Flags
早起的鸟儿有虫吃的博客
03-24 1552
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 报文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
如何使用tcpdump来捕获TCP SYN,ACK和FIN包
banbanlin的专栏
10-23 3445
问题:我想要监控TCP连接活动(如,建立连接的三次握手,以及断开连接的四次握手)。要完成此事,我只需要捕获TCP控制包,如SYN,ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN,ACK和/或FYN包? 作为业界标准的捕获工具,tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有态度的马甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值