记录一条有意思的tcpdump命令

最新推荐文章于 2023-08-15 15:30:38 发布
最新推荐文章于 2023-08-15 15:30:38 发布
阅读量229 收藏
点赞数
分类专栏: 学习笔记 文章标签: tcpdump tcpflags
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33355976/article/details/102490461
版权
本文介绍了如何使用tcpdump命令来精确地捕获TCP建链包、HTTP GET请求以及HTTP响应包。通过解析tcpflags和TCP报文结构,详细解释了过滤条件的设置,包括如何抓取特定TCP标志的报文和HTTP报文的前四个字节匹配特定字符串的方法。
摘要由CSDN通过智能技术生成

在分析问题时,对抓包有个诉求:只抓取TCP建链包和HTTP GET请求包及HTTP响应包,于是有了下面这条命令:

tcpdump -i 网卡名 ‘((tcp[tcpflags] & tcp-syn != 0) or (tcp[(tcp[12]>>2):4]=0x47455420) or (tcp[(tcp[12]>>2):4]=0x48545450))’ -nnAl -w xxxx.cap

对这条命令的解释如下:

  • tcp[tcpflags] & tcp-syn != 0 或者tcp[tcpflags] == tcp-syn

表示只抓取带syn标志的报文,包括三次建链中的syn和syn+ack;这个比较好理解,不过多解释。当然通过该方法还可抓取其他TCP标志的包。如下:
tcp[tcpflags] == tcp-rst RST标记
tcp[tcpflags] == tcp-urg URG 标记
tcp[tcpflags] == tcp-ack ACK标记
tcp[tcpflags] == tcp-psh PUSH标记
tcp[tcpflags] == tcp-fin FIN标记

  • tcp[(tcp[12]>>2):4]=0x47455420</
最低0.47元/天 解锁文章
陈工说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump命令简要
goddessblessme的博客
08-20 270
flexible, powerful command-line tool helps ease the pain of troubleshooting network issues. 1、基础 yum install -y tcpdump 查看有哪些nic网络接口可以用 sudo tcpdump -D 测试capturing所有packets sudo tcpdump -i any Ctrl+C stop. 限制抓包数量: sudo tcpdump -i any -c 5 tcpdump默认解析了i
tcpdump命令
04stone37
04-26 207
功能:网络抓包工具; 使用方式:tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s s
TCP 报文格式及TCP Flags
热门推荐
gyunling的专栏
04-16 3万+
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 报文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
tcpdump抓包
花语无痕的博客
11-20 1651
有时分析客户端和服务器网络交互的问题时,为了查找问题,需要分别在客户端和服务器上抓包,我们的客户端一般是windows上的,抓包比较简单,直接使用wireshark抓取即可。而服务器则是Linux,需要使用ssh远程登陆到Linux系统中,使用tcpdump命令开启抓包。所以,需要就tcpdump命令进行详细的说明。 1、格式 tcpdump --help tcpdump version 4.1-PRE-CVS_2012_03_26 libpcap version 1.4.0 Usage: tcpdump
TCP协议详解之TCP Flag标志位来判断TCP会话的开始和结束
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志位的具体含义。 TCP Flag标志位(控制位) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit中前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
Linux tcpdump常用抓包语法
mukouping82的博客
04-29 3534
一、基本语法 过滤主机: tcpdump -i any host 192.168.1.1 过滤端口: tcpdump -i any port 80 过滤某一网段: tcpdump -i any net 192.168.0.0/16 过滤协议: tcpdump -i eth1 arp/ip/tcp/udp/icmp 常用表达式 非 : ! or "not" (去掉双引号) 且 : && or "and" 或 : || or "or" 抓取所有经过eth1,目的地址是1..
Linux下tcpdump命令解析及使用详解
01-09
默认情况下,执行`tcpdump`命令将监听第一个网络接口(通常是eth0)上的所有数据包。如果想监听特定接口,如eth1,可以使用`tcpdump -i eth1`。 **主机过滤** - `tcpdump host sundown`:将显示所有进出sundown主机...
Linux tcpdump命令用法详解
01-09
Linux tcpdump命令 Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 语法tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd][-F]...
Linux tcpdump命令详解大全
09-15
主要介绍了Linux tcpdump命令详解大全的相关资料,需要的朋友可以参考下
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
Linux中tcpdump命令实例详解
09-15
Linux中的tcpdump命令是一个强大的网络数据包分析工具,主要用于在网络层截取并分析网络通信数据。这个命令允许用户根据特定的条件过滤数据包,以便更好地理解网络流量和诊断网络问题。tcpdump支持多种协议和过滤...
linux使用tcpdump命令监视指定网络数据包的方法
09-15
在Linux系统中,TCPDump是一个强大的网络分析工具,它能够实时捕获并显示网络上的数据包。这个命令对于网络管理员和开发人员来说是至关重要的,因为它可以帮助他们诊断网络问题、监控网络流量,甚至进行安全审计。...
Wireshark捕获过滤器
justinsun221的博客
11-16 225
捕获过滤器: 捕获http get ,post,put请求 0x47455420 ==>GET ascii码 GET 请求:port 80 and tcp[((tcp[12:1] & 0xf0) >>2):4] = 0x47455420 POST 请求:port 80 and tcp[((tcp[12:1] & 0xf0) >>2):4] = 0x504f5354 PUT 请求:port 80 and tcp[((tcp[12:1] & 0xf0) &
网络学习 tcpdump 抓包工具
xiaoliuliu2050的专栏
08-02 791
一般情况下linux系统会自带tcpdump工具,如果系统没有安装,直接用命令安装就行了。 安装命令:yum install -y tcpdump 命令功能详解: 指定参数过滤条件 指定协议,指定网卡,制定个数,指定来源主机ip ,指定来源主机端口,指定目的主机IP,端口, 指定主机IP,端口,指定来源网段,指定目的网段,指定抓取数据包的大小 ,通过指定网关 辅助选项: 不显示时...
wireshark 数据包分析技巧总结
Bonnie Learning Summary --- Special column
08-24 9957
摘抄自: http://blog.51cto.com/shayi1983/1558161 wireshark 过滤表达式的比较运算符一览 (类 C 形式和对应的英语形式) enighish           C-like           含义和实例 eq                 ==               等于       ip.src == 10.0.0.5 ne     ...
抓包工具(一)tcpdump命令总结
zhuyunier的博客
08-01 1390
由于在测试中会需要抓取Linux服务器(IPC端或者EC2服务器)上的包,一直使用的是tcpdump工具,在这里总结下tcpdump命令。 一、tcpdump简介 tcpdump,就是dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、...
tcpdump 参数及使用简析
若明天不见
08-29 1410
tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来筛选数据
tcpdump常用指令
最新发布
Artisan_w
08-15 576
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包)打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包。打印所有源地址或目标地址是本地主机的IP数据包。监视所有送到主机hostname的数据包。监视指定主机和端口的数据包。
列出10条tcpdump命令的详细示例
04-26
tcpdump -i any ``` 2. 监听指定网络的流量 ``` tcpdump -i eth0 net 192.168.1.0/24 ``` 3. 监听指定主机的流量 ``` tcpdump -i eth0 host 192.168.1.1 ``` 4. 监听指定端口的流量 ``` tcpdump -i eth0 port 80 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值