tcpdump 用法总结

最新推荐文章于 2024-05-10 12:06:13 发布
最新推荐文章于 2024-05-10 12:06:13 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: linux 文章标签: tcpdump linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33675675/article/details/79099453
版权

 最近这几天写了一个解析pcap文件的程序。功能就是把pcap文件里面不同的会话分开,存为一些小的pcap文件,然后再提取里面的负载。然后想在上面拓展一下,比如直接监听本机的端口,将得到的数据动态解析为pcap文件,提取负载等。然后发现了一个在lunix可以捕获数据包的工具–tcpdump。这个工具十分强大,所以就顺便学习了一些用法,如下:

首先我们看一个十分简单的命令

sudo tcpdump  # 需要在root权限下运行

 然后你就会发现你电脑正在传输的各种报文了,然而它的牛逼之处在于它的选项以及过滤的能力。首先谈谈tcpdump的一些常用的参数选项。首先我们的电脑都有几个网卡,这些可以通过ifconfig来查看,然后如果你想监听某个特定的网卡怎么办,于是有了一个 -i的参数

sudo tcpdump -i wlp8s0

一般显示三个,一个是有线网卡,一个是本地环回(就是localhost),一个是无线网卡(本文捕获的数据全都是无线网卡的)。

 假设我们想捕获特定个数的数据包怎么办,这时候就要用到 -c 参数了。

sudo tcpdump -i wlp8s0 -c 10

这个就是说我想捕获10条数据包。

我们看一下报文的头部输出是什么(数据部分仅展示第一条)

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on wlp8s0, link-type EN10MB (Ethernet), capture size 262144 bytes

16:51:25.454828 ARP, Request who-has 10.11.178.55 tell 10.11.178.55,length 28
......

第一个是建议可以用 -v -vv 来查看详细的协议的编码信息,主要就是数据部分的信息。第二个就是以太网的链路层信息,第三行就是具体捕获的数据包。但是内容很简略,如果想要详细一点的怎么办?第一个可以使用 -v 得到的信息格式如下:

tcpdump: listening on wlp8s0, link-type EN10MB (Ethernet), capture size 262144 bytes

16:59:39.967212 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.12.113.254 tell 10.12.113.193, length 28

16:59:39.971915 IP (tos 0x0, ttl 64, id 6011, offset 0, flags [DF], proto UDP (17), length 72)
10.11.177.216.52914 > dns.hust.edu.cn.domain: [udp sum ok] 29723+ PTR? 254.113.12.10.in-addr.arpa. (44)

这样把ttl等各种信息都展示出来了,然有一个参数可以改为展示以太网头部的帧信息。那就是 -e

sudo tcpdump -c 10 -e

展示效果如下:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on wlp8s0, link-type EN10MB (Ethernet), capture size 262144 bytes

16:59:53.228185 b0:e2:35:2f:d0:6a (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 42: Request who-has 10.12.113.254 tell 10.12.113.193, length 28

这样可以看到这是一个广播(Broadcast)的信息。

接下来的这个参数很重要了,目的就是把捕获的数据包原封不动的写到一个pcap文件里面去,这样你可以用wireshark等工具可以直接查看(当然你也可以直接使用wireshark捕获)。这两个参数就是 -r(从文件里面读取) -w(保存到文件中),比如如下命令:

sudo tcpdump -c 10 -w data

然后就可以发现data文件里面10个数据包了。

前面讲的都是一些选项,假设我对数据包有要求怎么办,比如我只想要TCP报文,不想要UDP报文。这就是所谓的过滤参数了,

sudo tcpdump "tcp"

这样就会一直读取TCP报文写到data,直到你按下 ctrl+c

tcpdump 支持的协议类型有

假设我对端口有要求呢? 比如可以使用 “port 80” 来指定捕获HTTP报文
还有一些参数如下(都放在双引号里面即可):

1 host:指定主机名或IP地址,例如’host baidu.com’或’host 111.111.111.111′
2 net :指定网络段,例如’arp net 128.3’或’dst net 128.3′
3 portrange:指定端口区域,例如’src or dst portrange 6000-6008′

还有很多复杂的参数和过滤条件可以使用 man tcpdumpman pcap-filter 查看。

qq_33675675
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump示例和教程
简介
01-15 5983
如果您的工作主要依赖互联网,那么网络问题就很常见。解决和排除这些网络问题是一项具有挑战性的任务。在这种情况下,“tcpdump”工具会发挥作用。“tcpdump”是一种有价值且灵活的工具,用于捕获和分析网络流量以解决网络问题。本指南的重点是了解“tcpdump”命令行实用程序的基本和高级用法。但是,如果您觉得这很困难,那么有一个不太复杂的基于 GUI 的程序称为“Wireshark”,它执行几乎相同的工作,但具有各种附加功能。
tcpdump抓包规则 命令大全
u014472548的博客
08-23 1248
tcpdump采用命令行方式,它的命令格式为: tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选项介绍  -a    将网络地址和广...
tcpdump有哪些功能呢?以及如何使用呢?
m0_73291751的博客
04-19 1031
tcpdump 可以捕获多种协议的数据包,包括 ICMP、ARP、RARP、IP、TCP、UDP、HTTP、FTP、SMTP 等。tcpdump 可以将捕获的数据包以不同的格式输出,包括 ASCII、十六进制、TCPdump、Libpcap 等格式。它可以抓取传输层(TCP、UDP)以上的网络数据包,并将抓包结果以可读的方式呈现给用户。tcpdump 可以捕获本机网卡接收和发送的数据包,也可以通过远程捕获模式抓取远程主机的网络流量。
Linux基础急速入门:用 TCPDUMP 抓包_sudo tcpdump -n -t -s -i enp0s3 port 80(2)
最新发布
m0_60607971的博客
05-10 964
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
tcpdump使用教程
wkd_007的博客
04-30 1874
介绍tcpdump的参数选项和表达式,理解怎样使用tcpdump
TCPDUMP 详细介绍:使用方法和常见协议示例
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
07-13 1035
TCPDUMP 详细介绍:使用方法和常见协议示例
TCPDump使用方法小结
09-10
在进行网络测试的时候,我们经常需要进行抓包的工作,当然有许多测试工具可以使用,比如,sniffer, ethreal等.但最为方便和简单得就非TCPDump莫属. Linux的发行版里基本都包括了这个工具. TCPDump将网络接口设置成混杂...
Tcpdump使用小结
11-15
本文将对 Tcpdump 的使用进行总结,包括各个选项的解释和使用方法。 Tcpdump 的使用条件 Tcpdump 程序可以在多种操作系统上使用,但需要具备一定的条件: * SunOS with nit orbpf:必须具备访问设备/dev/nit 或/...
tcpdump 用法
03-30
**Tcpdump 详解** Tcpdump 是一款在网络分析和测试领域广泛应用的开源工具,它主要用于捕获和分析网络上的数据包。作为一个系统管理员或网络安全专家,...掌握Tcpdump用法是每一个IT专业人士应该具备的基本技能。
tcpdump参数详解[总结].pdf
10-12
Tcpdump 的使用方法 Tcpdump 的命令格式为:`tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名] [ -i 网络接口] [ -r 文件名 ] [ -s snaplen ] [ -T 类型 ] [ -w 文件名] [表达式]` Tcpdump 的选项包括: * ...
TCPDUMP DOCUMENT
06-25
文档范围涵盖了tcpdump的使用场景、方法以及如何解读其捕获的数据。假设读者具备通过终端模拟器连接到控制台端口或远程telnet或SSH访问Nokia IPSO设备的能力,并能在命令行界面输入tcpdump命令。 在示例中,命令将...
TCPDump 使用教程
qq_41661843的博客
02-29 1309
每次服务器网络不通的时候,总会听到一个声音,你去抓包啊,那这里就来介绍下TCPDump,一款强大的网络分析工具,可以捕获网络上的数据包,并进行分析。这款工具在网络管理员和安全专家中非常受欢迎。
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
Linux 五大初始化系统_linux初始化系统分哪些种类
2401_83974256的博客
04-28 297
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
tcpdump抓包命令讲解及实用教程
希哈科技
01-06 2279
1.先Ctrl+Alt+T打开命令窗口 输入命令ifconfig查看网络端口 (1)tcpdump -i 例子:tcpdump -i eth0 (2)tcpdump -i -w 例子:tcpdump -i eth0 -w /tmp/test.pcap (3)tcpdump -i -w host 例子:tcpdump -i eth0 -w /tmp/test.pcap ho
使用tcpdump 进行网络包分析
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有
一文搞定tcpdump基本用法
热门推荐
chinaltx的博客
02-16 6万+
一、一些简单的介绍 使用了独立于系统的libpcap的接口。libpcap是linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。 tcpdump将打印网络接口上与自己定义的布尔表达式相匹配的信息包的包头部分。 -w选项可以将抓包数据保存下来,利用wireshark等工具进一步分析。解码分析时,分析的大部分对象都是16进制,所以一般都会用该参数配合wireshark使用 -r选...
tcpdump -x命令
xiao666wang的博客
08-02 2076
这个是DNS查询问题的格式。(这个格式占了8个字节,我感觉就是第一行那些十六进制数了,虽然我看不懂,orz) 这段话是在阅读《高性能服务器编程》的时候看到的 自己尝试了一下 这里我想讨论一下十六进制的串是怎么对应的。 首先右边有一些ASCII码的对照,有一段刚好是baidu.com,清晰明了。ASCII码是7位或者8位,这里是八位,看最后一行6f6d,一位十六进制是4位,所以两个十六进制是8位,6f是o,6d是m,其他同理。 利用计算器,可以方便地知道0035是53,也就是DNS的端口,8ea5是36

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值