tcpdump指令

已于 2023-11-16 10:58:58 修改
阅读量193 收藏
点赞数
分类专栏: 网络技术 文章标签: tcpdump 网络 linux
于 2021-03-15 10:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37748525/article/details/114819373
版权

tcpdump(libpcap)
    tcpdump --help
    tcpdump [option][proto][dir][type]
    option:
        [ -B size ] 
        [ -c count ]
        [ -C file_size ] 
        [ -E algo:secret ] 
        [ -F file ] 
        [ -G seconds ]
        [ -i interface ] 
        [ -j tstamptype ] 
        [ -M secret ] 
        [ --number ]
        [ -Q in|out|inout ]
        [ -r file ]
        [ -s snaplen ]
        [ --time-stamp-precision precision ]
        [ --immediate-mode ]
        [ -T type ] 
        [ --version ]
        [ -V file ]
        [ -w file ]
        [ -W filecount ]
        [ -y datalinktype ] 
        [ -z postrotate-command ]
        [ -Z user ] [ expression ]
        -t 显示时间戳
        -X 实现十六进制
        -v 显示详细的报文信息
    proto : ether、ip、ip6、arp、icmp、tcp、udp
    dir : src 、dst
    type : host、net、port、portrange,默认是host
    条件组合:or、and、not
    
    运行范围:用户态
    工作原理:网卡数据 -> BPF-数据包过滤器(工作在协议栈之前) -> tcpdump程序
    
    Q:1、iptables工作在什么层?
        Linux系统中的netfilter工作在协议栈阶段,
       2、那么其他的嵌入式系统的netfilter也是工作在协议栈的吗,其他抓包工具又可以抓到那个位置的数据呢?
    
    使用示例指令:
        不带参数:
            tcpdump
                抓取第一个非lo网卡的所有数据包
        指定网卡:
            tcpdump -i eth0
        -n 不解析主机和端口号:
            tcpdump -n -i eth0 
        指定type:    
            tcpdump -ni eth0 host 192.168.1.1
                host 为指定IP的所有数据包
        指定dir:
            tcpdump -ni eth0 src host 192.168.1.1
                src host 指定源IP的数据包
            tcpdump -ni eth0 dst host 192.168.1.1
                dst host 指定目的IP的数据包
        指定数据包个数:
            tcpdump -ni eth0 -c 10 host 192.168.1.1
            tcpdump -ni eth0 -c 10 dst host 192.168.1.1
                -c 指定源IP的数据个数
        指定端口:
            tcpdump -ni eth0 dst port 22
                port 指定网卡端口数据包
            tcpdump -ni eth0 portrange 80-8089
                eth0上过80-8089端口的数据包
        指定协议:
            sudo tcpdump -ni eth0 -c 5 icmp 
                指定5个ICMP数据包
            tcpdump -ni eth0 ip6
            tcpdump ip proto 6  //ip数据报中的tcp数据包
        指定网段:
            sudo tcpdump -ni eth0 net 192.168.1.2/24
        
        条件组合:or、and、not
            sudo tcpdump -ni eth0 src 192.168.10.210 and dst port 8080
            sudo tcpdump -ni eth0 src 192.168.10.210 and not dst port 8080
            sudo tcpdump -ni eth0 src net 192.168.1.0/16 and dst net 192.168.10.210 
            抓取特殊标志的数据包:
                抓取某主机发送的RST包:
                sudo tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-rst) != 0'
                sudo tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-syn) != 0'
                sudo tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-fin) != 0'
                sudo tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0'
                sudo tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply' //抓取所有ping的ICMP数据包
                sudo tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' //过滤还有数据的网络包
                sudo tcpdump  -ni eth0 'tcp[20:2]=0x4745 or tcp[20:2]=0x4854' //0x4745 get前两个字符, 0x4854 http 前两个字符

回首已是叶落时
关注
专栏目录
运维系列:tcpdump命令详解
weixin_54626591的博客
01-04 6469
tcpdump命令详解
linux tcpdump
weixin_33709219的博客
11-11 86
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.  第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, ds...
Linux常用命令】tcpdump使用讲解
L李钟意的博客
08-25 195
tcpdump 用简单的语言概括就是dump the traffic on a network,是linux环境下抓包工具,可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕,也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题。
tcpdump常用命令
weixin_30780649的博客
01-11 171
下面的例子全是以抓取eth0接口为例,如果不加”-ieth0”是表示抓取第一块网卡。 首先安装tcpdump包:yuminstall-ytcpdump 1、抓取包含172.16.1.122的数据包 #tcpdump-ieth0-vnnhost172.16.1.122 2、抓取包含172.16.1.0/24网段的数据包 #tcpdump-ieth0...
Tcpdump命令介绍
haoyuxuanyuan的博客
03-04 8282
TCPdump是一种在Unix/Linux系统下运行的命令行网络抓包工具。它能够截获数据包并将其以文本形式输出,用户可以使用各种过滤器对数据包进行筛选,从而实现对网络流量的监控、分析和故障排除等功能。TCPdump常用命令:1、tcpdump -i:指定抓取的网络接口。2、tcpdump -c:指定抓取的数据包数量。3、tcpdump -n:不解析IP和端口号。4、tcpdump -s:设置抓包的数据包大小。5、tcpdump -X:以十六进制和ASCII码形式输出数据包内容。
tcpdump命令详解
鸿鹄和荒的博客
08-13 3558
TcpDumpLinux中强大的网络数据采集分析工具之一。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。它支持针对网络层、协议、主机、网络或端口的过滤,并提供not、and、or等逻辑语句来帮助你去掉无用的信息。普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。tcpdump的总的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数。
tcpdump指令参数
07-27
tcpdump 是一个常用的网络抓包工具,用于在命令行下捕获和分析网络数据包。它支持多种参数来指定抓包的条件和输出格式。以下是一些常用的 tcpdump 参数: 1. `-i`:指定要监听的网络接口,例如 `-i eth0`。 2. `-n`...
tcpdump 指令抓包 导出
04-05
抓包并导出文件的指令如下: ``` tcpdump -i [interface] -w [file name] ``` 其中,`-i`参数指定网卡接口;`-w`参数指定输出的文件名。 例如,抓取eth0网卡上的所有数据包,并将结果保存到文件`capture.pcap`中...
tcpdump指令可以实现的功能
05-31
tcpdump是一个非常强大的网络抓包工具,它可以实现以下功能: 1. 抓取网络数据包:tcpdump可以在网络上抓取数据包,并将其存储在文件中供后续分析。 2. 显示网络数据包:tcpdump可以将抓取到的网络数据包实时显示...
tcpdump 指令抓包举例
04-05
sudo tcpdump -i eth0 -nnvvS -s 0 tcp port 80 ``` 解释一下各个参数的含义: - `-i eth0`:指定要抓取的网卡为 eth0。 - `-nnvvS`:打印详细的抓包信息,包括源/目的地址和端口、协议头部等。 - `-s 0`:设置...
Linux怎么用tcpdump指令获取指定ip的流量速率
最新发布
09-26
Linux系统上,你可以使用`tcpdump`工具来抓取网络数据包并分析,包括查看特定IP地址的流量速率。不过,`tcpdump`本身并不直接提供实时的流量速率信息。为了得到流量速率,你需要结合其他工具如`iftop`或`nethogs`...
TCPDump抓包命令详解:网络分析的强大工具
xmp65535的博客
06-26 1653
网络管理和故障排除中,实时监控和分析网络流量是至关重要的。TCPDump 是一个强大的命令行工具,它允许用户捕获和分析通过网络接口的原始数据包。本文将详细介绍如何在 CentOS 操作系统中安装和使用 TCPDump,以及如何通过它来诊断和解决网络问题。
Tcpdump 详解(抓包)
weixin_46837396的博客
10-07 2197
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息包的代码以c语言程序段的
tcpdump详解&实战
my的博客
05-03 2110
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
最全的tcpdump使用详解
玩IT的川
03-01 5228
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump命令
wdirdo的博客
10-22 2011
tcpdump tcpdump命令介绍 tcpdump,用简单的语言概括就是dump the traffic on a network,是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有sniffer等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的...
tcpdump(1) command
Dablelv 的博客专栏。
06-24 2994
1功能 tcpdump是一款类Unix环境下的抓包工具,允许用户截获和显示发送或收到的网络数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 2.命令格式 tcpdump [ -AbdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_secon...
tcpdump
初阳
01-15 281
tcpdump [ -AdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值