TCPDump 使用教程

最新推荐文章于 2024-05-09 10:37:05 发布
最新推荐文章于 2024-05-09 10:37:05 发布
阅读量1.3k 收藏 15
点赞数 26
文章标签: tcpdump 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41661843/article/details/136379825
版权

       每次服务器网络不通的时候,总会听到一个声音,你去抓包啊,那这里就来介绍下TCPDump,一款强大的网络分析工具,可以捕获网络上的数据包,并进行分析。这款工具在网络管理员和安全专家中非常受欢迎。

一、安装 TCPDump

在大多数 Linux 发行版中,TCPDump 已经预装在系统中。如果你的系统中没有安装,可以使用包管理器进行安装。

对于基于 Debian 的系统(如 Ubuntu),可以使用以下命令安装:

apt-get update
apt-get install tcpdump


对于基于 RPM 的系统(如 CentOS),可以使用以下命令安装:

yum update
yum install tcpdump


二、基本用法

要开始捕获数据包,只需在终端中输入 tcpdump 命令。不过,如果不加任何参数,TCPDump 会捕获所有接口上的所有数据包,这通常会产生大量的输出。因此,通常我们会使用一些参数来限制捕获的数据。

1、指定网络接口

使用 -i 参数来指定一个网络接口:

[root@localhost ~]# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:10:58.590695 IP 10.115.0.110.pipe_server > 255.255.255.255.servserv: UDP, length 369
20:10:58.590869 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 66:96:66:66:66:66 (oui Unknown), length 548
20:10:58.598864 IP 10.115.0.110.pipe_server > 255.255.255.255.servserv: UDP, length 409

这个命令会捕获在 eth1 接口上的所有数据包。

2、解析

第一个数据包:

时间戳:20:10:58.590695
源 IP 地址和端口:10.115.0.110.pipe_server
目的 IP 地址和端口:255.255.255.255.servserv
协议:UDP
数据长度:369 字节
解析:这是一个 UDP 数据包,从 IP 地址 10.115.0.110 发送到广播地址 255.255.255.255。源端口被解析为 pipe_server,目的端口被解析为 servserv。这可能是一个服务发现或配置广播。
第二个数据包:

时间戳:20:10:58.590869
源 IP 地址和端口:0.0.0.0.bootpc
目的 IP 地址和端口:255.255.255.255.bootps
协议:BOOTP/DHCP
请求:来自 MAC 地址 66:96:66:66:66

3、捕获特定数量的数据包

使用 -c 参数来指定要捕获的数据包数量:

tcpdump -c 10 -i eth0

这个命令会捕获在 eth0 接口上的前10个数据包。


4、使用过滤器

TCPDump 允许使用过滤器来限制捕获的数据包。可以只捕获特定端口的数据包 port 9999 :

-nn:这个选项告诉 TCPDump 不要解析主机名(第一个 n)和端口名(第二个 n)。也就是说,它会显示 IP 地址和端口号,而不是尝试将它们解析为主机名和服务名。这可以减少查找和显示时间,特别是在 DNS 响应慢或不可用时。

-v:这个选项增加了输出的详细程度。它会显示更多的包头信息,例如在 IP 层,它会显示服务类型(TOS)、总长度和标识等信息。

-e:这个选项告诉 TCPDump 在输出的每一行中包含数据链路层的头部信息,例如源 MAC 地址和目的 MAC 地址

[root@localhost ~]# tcpdump -nnve -i eth1 -c 1 port 9999
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:16:13.153123 fe:fc:fe:5e:fd:0c > 9c:3a:9a:af:53:d9, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 34804, offset 0, flags [DF], proto TCP (6), length 60)
    10.115.20.110.35838 > 93.205.23.98.9999: Flags [S], cksum 0x943e (incorrect -> 0x861d), seq 3473184019, win 29200, options [mss 1460,sackOK,TS val 2444563175 ecr 0,nop,wscale 7], length 0
1 packet captured
2 packets received by filter
0 packets dropped by kernel

这个数据包是一个 TCP 连接请求,从源主机 10.115.20.110 的端口 35838 发送到目的主机 93.205.23.98 的端口 9999。由于这是一个 SYN 包,它是 TCP 三次握手过程中的第一步,用于建立两个主机之间的连接。

过滤器的其他用法:

ip:只捕获 IP 数据包。
arp:只捕获 ARP 请求和响应。
icmp:只捕获 ICMP 数据包

src:只捕获来自指定源的数据包。
dst:只捕获发送到指定目的地的数据包。
src or dst:捕获来自指定源或发送到指定目的地的数据包。
src and dst:捕获同时满足指定源和目的地的数据包

5、保存和读取捕获的数据包

这个很重要,抓到包之后,可以把这个保存下来,扔给开发脸上,来你要的包,,最最重要的是保存下来之后,可以下载到本地,用wirshark来分析
使用 -w 参数来保存捕获的数据包到一个文件中:

tcpdump -w packets.pcap -i eth1 -c 50



6、高级用法

捕获特定类型的数据包可以指定协议来捕获特定类型的数据包,例如 ICMP、TCP 或 UDP:

tcpdump icmp -i eth0
tcpdump tcp -i eth0
tcpdump udp -i eth0

当然也可以组合过滤器,使用 and、or 和 not 来组合过滤器,例如:

tcpdump -i any 'tcp src port 80 and src host 192.168.1.1'

捕获源 IP 为 192.168.1.1 且端口为 80 的 TCP 数据包。


7、使用 VLAN 过滤器

如果你的网络使用了 VLAN,你可以使用 vlan 关键字来捕获特定 VLAN 的数据包:

tcpdump -i eth0 vlan 100

这个命令会捕获在 eth0 接口上所有 VLAN ID 为 100 的数据包。

三、后言

TCPDump 是一个非常强大的工具,教程只是介绍了它的一些基本用法。要充分利用这个工具,需要对网络协议有深入的了解,并且熟悉 TCPDump 的高级过滤器语法,才能够更有效地使用 TCPDump 来监控和分析你的网络。

qq_41661843
关注
  • 26
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump 命令使用教程
weixin_39374471的博客
02-05 700
Tcpdump 是一款非常强大的命令行工具,用于抓取和分析网络数据包。本教程将带您了解 Tcpdump 的基本使用方法,并通过一些实际示例帮助您更好地了解 Tcpdump
TCPDump抓包工具的使用(附零基础学习资料)
分享Python知识
04-26 440
TCPDump抓包工具的使用(附零基础学习资料)
[Tcpdump] 网络抓包工具使用教程
m0_37383484的博客
01-29 2174
tcpdump网络抓包工具使用教程。它基于libpcap库来抓取网络数据包,它的优点就是易安装、易使用、灵活轻便。
LINUX 抓包工具Tcpdump下载安装(非常详细),从零基础入门到精通,看完这一篇就够了
最新发布
ewii12567的博客
05-09 577
百度网盘地址:提取码:pyck由于tcpdump依赖libpcap因此两个安装包都需要下载。
tcpdump工具的使用
赵凯月的博客
03-03 556
tcpdump
tcpdump使用方法
Stestack的博客
03-05 703
06 对本机的udp 123端口进行监视(123为ntp的服务端口)04 监视所有 发送到主机hostname的数据包。03 截获主机 hostname发送的所有数据。08 打印所有通过网关snup的ftp数据包。05 监视指定主机和端口的数据包。02 监视指定网络接口的数据包。07 监视指定网络的数据包。10 抓取到本机22端口包。09 抓取ping包。
tcpdump的使用方法
休息一下接着来的博客
12-16 7151
tcpdump是Linux中强大的网络数据采集分析工具之一。tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 1. 常用的参数 $ tcpdump # 默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。 $ tcpdump -i eth1 # 【参数】-i,指定网卡,如eth0、eth1。 $
tcpdump的使用
Mosicol的博客
03-03 233
1、安装 上传tcpdump包到Android机器 /data/local/ 安装目录自定义 执行chmod 777 tcpdump命令,赋予可执行权限 2、默认启动 /data/local/tcpdump 3、常用的命令 进入/data/local/路径输入命令 ...
使用tcpdump
05-04
在提供的PPT和视频教程中,可能涵盖了以下内容:tcpdump的基础概念、命令行参数的使用、过滤表达式的编写、常见网络协议的分析,以及如何结合Wireshark这样的图形界面工具进行更深入的分析。这些教程将帮助你从实践...
嗅探器tcpdump使用教程
03-26
自己做的PPT,还有视频教程,有tcpdump的使用方法,命令格式,输出各种协议包结果的分析,有一个抓取telnet包后用wireshark分析的示例
抓包工具-tcpdump
07-14
7. **links.txt文件**:在提供的压缩包中有一个名为`links.txt`的文件,这可能包含了关于如何使用tcpdump或者与其他工具(如links浏览器)结合使用的链接或指南。通常,这种文件可以作为参考手册,提供更多的教程和...
Android下使用TCPDUMP实现数据抓包教程
01-20
本教程将指导你如何在Android设备上安装和使用TCPDUMP来抓取数据包,并通过Wireshark进行后续分析。 首先,为了在Android设备上安装TCPDUMP,你需要获得设备的root权限。这是因为TCPDUMP通常需要对系统目录有写入...
超级详细Tcpdump的用法
Marking的专栏
01-18 1003
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23.如果没有指定类型,缺省的类型是host.  第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
超级详细Tcpdump 的用法
leonnew的博客
08-16 3738
超级详细Tcpdump 的用法 1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n    第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,p...
tcpdump的使用说明
山间明月江上清风的专栏
03-06 288
1,tcpdump未指定网卡时默认监听第一个网卡 2,可以通过-i指定网卡,如: tcpdump -i eth0(如果不想限定网卡,可以使用tcpdump -i any) 3, -w参数可以将网络信息写入文件,如: tcpdump -i eth0 -w net.txt 4, host参数可以指定主机 tcpdump -i eth0 host 127.0.0.1 tcpdump -i ...
tcpdump 详细使用指南(请尽情食用)
热门推荐
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
最全的tcpdump使用详解
玩IT的川
03-01 4717
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
linux下tcpdump的使用简介
rayylee
08-22 686
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支 持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 监视指定网络接口的数据包 tcpdump -
tcpdump示例和教程
简介
01-15 6009
如果您的工作主要依赖互联网,那么网络问题就很常见。解决和排除这些网络问题是一项具有挑战性的任务。在这种情况下,“tcpdump”工具会发挥作用。“tcpdump”是一种有价值且灵活的工具,用于捕获和分析网络流量以解决网络问题。本指南的重点是了解“tcpdump”命令行实用程序的基本和高级用法。但是,如果您觉得这很困难,那么有一个不太复杂的基于 GUI 的程序称为“Wireshark”,它执行几乎相同的工作,但具有各种附加功能。
tcpdump详细教程
05-08
tcpdump是一个非常有用的网络抓包工具,可以用于捕获和分析网络数据包。使用tcpdump可以了解网络中传输的数据包的详细信息,例如数据包的来源IP地址、目标IP地址、端口号、协议类型等。下面是tcpdump的详细教程: 1. 安装tcpdump 使用以下命令在Linux系统上安装tcpdump: ```bash sudo apt-get install tcpdump ``` 2. 使用tcpdump捕获数据包 使用以下命令捕获所有网络接口的数据包: ```bash sudo tcpdump -i any ``` 使用以下命令捕获指定网络接口的数据包: ```bash sudo tcpdump -i eth0 ``` 使用以下命令捕获指定IP地址的数据包: ```bash sudo tcpdump host 192.168.1.1 ``` 3. 分析捕获到的数据包 使用以下命令查看捕获到的数据包: ```bash sudo tcpdump -r <file> ``` 其中,<file>是指保存捕获到的数据包的文件名。可以使用以下命令将捕获到的数据包保存到文件中: ```bash sudo tcpdump -i eth0 -w capture.pcap ``` 使用Wireshark等网络协议分析工具可以打开并分析这个文件。 4. 过滤捕获到的数据包 可以使用tcpdump的过滤器来过滤捕获到的数据包,只显示符合条件的数据包。以下是一些例子: 过滤指定IP地址的数据包: ```bash sudo tcpdump host 192.168.1.1 ``` 过滤指定端口号的数据包: ```bash sudo tcpdump port 80 ``` 过滤指定协议类型的数据包: ```bash sudo tcpdump icmp ``` 5. 相关问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值