TCPDUMP学习记录

已于 2022-05-23 15:41:07 修改
阅读量216 收藏
点赞数
文章标签: 网络 tcpdump
于 2022-05-23 15:33:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53320067/article/details/124928110
版权

TCPDUMP学习记录

tcpdump提供常用命令,用于抓取网络层数据。在linux环境下常用tcpdump抓取网络层数据,然后保存为.cap文件,将数据文件导入Wireshark(网络数据分析工具)进行分析

  1. 安装tcpdump

    [root@hadoop104 ~]# yum install tcpdump

#截获某IP的主机的网络数据包
tcpdump host 192.168.126.129

#抓10万个包,存在test.txt文件里,-n的意思是不对原地址和目的地址进行DNS查询
tcpdump -c 100000 -w /home/qiyou/Desktop/test001.txt -n

#-r是读文件,-X是以ASCII码显示内容。-VV是以详细的报文信息显
tcpdump -r /home/qiyou/Desktop/test001.txt -X -vv

#tcpdump为了方便wireshark工具认识,保存的文件名是xx.cap后缀
tcpdump -nn -s 0 host 192.168.126.129 and port -80 -w wire1.cap

#使用tcpdump只抓取http包
tcpdump -XvvennSs 0 -i ens33 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

#tcpdump抓取具体某个网页的数据包
tcpdump -s 0 tcp port 80 -w test002.cap

#实践:1.打开firefox之后,输入www.sohu.com,先不运行
tcpdump -s 0 tcp port 80 -w test002.cap
#再刷新页面
#做过测试,firefox没有输入任何命令时,抓取的数据包为0
#用wireshark——open打开,并用statistic来统计

#-w 选项用来把数据报文输出到文件
tcpdump -i ens33 -s0 -w test.pcap

  2. 抓取所有经过指定网络接口上的数据包

    测试:抓取ens33网卡接口 tcp协议 100个tcp报文 并将抓取的报文写入到tcpdump.cap文件

    便于使用wireshark进行离线分析;如果网卡接口eth1抓取不到报文,可能机器的流量走的是网卡接口eth0

    [root@hadoop104 ~]# tcpdump tcp -i ens33 -c 100 -w tcpdump.cap 
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
^C2 packets captured
3 packets received by filter
0 packets dropped by kernel

    在这里插入图片描述

    (抓取成功但不完整)
    在这里插入图片描述

    tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内核,并且完成了路由选择。【比如本机的TCP通信,也必须要socket通信的基本要素:src ip port dst ip port】

  3. 想抓取访问某个网站时的网络数据。比如网站 http://www.baidu.com/

    • 通过tcpdump截获主机www.baidu.com发送与接收所有的数据包

      tcpdump -i ens33 host www.baidu.com

      在这里插入图片描述

    • 访问百度

      wget www.baidu.com

      在这里插入图片描述

    • 想要看到详细的http报文,并将抓取到的结构存入文件

      [root@hadoop104 demo01]# tcpdump -A -i ens33 -w baidu.cap host www.baidu.com

#访问
[root@hadoop104 demo01]# wget www.baidu.com

      在这里插入图片描述

    • 查看http请求和响应的方法

      上面红色为请求信息,下面蓝色为响应 信息
      在这里插入图片描述

柒柚jun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用TCPDUMP(持续。。。)
Megahertz66的博客
01-12 294
How To Use Tcpdump Parameter Description -i specify the network card. (E.g eth0) -c specify the numbers of packets that the Tcpdump can capture -v it can produce more detailed data -e it can pr...
tcpdump 抓包记录
sy13718580212的博客
03-29 310
tcpdump 抓包使用记录 针对单个ip抓包 tcpdump -s 0 -w /tmp/test.cap host ip node01 测试22端口 测试抓包 针对网段抓包 tcpdump -s 0 -w /tmp/test.cap src net ip/掩码 node01 测试22端口 node02 测试抓包 ...
tcpdump记录
qq_43797634的博客
02-25 1811
# 监视eth1 tcpdump -i eth1 # 打印所有www.baidu.com相关的包 tcpdump host www.baidu.com tcpdump host 192.168.0.1 # 打印 nn1和nn2或nn3 主机间通信的包,这里可以替换成ip tcpdump host nn1 and \( nn2 or nn3 \) # 打印nn1和非nn2之间的ip数据包 tcpdump ip host nn1 and not nn2 # 发送者是nn1的数据包 tcpdump -i eth0
tcpdump 使用记录
jsd2root的博客
06-09 248
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实用命令实例 默认启动 tcpdump 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1
抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 4908
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
Tcpdump学习笔记.docx
07-03
Tcpdump学习笔记》 Tcpdump是一款强大的网络数据包捕获工具,广泛应用于类UNIX系统,主要用于网络分析和故障排查。其核心功能是能够实时截取网络中的数据包,并将其内容输出,帮助用户理解网络流量的模式,检测...
tcpdump_exe.zip
09-01
tcpdump是Linux系统中常用的网络数据包分析工具,它能够捕获网络上的数据包并进行解析,对于网络故障排查、网络安全分析以及协议学习等场景有着重要作用。本压缩包"tcpdump_exe.zip"包含了针对不同架构的tcpdump工具...
TCPDUMP抓包程序
10-07
TCPDUMP通过监听网络接口,记录下通过该接口的所有TCP数据包,包括源和目标IP地址、端口号、数据包内容以及相关的TCP标志(如SYN、ACK、FIN等)。这些信息对于调试网络应用、优化网络性能和识别潜在的安全问题至关...
tcpdump源码
04-07
tcpdump的源码提供了对底层网络协议的洞察,使用户能够定制功能或者学习网络协议的工作原理。 在tcpdump的源码中,我们可以看到以下几个核心概念和技术: 1. **数据包捕获库(libpcap)**:tcpdump依赖于libpcap库...
Linux基础学习之利用tcpdump抓包实例代码
09-15
Linux中的tcpdump是一款强大的网络封包分析软件,它允许用户实时监控网络通信或者将网络封包数据记录到文件中以供后期分析。tcpdump的工作原理是读取网络接口层的数据,解析并显示网络封包的详细信息。由于其功能...
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump专项
sf_jiang的博客
07-15 596
一,tcpdump的选项介绍:    -a    将网络地址和广播地址转变成名字;    -d    将匹配信息包的代码以人们能够理解的汇编格式给出;    -dd    将匹配信息包的代码以c语言程序段的格式给出;    -ddd    将匹配信息包的代码以十进制的形式给出;    -e    在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;    -f    将外部的Internet地址以数字的形式打印出来;    -l    使标准输出变为缓冲行形式;
聊聊 tcpdump 与 Wireshark 抓包分析
juary_的专栏
06-24 4234
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
linux下如何使用 tcpdump 进行抓包详细教程
ss810540895的博客
10-13 3178
今天要给大家介绍的一个 Unix 下的一个,也就是我们常说的。与它功能类似的工具有,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。由于我本人更习惯使用命令行的方式进行抓包,因此今天先跳过 wireshark,直接给大家介绍这个神器。
Wireshark抓取本机报文
Walter的专栏
02-10 1万+
在进行通信开发的过程中,我们往往会把本机既作为客户端又作为服务器端来调试代码,使得本机自己和自己通信。但是wireshark此时是无法抓取到数据包的,需要通过简单的设置才可以。       具体方法如下:       ①:以管理员身份运行cmd       ②:route add 本机ip mask 255.255.255.255 网关ip       for example route
tcpdump本机抓包
capa2006的专栏
03-31 1万+
<br />在进行网络测试 的时候,我们经常需要进行抓包的工作,当然有许多测试 工具可以使用,比如sniffer, ethreal等.但最为方便和简单得就非TCPDump莫属. Linux的发行版里基本都包括了这个工具. TCPDump网络接口设置成混杂模式以便捕获到达的每一个数据包.下面给出TCPDump的部分常用选项: <br />-i <interface> 指定监听的网络接口<br />-v 指定详细模式输出详细的报文信息<br />-vv 指定更详细模式输出更详细的报文信息<br />-x
tcpdump详解
qq_51574197的博客
04-26 8万+
一、Tcpdump简介 Tcpdum是Linux上强大的网络数据采集分析工具 1.1 第一种类型的关键字:host net port host 210.27.48.3指明 210.27.48.3是一台主机 net202.0.0.0 指明202.0.0.0 是一个网络地址 port 23 指明端口23 1.2 第二种确定传输方向的关键字,主要包括 src,dst,dst or src,dst and src。这些关键字指明了传输的方
tcpdump和Wireshark有什么区别?
最新发布
06-26
- **学习曲线**:对于新手来说,Wireshark的学习曲线较陡,但一旦熟悉,能进行深度网络分析。 - **社区支持**:由于其用户友好,Wireshark拥有庞大的开发者和用户社区,资源丰富。 **相关问题--:** 1. tcpdump...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值