【Linux常用命令】tcpdump使用讲解

已于 2024-08-25 15:17:38 修改
阅读量144 收藏 5
点赞数 5
分类专栏: Linux常用命令 文章标签: linux tcpdump 网络
于 2024-08-25 15:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57414752/article/details/141529360
版权

tcpdump 命令介绍

tcpdump 用简单的语言概括就是dump the traffic on a network,是linux环境下抓包工具,可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕,也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题

1.语法

tcpdump语法:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
               [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
               [ -T 类型 ] [ -w 文件名 ] [表达式 ]

2.参数介绍

# 常规参数介绍:
 
 -A 以ASCII格式打印出所有分组,并将链路层的头最小化。
 
-c 在收到指定的数量的分组后,tcpdump就会停止。
 
-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
 
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
 
-dd 将匹配信息包的代码以c语言程序段的格式给出。
 
-ddd 将匹配信息包的代码以十进制的形式给出。
 
-D 打印出系统中所有可以用tcpdump截包的网络接口。
 
-e 在输出行打印出数据链路层的头部信息。
 
-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
 
-f 将外部的Internet地址以数字的形式打印出来。
 
-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。
 
-i 指定监听的网络接口。
 
-l 使标准输出变为缓冲行形式,可以把数据导出到文件。
 
-L 列出网络接口的已知数据链路。
 
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
 
-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
 
-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
 
-n 不把网络地址转换成名字。
 
-nn 不进行端口名称的转换。
 
-N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
 
-t 在输出的每一行不打印时间戳。
 
-O 不运行分组分组匹配(packet-matching)代码优化程序。
 
-P 不将网络接口设置成混杂模式。
 
-q 快速输出。只输出较少的协议信息。
 
-r 从指定的文件中读取包(这些包一般通过-w选项产生)-S 将tcp的序列号以绝对值形式输出,而不是相对值。
 
-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
 
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
 
-t 不在每一行中输出时间戳。
 
-tt 在每一行中输出非格式化的时间戳。
 
-ttt 输出本行和前面一行之间的时间差。
 
-tttt 在每一行中输出由date处理的默认格式的时间戳。
 
-u 输出未解码的NFS句柄。
 
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
 
-vv 输出详细的报文信息。
 
-w 直接将分组写入文件中,而不是不分析并打印出来。

3.tcpdump应用案例

1、想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
[root@dodo ~]# tcpdump host 210.27.48.1

2、想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令
[root@dodo ~]# tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3)

3、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
[root@dodo ~]# tcpdump ip host 210.27.48.1 and ! 210.27.48.2

4、如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
[root@dodo ~]# tcpdump tcp port 23 host 210.27.48.1

5、通过服务端口抓包查看
tcpdump –i eth0 –nn –tttt –vvAls0 port 8003

-i: 指定监听的网卡
-nn: 不转化主机名和端口名,直接用数字
-tttt: 每行加上易读的时间戳
-vv: 详细输出
-A: 用ASCII打印每一个包
-l: 标准输出使用行缓存,结合grep等命令时有用
-s: 设置每个包抓取的长度,使用0表示尽可能多的(默认262144字节)

L李钟意
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tcpdump 详解(抓包)
weixin_46837396的博客
10-07 2032
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息包的代码以c语言程序段的
Linuxtcpdump最详细使用指南
xy8310292的博客
07-21 2115
今天要给大家介绍的一个Unix下的一个,也就是我们常说的抓包工具。与它功能类似的工具有,不同的是,wireshark有图形化界面,而tcpdump则只有命令行。可以用wireshark读取生成的pcap文件,用wireshark的图形化界面分析tcpdump结果数据。...
tcpdump抓包命令
sunshine716的专栏
11-06 1519
           tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。    tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设...
tcpdump命令以及简单使用
super_m@n的博客
09-11 1043
0*00首先给出参数: root@kali:~# tcpdump -h tcpdump version 4.9.2 libpcap version 1.9.0 (with TPACKET_V3) OpenSSL 1.1.1c 28 May 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] ...
tcpdump抓包规则命令大全
牛角书生的专栏
11-27 1145
原文地址 说是大全其实我列取得只是一些常用的命令与大家分享。 下面的例子全是以抓取eth0接口为例,如果不加”-i eth0”是表示抓取所有的接口包括lo。 1、抓取包含10.10.10.122的数据包  # tcpdump -i eth0 -vnn host 10.10.10.122 2、抓取包含10.10.10.0/24网段的数据包 # tcpdump
Linux-tcpdump命令详细讲解.doc
10-12
Linux tcpdump 命令详解 tcpdump 是一个功能强大的网络数据包嗅探工具,能够对网络中的数据包进行截获和分析。它支持对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助用户过滤无用的...
Linux基础学习之利用tcpdump抓包实例代码
01-09
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 网络数据包截获分析工具。支持针对网络层、协议、主机、网络...
Linux基础课件网络测试命令traceroute命令共1
最新发布
11-22
在“Linux基础课件网络测试命令traceroute命令共10页.pdf.zip”这个压缩文件中,可能包含了关于traceroute命令的详细讲解,包括其工作原理、常用选项、命令用法以及实际案例分析。这些内容可能覆盖了以下知识点: 1...
Linux命令基础使用
m0_63171455的博客
12-18 824
这篇文章主要介绍了Linux命令基础使用,主要讲解Linux命令基本使用,并带认识一些最基础的Linux命令使用。具有一定的参考价值,需要的小伙伴可以参考一下,希望给对你有所帮助。编程学习资料白嫖点击 1.基础知识 当我们打开终端时,终端软件会为我们打开一个shell软件,这个shell会显示一个提示符,然后等待用户输入命令,类似下面这个: 然后我们就可以在这个界面中执行Linux命令了,shell做为一个命令解释器,它会解释并执行用户输入的命令。 这种shell有多种,如sh、csh、tcs
Linux系统 tcpdump 抓包命令
qq_28807077的博客
03-08 1981
原文链接:https://zhuanlan.zhihu.com/p/74812069   tcpdumpLinux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   本教程对tcpdump命令使用进行讲解说明,通过本教程您可以学会linux系统下使用tcpdump命令进行网络抓包,实现对数据包进行捕获分析。 tcpdump 命令格式介绍   首先我们对Linux系统下tcp
tcpdump抓包
热门推荐
mayue_web的博客
10-31 2万+
1、简介 Tcpdumplinux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
tcpdump
weixin_34387284的博客
05-29 533
转载自:http://www.cnblogs.com/ggjucheng/ 简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等...
TCPdump抓包命令详解
weixin_34248849的博客
09-23 3801
TCPdump抓包命令tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和***者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普...
Linux网络监控:tcpdump命令深度解析
Linux环境中,tcpdump网络管理员和开发者常用的一款工具,它能够实时捕获网络接口上的数据包,并根据预设规则进行分析。tcpdump的名称由"tcp"和"dump"两部分组成,意味着它可以抓取TCP协议以及其他网络协议的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值