tcpdump参数及使用介绍(转)

最新推荐文章于 2023-11-02 16:01:24 发布
最新推荐文章于 2023-11-02 16:01:24 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux 文章标签: tcpdump linux 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tinyletero/article/details/38256821
版权

原文地址:http://dogdogcom.blog.51cto.com/2402458/490398

tcpdump的参数介绍

   -a    将网络地址和广播地址转变成名字;
   -d    将匹配信息包的代码以人们能够理解的汇编格式给出;
   -dd     将匹配信息包的代码以c语言程序段的格式给出;
   -ddd   将匹配信息包的代码以十进制的形式给出;
   -e    在输出行打印出数据链路层的头部信息;
   -f     将外部的Internet地址以数字的形式打印出来;
   -l     使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t     在输出的每一行不打印时间戳;
   -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
   -vv     输出详细的报文信息;
   -c    在收到指定的包的数目后,tcpdump就会停止;
   -F      从指定的文件中读取表达式,忽略其它的表达式;
   -i     指定监听的网络接口;
   -r    从指定的文件中读取包(这些包一般通过-w选项产生);
   -w     直接将包写入文件中,并不分析和打印出来;
   -T     将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
          -p           指定协议tcp,udp,icmp,arp
          -s           指定捕获数包字的大小,单位byte,默认96最大65536


可使用关键字:
协议,-p tcp,udp,icmp,arp等
数据包:dst,src,port,dst port,src port,host
运算符:or and not(!)
多条件:dst \(172.16.1.1 or 172.16.1.13 \) 用括号及\转义
在进行嗅探的时候,必须置于混杂模式才能嗅探,系统会有日志记录
grep "promiscuous" /var/log/messages //混杂模式
用TCPDUMP捕获的TCP包的一般输出信息是:
  src.port > dst.port: flags data-Seq ack win urgent options
  src.port > dst.port: 源地址.源端口 到 目的地址.目的端口
       flags:                 TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH)
                           R (RST) "." (没有标记)
    
      data-Seq:      是数据包中Sequence number(顺序号码)
      ack:              Acknowledge number(确认号码) 
      window是接收缓存的窗口大小, 
      urgent表明数据包中是否有紧急指针.
注tcp标志位:
SYN(synchronous建立联机) ACK(acknowledgement 确认) 

PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)


查看icmp包:
1,tcpdump -i eth0 -p icmp    (and src 192.168.1.xxx)

查看广播包:


2,tcpdump -i eth0 -p broadcast

查看arp包


3,tcpdump -i eth0 -p arp


4,tcpdump -X -i eth0 -p tcp port 21 //嗅探21端口数据并解包
获取ftp密码实例:
tcpdump -X -i eth0 -p tcp port 21 > 21.log &
cat 21.log | grep "USER\."
cat 21.log | grep "PASS\."
更精确的嗅探:
嗅探从172.16.1.1到172.16.1.2端口为21的数据包:

tcpdump -i eth0 -X -tnn -p tcp and src 172.16.1.1 and dst 172.16.1.2 and port 21


5.tcpdump -X -n -p tcp dst port 80 //嗅探80端口数据,并解包 (加-t就不显示时间)


6.tcpdump -i eth0 host 202.96.128.68 //指定主机


7,//嗅探从172.16.1.2到172.16.1.1 或者172.16.1.13的数据包

tcpdump -i eth0 -tnn src 172.16.1.2 and dst \(172.16.1.1 or 172.16.1.13 \)


8,利用tcpdump统计各类数据包:
//统计1000个数据包中的ip连接量,并按从多到少的顺序排序,列出前3名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}' | sort | uniq -c |sort -nr | head -n 3//按从大到小的顺
序排序并列出并三名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}' | sort | uniq -c | awk '$1 > 100'//显示大于100数据包
sort:排序 -nr 从大到小 -rn 从小到大
uniq -c:过滤重复并在前面打印重复的行数
awk '$1 > 100':如果$1参数(数字)大于100

head -n 3:显示头3行


9,tcpdump -i eth0 -tnn host 192.168.1.100 and -p tcp or udp or icmp    //嗅探所有 tcp,udp,icmp消息所不转换网络名称(加快速度)


10,嗅探dhcp服务器的ip(捕获非法DHCP Server):
tcpdump -i eth0 -tnn port 67
然后用dhclient eth0进行dhcp请求,捉dhcp server的ip地址
或者直接看日志啦cat /var/messages | grep "DHCPACK from"
aletero
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linuxtcpdump命令解析及使用详解
01-09
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议...
网桥发LACP报文的方法(不用重新编译内核!)
echoecho的博客
05-18 1314
网桥发LACP报文的方法 编译并替换内核中的bridge模块 测试LACP报文能否被网桥发 参考资料 在《Linux 网桥支持LACP 报文透传的解决方法》一文中提到LACP协议使用的MAC地址01:80:c2:00:00:02是IEEE 802.1D中定义的“MAC桥接过滤MAC组地址”,也就是说这些地址(01:80:c2:00:00:xx)是不会被网桥发的。 可以使用echo ${group_fwd_mask} > /sys/class/net/br0/bridge/group_fwd_
tcpdump 抓两个地址的数据_网络/命令行抓包工具tcpdump详解
weixin_35097945的博客
01-05 4704
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要roo...
内核调试技巧-逆向寻踪,揭开 LACP 协议流程的神秘面纱
腾讯技术工程
10-08 3621
作者:wqiangwang,腾讯 TEG 后台开发工程师本文通过“Kni 映射到内核的接口未能发送 LACP 报文导致 bond 不能聚合”这个问题,来探索内核调试中,对于正在运行的内核,...
tcpdump 抓包工具
MssGuo的博客
10-07 819
tcpdump 命令的使用
Linux网络】Linux网络抓包工具tcpdump
程序员笔记
11-02 361
tcpdump 是一个Linux的网络抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。
tcpdump参数详解[总结].pdf
10-12
tcpdump参数详解[总结].pdf
tcpdump使用详解
03-23
tcpdump使用详解,各种参数使用说明,内部培训资料。
tcpdump使用说明
08-31
tcpdump查看数据包使用说明,及各参数的含义。本文主要是收集网络上使用
linux系统下使用tcpdump进行抓包方法
01-20
1.常见参数 tcpdump -i eth0 -nn -s0 -v port 80 -i 选择监控的网卡 -nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度 -s0 捕获长度无限制 -v 增加输出中显示的详细信息量 port 80 端口过滤器,只...
LACP学习笔记
07-07
LACP学习笔记
TCPDUMP(命令行操作)-抓包、筛选、高级筛选、过程文档记录
热门推荐
含笑
05-15 8万+
TCPDUMP No-GUI的抓包分析工具 Linux、Unix系统默认安装TCPdump—–抓包 抓包 默认只抓68个字节 tcpdump -i eth0 -s 0 -w file.pcap tcpdump -i eth0 port 22 读取抓包文件 Tcpdump -r file.pcap选项介绍-A 以ASCII格式打印出所有分组,并将链路层的头最小化
tcpdump抓包(一)
leechm的博客
07-28 2621
这里我们学习的是tcpdump抓包 默认情况不加参数tcpdump抓包的话只抓每个数据包的前68个字节,也就是通常情况下抓完整的tcp,ip还有二层包头信息。当然我们如果要进行数据深入的分析的话,还是远远不够的,68个字节只能知道从哪里传到哪里以及端口信息。如果想要抓取完整的信息,还是需要借助一些参数使用。 我这里宿主机hosts文件是 [root@master1 ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain loca
tcpdump 抓包
GNNUXXL的专栏
04-17 3211
Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID。17、抓取源ip是192.168.1.100且目的端口是22,或源ip是192.168.1.102且目的端口是80的数据包。-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。
tcpdump抓包命令详解大全
ljbcharles的专栏
12-31 6万+
tcpdump的命令参数类型: tcpdump选项可划分为四大类型:控制tcpdump程序行为,控制数据怎样显示,控制显示什么数据,以及过滤命令。
如何使用tcpdump命令抓包
精益求精,永无止境,永远在路上!
10-19 5619
小伙伴们,让我们一起来学习如何使用tcpdump命令抓包
LACP抓包分析结果
嵌入式世界的专栏
08-18 1万+
LACP抓包分析结果 今天利用wireshark来抓LACP包,分析的结果如下: 1、实验环境 两台交换机:分别是IP-COM/G3224T、H3C/S5024E; MAC:IP-COM的是00B0-4C00-079E,H3C的是000F-E2B9-B221; 汇聚组选择:IP-COM是选择1、2、3作为汇聚组,华三的是10、12、14作为汇聚组。 2、实验介绍: 2.1、实验一
抓取Android & Linux网络包
chuifuhuo6864的博客
11-16 257
tcpdump -vv -s 300 -w /sdcard/capture.pcap root@android :/ # tcpdump --h tcpdump --h tcpdump version 3.9.8 libpcap version 0.9.8 Usage: tcpdump [-...
linux 开启LACP 单端口,如何在内核级别诊断Linux LACP问题?
weixin_39951181的博客
05-01 431
是否存在Linux绑定驱动程序的基础管理或诊断接口,以确定内部发生了什么?多年来,我一直在Linux机箱和Cisco交换机之间使用链路聚合.在设置新的方框时,我会定期遇到死胡同,而Linux方面根本不响应Cisco LACP数据包.我一丝不苟地遵循每个服务器的严格说明,但结果似乎有所不同.无论绑定是包含一个从属还是八个,tcpdump都会在所有绑定接口上显示来自交换机的LACP数据包,并且不会传回...
tcpdump 参数
最新发布
02-20
tcpdump是一个常用的网络抓包工具,可以用于捕获和分析网络数据包。它提供了许多参数来过滤和控制抓包的行为。以下是一些常用的tcpdump参数介绍: 1. -i:指定要监听的网络接口,例如-i eth0表示监听eth0接口上的数据包。 2. -s:指定要捕获的数据包的最大长度,例如-s 1500表示捕获最大长度为1500字节的数据包。 3. -c:指定要捕获的数据包数量,例如-c 10表示只捕获10个数据包后就停止。 4. -w:将捕获到的数据包写入文件,例如-w capture.pcap表示将数据包写入capture.pcap文件。 5. -r:从文件中读取数据包进行分析,例如-r capture.pcap表示从capture.pcap文件中读取数据包。 6. -n:禁用DNS解析,将IP地址显示为数字形式而不是主机名。 7. -X:以十六进制和ASCII码形式显示数据包的内容。 8. -v:显示详细的输出信息,包括每个数据包的头部信息。 9. -q:以更简洁的方式显示输出信息。 10. 表达式:可以使用表达式来过滤要捕获的数据包,例如host 192.168.1.1表示只捕获与主机192.168.1.1有关的数据包。 这些只是tcpdump的一些常用参数,还有更多参数可以根据具体需求进行使用。希望以上信息对您有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值