[linux] tcpdump抓包案例

最新推荐文章于 2022-12-20 15:51:15 发布
最新推荐文章于 2022-12-20 15:51:15 发布
阅读量168 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taoshihan/article/details/101249350
版权 
1.常见参数
tcpdump -i eth0 -nn -s0 -v port 80

-i  选择监控的网卡
-nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度
-s0  捕获长度无限制
-v  增加输出中显示的详细信息量
port 80 端口过滤器,只捕获80端口的流量,通常是HTTP


2.
tcpdump -A -s0 port 80
-A 输出ASCII数据
-X 输出十六进制数据和ASCII数据

3.
tcpdump -i eth0 udp
udp 过滤器,只捕获udp数据
proto 17 协议17等效于udp
proto 6  等效于tcp

4.
tcpdump -i eth0 host 10.10.1.1
host 过滤器,基于IP地址过滤

5.
tcpdump -i eth0 dst 10.105.38.204
dst 过滤器,根据目的IP过滤
src 过滤器,根据来源IP过滤

6.
tcpdump -i eth0 -s0 -w test.pcap
-w 写入一个文件,可以在Wireshark中分析

7.
tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'
-l 配合一些管道命令的时候例如grep

8.
组合过滤
and or &&
or or ||
not or !

9.
快速提取HTTP UA
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

使用egrep 匹配 UA和Host
tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

10.
匹配GET的数据包
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

匹配POST包,POST的数据可能不在包里
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

11.
匹配HTTP请求头
tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"
匹配一些POST的数据
tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
匹配一些cookie信息
tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

12.
捕获DNS请求和响应
tcpdump -i eth0 -s0 port 53

13.
使用tcpdump捕获并在Wireshark中查看

使用ssh远程连接服务器执行tcpdump命令,并在本地的wireshark分析
ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -

ssh ubuntu@115.159.28.111 'sudo tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -

14.
配合shell获取最高的IP数
tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

15.捕获DHCP的请求和响应

tcpdump -v -n port 67 or 68

 

 

 

 

程序员老狼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linuxtcpdump
01-21
linux
[Linux] 网络工具tshark
程序员老狼专注开发aigc或客服系统应用
05-17 345
tshark是wiresharklinux命令行版 有时候我们想看看具体的协议细节 , 如果是使用的tcpdump 那么还需要把数据下载到本地 , 用wireshark看 这个时候就可以使用tshark apt install tshark centos下直接安装wirekshark , yum install wireshark 取80端口的http协议细节 tshark -s 10...
[网络] 使用wireshark数据
程序员老狼专注开发aigc或客服系统应用
03-31 236
有人针对我公司业务开发了批量注册机,本来想要分析下看看调用的哪个我们的接口,之前测试过ethereal , windows系统下使用最多的还是wireshark进行 , 使用方式也很简单 1. 打开以后选择对应的网卡 2. 然后就可以开始数据了 过滤器选择http就可以看到它调用的接口 , 这里是先去某些手机号平台获取手机号 由于我没有这些平台的账号 , 因此就...
tcpdump 案例精选
huhanfu
01-06 160
例1:arp故障 故障现象:局域网中的一台采用solaris操作系统的服务器A-SERVER网络连接不正常,从任意主机上都无法ping通该服务器。 排查:首先检查系统,系统本身工作正常,无特殊进程运行,cpu,内存利用率正常,无挂接任何形式的防火墙,网线正常。 此时我们借助tcpdump来进行故障定位,首先我们将从B-CLIENT主机上执行ping命令,发送icmp数据给A-SER...
tcp链接的几种状态&tcpdump
weixin_34411563的博客
06-08 395
linux服务器上的11种tcp状态   说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手 里面的几个概念: SYN: (同步序列编号,Synchronize Sequence Numbers)ACK: (确认编号,Acknowledgement Number)FIN: (结束标志,FINish) TCP三次握手(创建 OPEN) ...
tcpdump使用案例
weixin_46048542的博客
12-05 417
tcpdump使用 3.1 语法 类型的关键字 host(缺省类型): 指明一台主机,如:host 210.27.48.2 net: 指明一个网络地址,如:net 202.0.0.0 port: 指明端口号,如:port 23 确定方向的关键字 src: src 210.27.48.2, IP源地址是210.27.48.2 dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0 dst or src(缺省值) dst and src 协议的关键字:缺省值是监听所有协议的信息 f
Linux下使用tcpdump的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump tcpdumpLinux下面的一个开源的工具,和Windows下面的...
linux 嵌入式工具tcpdump
11-10
linux 嵌入式工具tcpdump,配套源码,只需更改编译链重新编译即可方便使用
linux系统下使用tcpdump进行方法
09-15
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行的方法和相关知识点,需要的朋友们学习下。
tcpdump分析
07-10
tcpdump分析,tcpdump分析,tcpdump分析,tcpdump分析,tcpdump分析,tcpdump分析,tcpdump分析,tcpdump分析
Linuxtcpdump命令实例详解
09-15
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据进行截获的分析工具。下面这篇文章主要给大家介绍了关于Linuxtcpdump命令的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
Linux基础学习之利用tcpdump实例代码
09-15
tcpdumpLinux下面的一个开源的工具,和Windows下面的wireshark工具一样, 支持取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。下面这篇文章主要给大家介绍了关于Linux基础学习之利用tcpdump的相关资料,需要的朋友可以参考下。
[TCP/IP] 传输层-ethereal 分析TCP
程序员老狼专注开发aigc或客服系统应用
04-15 673
开启工具取一个HTTP的GET请求,我的ip是10.222.128.159 目标服务器ip是140.143.25.27 握手阶段: 客户端 ===> SYN MSS=1460(我能接收的最大数据是1460字节) ===> 服务器客户端 <=== SYN,ACK MSS=1424(服务器最大数据是1424字节) WS=7(window) win=3...
linux服务器实例
qq_23350817的博客
03-30 2943
1、输入ifconfig,查看linux服务器网卡和ip 2、安装tcpdump 3、例子:取网卡eht0 及192.168.168.18ip和8081端口 tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081; -w :参数指定将监听到的数据写入文件中保存,file.cap就是该文件。 -i :参数指定tcpdump监听的网络界面。 取到文件之后我将文件传到我的windows上面,这里就涉及到一个如何打开cap
linux服务器tcpdump实战(精简版)
自由之光眷顾天下
12-20 672
系统默认携带了tcpdump,如果没有tcpdump需要自行安装使用tcpdump进行分析。
[日常] 使用TCPDUMP和Ethereal分析HTTP请求中的异常情况
程序员老狼专注开发aigc或客服系统应用
10-24 376
在测试功能的过程中,出现这样一种现象.前端js发起ajax请求后,在浏览器的审查元素网络状态中可以看到status为pending,等15秒以后js会把当前超时的请求取消掉,变成了红色的cancel.针对这一现象,我在本地Windows电脑和远程Linux测试机进行了网络分析. 由于出现的几率很随机,但是出现频率挺高,我先在linux测试机中使用tcpdump进行的分...
linuxtcpdump实例
yh250648050的博客
01-06 599
linux系统上的tcpdump命令对于网络故障定位是一款很好的工具,简单而强大,通过分析网络报文,不但能够定位问题根由,还对软件优化有很大帮助 步骤一:首先确认系统上已经安装了tcpdump(rpm -qa| grep tcpdump查看),如图已经安装,否者使用命令yum -y install tcpdump进行安装 步骤二:使用tcpdump -i eth0 host www.baidu.com -s0 -vv -w file.log命令取访问百度的报文,然后回车开始(-i
tcpdump非常实用的实例
热门推荐
nanyun2010的专栏
04-11 18万+
基本语法 ======== 过滤主机 -------- - 取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump -i eth1 src host 192.168.1.1 - 目的地址 # tcpdump -i eth1 dst host 192.168.1
怎么在Linux分析
weixin_30421525的博客
11-16 1723
怎么在Linux分析 1、在Linux 例如在Ubuntu上,用命令tcpdump tcp -i any -s0 -w desk.cap 用 sz desk.cap 把数据导入本地Windows 2、在windows上用wireshark分析 用wireshark打开desk.cap wireshark筛选条件:tcp.port==5901 ...
linux tcpdump命令
最新发布
07-27
tcpdumplinux系统中常用的工具,可以用来取网络中传输的数据。使用方法: 在终端输入命令:tcpdump [options] [expression] - options:可选的参数,如-i eth0表示取eth0网卡的数据 - expression:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值