【数据库测试】tcpdump抓包

已于 2023-11-12 21:51:03 修改
阅读量3k 收藏 9
点赞数
文章标签: 数据库 tcpdump 网络
于 2023-11-04 15:20:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/test_dog/article/details/133962923
版权

文章目录

前言

tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。

一、tcpdump基础语法

支持操作如下:
tcpdump option proto direction type
在这里插入图片描述

1)option过滤规则
[ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ --number ] [ -Q|-P in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,… ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --immediate-mode ] [ --version ]
[ expression ]
2)proto过滤器
tcp/udp/icmp/ip/ip6/arp…
3)direction过滤器
src/dst/src or dst
4)type过滤器
host/net/port/portrage

二、常用过滤规则

1.基于ip地址过滤

1)使用host并指定ip进行过滤

tcpdump host 192.168.116.10

2)基于源ip和目标ip进行过滤

--基于源ip过滤
tcpdump src host 192.168.116.10
--基于目标ip过滤
tcpdump dst host 192.168.116.10

2.基于端口过滤

1)基于源端口和目标端口过滤

--基于源端口过滤
tcpdump src port 22
--基于两个端口过滤
tcpdump src port 22 or port 8080

2)基于端口协议过滤

--基于ssh协议过滤
tcpdump src port ssh
--基于tcp协议过滤
tcpdump port tcp

3.端口解析参数

1)-n:不把ip转换成域名,直接显示ip

tcpdump tcp -n

2)-nn:不把协议和端口号转换成名字

tcpdump tcp port ssh -nn

3)-N:不打印host的域名部分

tcpdump tcp port ssh -Q out -N

4.抓包结果文件处理

1)结果输出到文件
使用-w参数,文件格式为.pcap或.cap

tcpdump tcp -w tcp.pcap

2)读取结果文件
使用-w参数,文件格式为.pcap或.cap

tcpdump tcp -r tcp.pcap

5.组合过滤规则

and:逻辑并,同&&; or:逻辑或,同||; not 逻辑非,同!
1)抓取ip地址为192.168.116.10,并且端口为54321的包

tcpdump -i any host 192.168.116.10 and port 54321

2)抓取ip地址为192.168.116.10,并且端口为54321或者端口为51111的包

tcpdump -i any 'host 192.168.116.10 and (port 54321 && port 51111)'

三、tcpdump输出

01:16:16.272504 IP 192.168.116.10.49148 > 192.168.116.10.54321: Flags [P.], seq 3059446268:3059446310, ack 2760817304, win 354, options [nop,nop,TS val 20978756 ecr 20978756], length 42

在这里插入图片描述

01:16:16.272504:时间
IP:网络协议
192.168.116.10.49148:源端ip地址和端口
>:数据流向
192.168.116.10.54321:接收端ip地址和端口
Flags [P.], seq 3059446268:3059446310, ack 2760817304, win 354, options [nop,nop,TS val 20978756 ecr 20978756], length 42:数据包内容,Flags标识符,seq号,ack号,win窗口,数据长度length

Flags
[S]:SYN 开始连接
[P]:PSH 开始发送数据
[F]:FIN 结束连接
[R]:RST重置连接
[.]:没有Flags,除上面四种类型外其他情况,可能为ACK也可能是URG

四、使用wireshark工具解析tcpdump包

1)构造业务
使用jmeter进行创建50张表,并对表进行并发查询

--建表语句
create table if not exists tab${num}(id int,name varchar(40),age int,c text);
--插入数据
insert into tab${__Random(1,50,)} values(generate_series(1,1000),md5(random()::text),(random()*(30-10)+30)::int,now());
--查询语句
select * from tab${__Random(1,50,)};

2)使用tcpdump进行抓包

  • 直接抓包
    tcpdump -i ens33 -c30 -s0 -nn -A port 54321
![在这里插入图片描述](https://img-blog.csdnimg.cn/836b3c6892c34679a9c79abb68fba809.png#pic_center)

[root@localhost jp]# tcpdump  -i ens33 -c30 -s0 -nn -A  port 54321
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
00:16:19.087644 IP 192.168.116.1.57040 > 192.168.116.10.54321: Flags [S], seq 2575337855, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
E..4..@....j..t...t
...1............4...............
00:16:19.087767 IP 192.168.116.10.54321 > 192.168.116.1.57040: Flags [S.], seq 1445376770, ack 2575337856, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.@..g..t
..t..1..V&........r.i...............
00:16:19.087994 IP 192.168.116.1.57040 > 192.168.116.10.54321: Flags [.], ack 1, win 4106, length 0
E..(..@....u..t...t
...1....V&..P..
  • 存储为离线文件
    tcp -i ens33 -s 0 -X -A port 54321 -w dbtest.cap
[root@localhost jp]# tcpdump tcp -i ens33 -s 0 -X -A  port 54321 -w dbtest.cap
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
^C494479 packets captured
624628 packets received by filter
130149 packets dropped by kernel

3)使用wireshark解析报文
加载文件:“文件 -> 打开 -> dbtest.cap”
在这里插入图片描述
在这里插入图片描述

配置wireshark过滤条件:

  • “分析 -> 解码为 :TCP port -> 54321当前 -> PGSQL
  • “ip.addr == 192.168.116.1 and tcp.dstport > 54321”

在这里插入图片描述
在这里插入图片描述

姜江州
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
tcpdump使用过滤条件抓包(基础篇)
BruceLeeNumberOne的博客
10-31 1万+
引言 这是有关网络协议的第三篇文章。 前两篇文章分享了tcpdump和tshark最基本的用法。这篇文章原本是想翻译tcpdump官方文档,但是网上已经有了现成的翻译版本,作者已经对比较难懂的部分做了说明,当然作者也有略过一部分的说明。Tcpdump实际上非常复杂,需要对网络协议有全面又细致的掌握,有兴趣可以参考tcpdump官方文档。 这篇文章主要从使用的角度对tcpdump常用的命令进行分享,...
利用抓包拿WEBSHELL
05-06
抓包网络分析的一种方法,通过特殊的软件(如Wireshark、Tcpdump等)捕获并记录在网络中传输的数据包。这些数据包包含了网络通信的各种信息,如源IP地址、目标IP地址、端口号以及数据内容。通过分析这些数据包,...
常用Tcpdump抓包命令
最新发布
weixin_60156113的博客
04-24 920
抓与该主机相关的所有数据包,无论这些数据包是由该主机发送的还是接收的,来源于ipaddr是191.12.10.13的任何网卡的udp8888端口的包。sudo tcpdump -i any -vvv -n -c 5 port 8888 and udp (抓来源于任何网卡的udp8888端口的包)# -c 指定抓包次数,次数达到停止捕获且退出。# 抓来源于ipaddr是191.12.10.13的任何网卡的udp8888端口的包。
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
【linux】tcpdump抓包
alexliu2360的专栏
12-10 2万+
tcpdump命令需要在root权限下运行。 1、指定端口Port抓包 示例:12500端口抓包。 命令如下: tcpdump -n -X -i any port 12500 将会把抓包结果打印到控制台界面上。 命令如下: tcpdump -n -X -i any port 12500 > 1.txt 将会把抓包结果保存到当前路径下的1.txt中。 注意:指定端口抓包时,显示的抓包结果最大为1472字节的数据。udp大包的情况,一个4KB的包分成多个片,其他数据片的显示打印不出来。
linux下抓包命令--tcpdump的使用
01-04
linux下抓包命令--tcpdump的使用
tcpdump抓包命令
和光同尘的博客
12-13 6524
通过以上结果只能做简单的分析,可以使用-w参数把数据包写入文件,文件中记录的数据包比命令行要详细的多。借助分析工具可以对文件进一步分析,这里推荐使用Wireshark,这个工具是开源的,开箱即用使用简单,这里不做详细介绍了。2.抓取的数据包通过length字段只能做一些简单的判断,想要详细分析,需要借助数据包分析工具,如:Wireshark。程序员日常排查问题,最常用的是使用过滤器功能获取指定端口的数据包,用来分析服务器是否收到请求、请求数据是否完整。tcpdump命令的参数很多,详见如下。
一个专为android 开发者制作的tcpdump 抓包工具.zip
03-07
测试框架和工具则协助开发者编写和运行单元测试、集成测试及性能测试,确保软件质量。 版本控制与协作: 通过集成Git、SVN等版本控制系统,支持团队成员间的代码共享、分支管理、合并请求和冲突解决。 可视化...
tcpdump中文手册.pdf
10-05
tcpdump网络抓包分析工具,用于捕获和显示网络流量信息。下面是tcpdump中文手册.pdf文件中的知识点总结: 1. DNS 查询和回答:tcpdump可以捕获DNS查询和回答记录,包括A记录、NS记录、MX记录、SOA记录等。可以...
afl模糊测试实验实验报告
08-05
3. 使用tcpdump抓包:使用tcpdump抓包工具,抓取服务器的网络包。 4. 使用Wireshark打开抓到的包:使用Wireshark打开抓到的包,分析包的内容。 5. 选择DICOM协议包:从抓到的包中选择DICOM协议包,并将其转化为二...
端口数据抓包程序smsniff
12-31
端口数据抓包程序,可以查看本机的数据通讯,远端IP地址,端口等等信息,小巧,功能强大。
tcpcopy:在线请求复制工具,也是tcp流重播工具,适用于真实测试,性能测试,稳定性测试,压力测试,负载测试,冒烟测试
02-06
安装和使用过程中可能涉及的知识点包括网络抓包(如使用tcpdump)、内核模块的加载和管理、系统调用的理解以及C语言编程等。 总的来说,tcpcopy是一款强大的工具,对于保障软件和服务的质量和稳定性具有重要意义。...
tcpdump抓包命令,过滤IP端口,保存为pcap文件,抓本机上的包
一名Java后端程序员,分享日常bug和一些好玩的东西!
10-16 1万+
tcpdump抓包命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件在Wireshark上打开查看 tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080
tcpdump抓包规则命令大全
sandshell的博客
07-13 3万+
tcpdump日常抓包
Tcpdump抓包命令详解
热门推荐
Romanticn_chu的博客
04-23 3万+
一、采用命令行方式对接口的数据包进行筛选抓取。 不带任何选项的tcpdump ,默认抓取第一个网络接口。只有将tcpdump进程终止,抓包停止。 二、选项 选项 含义 -c 指定抓取包的数量。即最终获取的包,真实获取的包是10个。即只有10个包满足条件。不一定只抓取了10个包。 -i 指定tcpdump需要监听的接口。未指定将在系统接口列表中搜寻编号最小的最小已配置接口。-i any (所有网络接口) -i lo(loopback接口「该接口不在自动搜索范...
tcpdump输出内容分析
FreeeLinux's blog
11-25 1万+
我们就针对上图中所抓的这个包来进行分析。 1.“tcpdump: verbose output suppressed, use -v or -vv for full protocol decode” 这是说你命令没有用到-v和-vv,如果你用了这两个选项,输出就会有更多内容。 2.“listening on eth0, link-type EN10MB (Ethernet), c
tcpdump命令个人笔记
z609158391的博客
11-10 1875
Tcpdump 一、命令构成 tcpdumptcpdump是一款常用抓包工具,类似于wireshark。 tcpdump的主程序会抓取当前全部网卡的全部数据包,条件允许的情况下,完全可以直接运行tcpdump抓取一个巨大的文件,然后传输到电脑上,使用图形化抓包软件来查看报文。但是实际操作上,并不可能允许你用tcpdump抓取所有报文。包括不限于:①设备性能瓶颈,很多微小型设备抓取全部报文可能会出错。②业务流量巨大,核心交换机一秒就能抓取几百上千个报文。③不方便传输数据包,有时候抓包只是想简单看一眼报文,
tcpdump抓包规则 命令大全
u014472548的博客
08-23 1260
tcpdump采用命令行方式,它的命令格式为: tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]   [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]   [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选项介绍  -a    将网络地址和广...
ubuntu tcpdump抓包
03-14
Ubuntu中的tcpdump是一个强大的网络抓包工具,可以用于捕获和分析网络数据包。它可以帮助我们监视和调试网络流量。下面是使用tcpdump抓包的一般步骤: 1. 安装tcpdump:在Ubuntu上,可以使用以下命令安装tcpdump: ``` sudo apt-get install tcpdump ``` 2. 执行抓包命令:使用以下命令执行tcpdump抓包: ``` sudo tcpdump [options] ``` 这里的`[options]`是可选的,可以根据需要添加不同的选项来过滤和捕获特定的网络数据包。 3. 过滤抓包内容:可以使用一些过滤选项来限制抓包的内容。例如,可以使用以下命令只抓取目标IP地址为192.168.0.1的数据包: ``` sudo tcpdump host 192.168.0.1 ``` 4. 保存抓包结果:默认情况下,tcpdump会将抓包结果输出到终端。如果需要将结果保存到文件中,可以使用以下命令: ``` sudo tcpdump -w output.pcap ``` 这将把抓包结果保存到名为output.pcap的文件中。 5. 分析抓包结果:可以使用其他工具(如Wireshark)来打开保存的pcap文件,并对抓包结果进行详细分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值