【linux命令详解】tcpdump的使用

最新推荐文章于 2024-08-26 02:43:19 发布
最新推荐文章于 2024-08-26 02:43:19 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: linux命令详解 文章标签: linux tcp tcpdump 网络 命令

实用tcpdump命令

//查看本机与mysql的操作命令 注意 -i any表示监听所有网络接口,我们也根据自身情况选择网络接口
#tcpdump -i any -w - dst port 3306 |strings

//查看本机58895上与mysql的命令 注意 -i any 表示监听所有网络接口,我们需要根据自身情况选择网络接口
#tcpdump -i any -w - dst port 3306 and src port 58895 |strings

同理,也可以使用上面的命令,查看kafka,etcd,redis,mc等的命令情况,只要是明文协议都可以

tcpdump命令格式

#tcpdump option filter
option 举例 -n, -i any 等
filter 是过滤包的条件,举例: tcp, portrange 1-1000, src port 58895, host www.itshouce.com.cn,
filter可以进行组合 比如:
dst port 3306 and src port 58895
portrange 1-1000 or src port 58895
not dst port 3306

              option                  filter

举例: tcpdump -i any -n portrange 1-3306 or portrange 10000-58895

tcpdump option

//在en2这个网络接口监听,如果不指定,那么会搜索所有的网络接口,在数字最小的网络端口上监听
//也就是tcpdump -D 上左边数字最小的
#tcpdump -i en2

//linux 2.2以上支持 -i any
#tcpdump -i any 可以监听所有端口

-n 不要把ip转换为机器名字
#tcpdump -n

// -w - // -w为把内容write到某个地方, -表示标准输出 也就是输出到标准输出中
#tcpdump -w - |strings 这是一个超级有用的命令,把包的数据,用字符展示出来

// -w a.cap 把抓包结果写入a.cap中
// -C 1 如果a.cap 超过1M 大小,则新开一个文件, -C fileSize , 单位是MB
#tcpdump -C 1 -w a.cap
#ll
-rw-r–r– 1 root wheel 1000092 Apr 21 21:05 a.cap //超过1MB了
-rw-r–r– 1 root wheel 849388 Apr 21 21:05 a.cap1

//-r 从某个文件读取
#tcpdump -n -r a.cap

#tcpdump -X 以十六进制以及ASCII的形式打印数据内容

#tcpdump -x 除了打印出header外,还打印packet里面的数据(十六进制的形式)

#tcpdump -xx 以十六进制的形式打印header, data内容

// -A 把每一个packet都用以ASCII的形式打印出来
#tcpdump -A host www.itshouce.com.cn

// -c 3 表示收到3个packet就退出
#tcpdump -A -c 3 host www.itshouce.com.cn

3 packets captured
65 packets received by filter
0 packets dropped by kernel

//看目前机器上有哪些网络接口
#tcpdump -D
1.en0
2.awdl0
3.bridge0
4.utun0
5.en1
6.en2
7.p2p0
8.lo0

//-e 把连接层的头打印出来
#tcpdump -e
21:15:27.665159 ::60:dc:d0:d9 (oui Unknown) > ::07:10:81:36 (oui Unknown), ethertype IPv4 (0x0800), length 79: zj-db0355dembp.lan.51318 > hiwifi.lan.domain: 20430+ A? www.itshouce.com.cn. (37)

#tcpdump -j timestamp type 可以修改输出的时间格式,貌似centos6.5不支持

#tcpdump -J 显示支持的时间格式

//-l 把stdout bufferd住,当你既想在屏幕上看结果,又想把结果输出到文件中时,比较有用
#tcpdump -l

//tee是一个命令,在屏幕上显示dump内容,并把内容输出到dump.log中
#tcpdump -l |tee dump.log

#tcpdump -l > dump.log &tail -f dump.log

//-q 就是quiect output, 尽量少的打印一些信息
#tcpdump -q

//-S 打印真实的,绝对的tcp seq no
#tcpdump -S
21:33:06.569478 IP dembp.lan.54864 > **: Flags [P.], seq 3980049501:3980049596, ack 3916671858, win 4091, options [nop,nop,TS val 1201572125 ecr 1490447193], length 95

//默认抓取包长度是65535,
#tcpdump //capture sieze 65535
listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes

//我们设置为256 该参数目的:减少抓包文件的大小
#tcpdump -s 256
listening on pktap, link-type PKTAP (Packet Tap), capture size 256 bytes

#tcpdump -t 不要打时间戳

#tcpudmp -tt 打出timstamp,从1970-1-1 以来的秒数,以及微秒数

#tcpdump -v 打印出详细结果 如ttl

#tcpdump -vv 打印出更加详细的结果 如window, checksum等

tcpdump过滤项

下面所有测试中都有 -i any的选项,表示抓取所有网络接口上的包,只是为了让测试方便

//抓取arp协议的包,然后host为192.168.199.* 测试时需要在另一个session,做一个ifconfig指令
//arp可以换为tcp,udp等
#tcpudmp -i any -n arp host 192.168.199
22:39:58.991043 ARP, Request who-has 192.168.199.125 tell 192.168.199.1, length 28
22:39:58.991059 ARP, Reply 192.168.199.125 is-at a4:5e:60:dc:d0:d9, length 28

//抓取访问destination 80端口的包,然后我们做一个curl www.baidu.com的操作
#tcpdump -i any -n dst port 80
22:53:06.041382 IP 192.168.199.125.63161 > 119.75.219.45.80: Flags [F.], seq 0, ack 1, win 65535, length 0

//抓取源上端口是80的包
#tcpdump -i any -n src port 80
22:57:48.343422 IP 112.80.248.73.80 > 192.168.199.125.63275: Flags [.], seq 38478:39918, ack 78, win 193, length 1440

//抓取源或者目标端口都是80的包
#tcpdump -i any -n port 80
22:58:51.165333 IP 112.80.248.74.80 > 192.168.199.125.63298: Flags [F.], seq 100439, ack 79, win 193, length 0
22:58:51.165349 IP 192.168.199.125.63298 > 112.80.248.74.80: Flags [R], seq 703147494, win 0, length 0

//表示抓取destination prot 在1到80之间的端口的数据
#tcpdump -i any -n dst portrange 1-80 在另外的面做curl www.baidu.com 以及 telnet 192.168.21.1
23:00:13.550006 IP 192.168.199.125.63310 > *.*.248.73.80: Flags [.], ack 71649, win 8012, length 0
23:01:27.363723 IP 192.168.199.125.63327 > 192.168.21.1.23: Flags [S], seq 621213649, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1240986522 ecr 0,sackOK,eol], length 0

//抓取源的端口是20-80的包
#tcpdump -i any -n src portrange 20-80

//抓取端口是20-80的包,不考虑源
#tcpdump -i any -n portrange 20-80

//抓取destination为www.baidu.com的包
#tcpdump -i any dst www.baidu.com 然后ping www.baidu.com ,以及 在浏览器中访问www.baidu.com
22:22:17.445872 IP *0355dembp.lan > 112.80.248.73: ICMP echo request, id 26478, seq 0, length 64
2:22:50.108236 IP *0355dembp.lan.62371 > 112.80.248.74.https: Flags [S], seq 2884215363, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1238683151 ecr 0,sackOK,eol], length 0

//抓取destination为192.168.1.2的包
#tcpdump -i any dst 192.168.1.2
22:26:46.808706 IP zj-db0355dembp.lan > 192.168.1.2: ICMP echo request, id 31854, seq 0, length 64

//抓取destination为192.168.1.[0-255]的包
#tcpdump -i any dst 192.168.1 可以指定范围

#ifconfig 可以看出我本机的ip是192.168.199.125
//抓取source为192.168..的包, 使用-n 则只是为了显示ip,而不是主机名,
#tcpdump -i any -n src 192.168
22:30:50.490355 IP 192.168.199.125.61086 > ....341: Flags [.], ack 56, win 8185, options [nop,nop,TS val 1239157627 ecr 1580310986], length 0

//抓取192.168的包(不管是source还是destination )
#tcpdump -i any -n host 192.168
22:38:07.580567 IP ....34186 > 192.168.199.125.61086: Flags [P.], seq 787907565:787907668, ack 871423065, win 126, options [nop,nop,TS val 1580748123 ecr 1239593243], length 103
22:38:08.453788 IP 192.168.199.125.61086 > ....34186: Flags [P.], seq 9481:10147, ack 5769, win 8179, options [nop,nop,TS val 1239594178 ecr 1580748994], length 666

//抓取包长度小于800的包
#tcpudmp -i any -n less 800
21:09:17.687673 IP 192.168.199.1.50150 > ....1900: UDP, length 385

//抓取包长度大于800的包
#tcpdump -i any -n greater 800
21:13:21.801351 IP 192.168.199.125.64826 > ....80: Flags [P.], seq 2155:3267, ack 44930, win 8192, length 1112

//只抓取tcp包
#tcpdump -i any -n tcp
1:21:18.777815 IP 192.168.199.125.50249 > ....443: Flags [.], ack 75, win 4093, options [nop,nop,TS val 1269008649 ecr 44997038], length 0

//只抓取udp包
#tcpdump -i any -n udp
21:22:48.434449 IP 192.168.199.1.50150 > ....1900: UDP, length 385

//只抓取icmp的包,internet控制包
#tcpdump -i any -n icmp
21:25:42.550374 IP 192.168.199.1 > 192.168.199.125: ICMP ... unreachable - need to frag (mtu 1480), length 556

卓越极致
关注
专栏目录
tcpdump常用命令
weixin_42226134的博客
02-26 1408
tcpdumpLinux 系统提供的一个非常强大的抓包工具,熟练使用它,对我们排查网络问题非常有用。如果你的机器上还没有安装,可以使用如下命令安装: yum install tcpdump 如果要使用 tcpdump 命令必须具有 sudo 权限。 tcpdump 常用的选项有: -i 指定要捕获的目标网卡名,网卡名可以使用前面章节中介绍的 ifconfig 命令获得;如果要抓所有网卡的上...
Linuxtcpdump命令解析及使用详解
01-09
Linux下的tcpdump是一个强大的网络数据包分析工具,用于捕获并分析网络中的数据包。它可以帮助用户监控网络流量,诊断网络问题,或者进行网络安全审计。tcpdump能够截获网络层的头部信息,提供了丰富的过滤选项,...
利器Tcpdump使用
蓝法典的专栏
04-03 2090
tcpdump采用命令行方式,它的命令格式为:  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]          [ -T 类型 ] [ -w 文件名 ] [表达式 ]  1. tcpdump的选项介绍   -a    将网络地址和广播地址转变成名字;  
Tcpdump 详解(抓包)
最新发布
weixin_40874499的博客
08-26 607
一、TCPDUMP抓包工具介绍登录后复制 tcpdump 支持功能: 1、linux平台将网络中传输的数据包全部捕获过来的进行分析 2、支持网络、传输层协议等吸引捕获过滤 3、数据发送和接收的主机、网卡、端口等各种过滤捕获数据规则 4、提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息 5、结合wire...
tcpdump使用
多看多听多总结
03-02 706
1、抓指定接口的包 tcpdump -i eth eth表示接口名 2、指定抓包的数目 tcpdump -c n -i eth 其中n为整数,表示包的个数 3、ascii码形式打印包 tcpudmp -A -i eth0 4、显示可用的接口 tcpdump -D 5、以十六进制和ascii形式打印包 tcpdump -XX -i eth
Tcpdump命令详解
热门推荐
qq_57377057的博客
07-26 4万+
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDumpLinux中强大的网络数据采集分析工具之一。tcpdump可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有wireshark等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进行分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。......
tcpdump使用
地球是圆的?
05-03 760
概述 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借 强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问 题排查的首选工具。 tcpdump命令格式 tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
Linux tcpdump命令用法详解
01-09
Linux tcpdump命令 Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 语法tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd][-F]...
Linux中的tcpdump命令示例详解
09-15
tcpdump命令使用并不简单,它提供了丰富的选项来定制捕包行为。例如: - `-s number`:设置数据包的抓取长度,默认是96字节,`number`可以设定为需要抓取的字节数,0表示抓取完整包。 - `-n`:不解析域名,直接...
Linux tcpdump命令详解大全
09-15
### Linux tcpdump命令详解 #### 一、简介 tcpdump是一款功能强大的网络数据包抓取工具,主要用于在Linux系统上捕获和分析网络流量。它能够根据用户设定的过滤条件来截取网络上的数据包,并对其进行详细的分析。该...
tcpdump命令
运维小白_CSDN的博客
10-30 352
实用命令实例 普通情况下,启动tcpdump将监视第一个网络接口上面所有流过的数据包 tcpudmp     监控制定网络接口的数据包 tcpdump -i eth0   打印所有进入或离开sundown的数据包 tcpdump host sundown  也可以指定IP,截获所有139.199.32.44的主机收到的和发出去的所有的数据包 tcpdump host 139.199.32.4...
144.2. tcpdump - A powerful tool for network monitoring and data acquisition
weixin_34080571的博客
12-21 222
tcpdump tcpdump -Xnnnps0 -i any port $port and host $host -nn选项: 意思是说当tcpdump遇到协议号或端口号时,不要将这些号码转换成对应的协议名称或端口名称. -X选项: 告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式...
tcpdump详解
weixin_33465519的博客
03-20 2万+
原文地址:全网最详细的 tcpdump 使用指南 - 王一白 - 博客园 今天要给大家介绍的一个 Unix 下的一个网络数据采集分析工具,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 可以用wireshark 读取tcpdump 生成的pcap文件,用wireshark的图形化界面分析tcpdump 结果数据。 在讲解之前,有两点需要声明: 第三节到第六节里的 tcpdump 命令示例,.
tcpdump命令选项介绍
键盘的起始页
03-10 383
tcpdump的简单选项介绍 -A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages). -c count tcpdump将在接受到count个数据包后退出. -C file-size (nt: 此选项用于配合-w file 选项使用) 该选项使得tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-s
tcpdump使用小结
hzhxxx的专栏
08-17 6790
用这个抓包,把接口eth0上的80端口服务的所有报文都抓下来,并写入文件a.txt,写 入的a.txt文件可以被windows 下的 wireshark.exe 工具读取,便于在windows 下 分析 tcpdump -ieth0 -XAvs0 -w a.txt port 80
2.2. tcpdump - A powerful tool for network monitoring and data acquisition
weixin_33739627的博客
01-01 195
tcpdump 2.2.1.监控网络适配器接口 $ sudo tcpdump -n -i eth1 2.2.2.监控主机 tcpdump host 172.16.5.51 # tcpdump host 172.16.5.51 tcpdump: verbose output suppressed, use...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值