TcpDump 使用

最新推荐文章于 2024-08-02 22:10:21 发布
最新推荐文章于 2024-08-02 22:10:21 发布
阅读量989 收藏 3
点赞数
分类专栏: 每日一问 文章标签: tcpdump
原文链接:https://editor.csdn.net/md/?not_checkout=1&spm=1010.2135.3001.5352
版权

TcpDump 使用

TCP 数据包头部信息和标识位

  • SYN: 连接请求
  • FIN: 连接结束
  • RST: 连接重置
  • PSH: 催促标识,接收缓冲区内数据向上交付给应用程序
  • URG: 紧急标识,将紧急灵气 排在普通 数据之前
  • 序号
  • 确认号
  • 窗口

tcpdump 常见符号:

  • [S]: SYN
  • [P]: PSH
  • [F]: FIN
  • [R]: RST
  • [.]: 没有Flag 队了
	# 3次握手
21:59:18.687861 IP localhost.51204 > localhost.http-alt:
	Flags [S], seq 252295625, win 65495, options [mss 65495,sackOK,TS val 1527931057 ecr 0,nop,wscale 7], length 0
21:59:18.687896 IP localhost.http-alt > localhost.51204: 
	Flags [S.], seq 670102239, ack 252295626, win 65483, options [mss 65495,sackOK,TS val ,nop,wscale 7], length 0
21:59:18.687924 IP localhost.51204 > localhost.http-alt: 
	Flags [.], ack 1, win 512, options [nop,nop,TS val 1527931058 ecr 1527931058], length 0
	# 数据传输
21:59:18.688018 IP localhost.51204 > localhost.http-alt: 
	Flags [P.], seq 1:84, ack 1, win 512, options [nop,nop,TS], length 83: HTTP: GET /index HTTP/1.1
21:59:18.688029 IP localhost.http-alt > localhost.51204: 
	Flags [.], ack 84, win 511, options [nop,nop,TS val 1527931058 ecr 1527931058], length 0
21:59:18.694693 IP localhost.http-alt > localhost.51204: 
	Flags [P.], seq 1:121, ack 84, win 512, options [nop,nop,TS val 1527931064 ecr 1527931058], length 120: HTTP: HTTP/1.1 200 
21:59:18.694736 IP localhost.51204 > localhost.http-alt: 
	Flags [.], ack 121, win 512, options [nop,nop,TS val 1527931064 ecr 1527931064], length 0
	
	# 44次挥手
21:59:18.694995 IP localhost.51204 > localhost.http-alt: 
	Flags [F.], seq 84, ack 121, win 512, options [nop,nop,TS val 1527931065 ecr 1527931064], length 0
21:59:18.697134 IP localhost.http-alt > localhost.51204: 
	Flags [F.], seq 121, ack 85, win 512, options [nop,nop,TS val 1527931067 ecr 1527931065], length 0
21:59:18.697168 IP localhost.51204 > localhost.http-alt: 
	Flags [.], ack 122, win 512, options [nop,nop,TS val 1527931067 ecr 1527931067], length 0

指定网卡

默认使用监听第一块网卡

tcpdump -i etho # 监听 eth0网卡
tcpdump -i lo  # 监听本地
tcpdump -i any # 监听所有网卡

-w

将捕获的信息保存到文件,且不分析和打印至屏幕

tcpdump -i eth0 -w tt
# 扩展: 导出文件为cap 或者pcap 格式,可以被wireshark打开

tcpdump -w test.pcap

-r

从文件中读取数据

tcpdump -r tt.pcap

-n,-nn, -N

  • -n: 不把ip转成域名,直接显示ip, 避免执行 DNS lookups 过程,速度快很多
  • -nn: 不把协议和商品号转成名字, 速度快
  • -N: 不打印 host 域名部分
tcpdump -n
tcpdump -nn
tcpdump -N

-t,-tt,-ttt,-tttt

  • -t: 每行 中不输出时间
  • -tt: 在每行中会输出时间戳
  • -ttt: 输出每两行时间间隔(毫秒)
  • -tttt: 每行打印的时间戳之前添加 日期打印,最直观
tcpdump -t

-v,-vv,-vvv

  • -v: 详细信息
  • -vv: 比 -v 更详细
tcpdump -v

-c,-C

  • -c 指定取数据包的个数
  • -C: 与 -w FILE 配合使用,指定超过file-size 大小后,另创一个文件继续保存数据包
tcpdump -i eth0 -c 10 -w a.cap
tcpdump -C 1 -W 3 -w abc # 指定1M 文件后就换文件,最多写3个文件,如 abc0,abc1,abc2

-Q,-q

  • -Q: 选择出入方向的数据包
    • in
    • out
    • inout
  • -q: 简洁打印输出
  • -D: 显示所有可用网络接口列表
  • -L: 列出网络接口书籍数据链路
  • -s : 指定每个名捕获长度,单位 是byte, 默认是 262144 bytes
tcpdump -Q in
tcpdump -Q out
tcpdump -Q inout
tcpdump -D
tcpdump -L
重生之我是一名程序员
关注
专栏目录
运维系列:tcpdump命令详解
weixin_54626591的博客
01-04 6438
tcpdump命令详解
tcpdump使用方法
02-13
**TCPDump使用方法** TCPDump是一款强大的网络封包分析软件,它允许系统管理员或网络工程师在Linux、Unix以及Windows等操作系统上实时捕获并分析网络数据包。在实际工作中,TCPDump是网络故障排查、安全审计和性能...
linux 版本wireshark_使用tcpdump和wireshark分析tcp流
weixin_39563132的博客
11-28 314
使用tcpdump和wireshark分析tcp流Tcpdump抓包tcpdump -w packets.pcap -n -i eth0 tcp port 60 and dst host 10.22.47.66-i: 指定网络接口-n: 不做域名解析,使用ip-w: 抓包存储为可供wireshark解析的pcap格式tcp port 60 and dst host 10.22.47.66: 条件表...
linux运维一天一个shell命令之tcpdump详解
最新发布
weixin_46546303的博客
08-02 2739
数据包(Data Packet)是网络通信中的一个基本单位。在计算机网络中,数据包是用于传输数据的结构化单元,它通常包含了发送方和接收方的信息、数据内容以及用于控制和校验的数据。在不同的网络层中,数据包的结构和术语可能有所不同,但其核心概念是相似的。
Tcpdump的用法及使用案例
Echo_Blingbling的博客
11-09 1809
转载自此 Tcpdump工具是Unix和linux系统抓网络数据库包最有效的工具,windows上类似的工具是wireshark。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。另外tcpdump可以导入的文件中,可以进一步使用wireshark和java代码进一步统计过滤分析。该命令需要root权限,命令会自动把网卡设置为混杂(promiscuous)状态 1,Tcpdump
计算机网络抓包工具——tcpdump详解
m0_52165864的博客
08-01 3万+
tcpdump是Linux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump使用说明
08-31
### tcpdump 使用说明详解 #### 一、简介 `tcpdump`是一款强大的网络数据分析工具,主要用于捕获并分析网络中的数据包。它可以帮助系统管理员、网络工程师和开发人员监测网络流量,诊断网络问题,理解网络协议行为...
Linux下抓包工具tcpdump使用介绍.docx
09-26
Linux 下抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
Linux系统抓包命令tcpdump使用实例.docx
09-26
Linux 系统抓包命令 tcpdump 使用实例 tcpdump 是 Linux 命令行下常用的一个抓包工具,记录一下平时常用的方式,测试机器系统是 Ubuntu 12.04。tcpdump 的命令格式为:tcpdump [-i 网卡] -nnAX 表达式。 参数说明...
tcpdump使用详解
03-23
tcpdump 使用详解 tcpdump 是一个功能强大的网络抓包工具,用于捕获和显示网络中的数据包。它可以帮助网络管理员和开发者来 debug 网络问题、分析网络流量、检测网络攻击等。 tcpdump 的基本使用 tcpdump 的基本...
tcpdump 基本分析
chenpuo的博客
08-23 415
转载自https://blog.csdn.net/a19881029/article/details/38091243 原文见:http://packetlife.net/blog/2010/jun/7/understanding-tcp-sequence-acknowledgment-numbers/ 如果你正在读这篇文章,很可能你对TCP“非著名”的“三次握手”或者说“SYN,SYN/ACK,ACK”已经很熟悉了。不幸的是,对很多人来说,对TCP的学习就仅限于此了。尽管年代久远,TCP仍是...
Tcpdump命令详解
热门推荐
qq_57377057的博客
07-26 4万+
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。tcpdump可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有wireshark等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进行分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。......
如何使用tcpdump来捕获TCP SYN,ACK和FIN包
banbanlin的专栏
10-23 3453
问题:我想要监控TCP连接活动(如,建立连接的三次握手,以及断开连接的四次握手)。要完成此事,我只需要捕获TCP控制包,如SYN,ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN,ACK和/或FYN包? 作为业界标准的捕获工具,tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过
tcpdump命令详解
鸿鹄和荒的博客
08-13 3516
TcpDump是Linux中强大的网络数据采集分析工具之一。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。它支持针对网络层、协议、主机、网络或端口的过滤,并提供not、and、or等逻辑语句来帮助你去掉无用的信息。普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。tcpdump的总的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数。
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
2401_84253380的博客
04-13 1262
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
TCP 三次握手 四次挥手 tcpdump Flags
qq_29807203的博客
10-15 4210
TCP三次握手,四次挥手 三次握手 简单的三次握手示意图。 四次挥手 简单的四次挥手过程示意图。 TCP中Flags字段 SYN 表示建立连接,在TCP监听中为: Flags [S]; FIN 表示关闭连接,在TCP监听中为: Flags [F]; ACK 表示收到请求,返回响应,在TCP监听中为: Flags [.]; PSH 表示数据传输,在TCP监听中为: Flags [P]; RST 表示连接重置,在TCP监听中为: Flags [R]。 Flags字段组合使用 收到并建立连接为: Flags
tcpdump 使用
09-05
Tcpdump是一个网络抓包工具,用于在命令行中捕获和分析网络流量。它的使用方法可以通过设置参数来指定要捕获的网络接口、过滤条件和输出格式。 Tcpdump的基本用法是通过命令行输入tcpdump命令,然后可以根据需要添加参数来实现不同的功能。例如,要捕获所有IP和TCP流量,可以使用以下命令: tcpdump 'ip and tcp' 或 tcpdump 'ip proto tcp' 另外,如果需要根据特定的TCP标志进行过滤,可以使用以下命令: tcpdump -i eth0 'tcp[tcpflags] == tcp-syn or tcp[tcpflags] == tcp-ack' 在使用tcpdump之前,了解tcpdump的参数组成非常重要,因为不同的参数可以实现不同的功能,帮助我们更好地分析和理解网络流量的情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [tcpdump详解](https://blog.csdn.net/weixin_33465519/article/details/123608292)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值