神探tcpdump第三招

最新推荐文章于 2024-08-26 22:15:39 发布
最新推荐文章于 2024-08-26 22:15:39 发布
阅读量87 收藏
点赞数
文章标签: 网络 python
原文链接:https://my.oschina.net/leejun2005/blog/77472
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

上篇文章说过,tcpdump会分成“选项”、“过滤表达式”和“输出信息”三部分讲解。

    截止到目前,我们一直在围绕tcpdump的选项部分进行讲解,已经介绍过的选项包括-i选项、-nn选项、-c选项、-X选项、-e选项、-l选项。

     今天仍然不例外,我们继续有关选项的内容。

    ==

    【-t选项】- 输出时不打印时间戳

    这个选项非常好理解,直接看例子吧:

# tcpdump -i eth0 -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:52:10.433391 ARP, Request who-has 116.255.247.61 tell 116.255.247.125, length 64
# tcpdump -i eth0 -c 1 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
ARP, Request who-has 116.255.245.35 tell 116.255.245.62, length 64

    【-v选项】- 输出更详细的信息

    加了-v选项之后,在原有输出的基础之上,你还会看到tos值、ttl值、ID值、总长度、校验值等。

     至于上述值的含义,需要你专门去研究下IP头、TCP头的具体协议定义咯。

# tcpdump -i eth0 -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:53:09.162644 IP 116.255.245.206.snapenetio > 221.223.255.234.54198: Flags [P.], seq 1443040202:1443040398, ack 3517061690, win 353, length 196
# tcpdump -i eth0 -c 1 -v
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:52:57.902894 IP (tos 0x10, ttl 64, id 18293, offset 0, flags [DF], proto TCP (6), length 172)
116.255.245.206.snapenetio > 221.223.255.234.54198: Flags [P.], cksum 0x4dd9 (correct), seq 1443039302:1443039434, ack 3517061430, win 353, length 132

    【-F选项】- 指定过滤表达式所在的文件

    还记得我们在第一招中所提到的命令么,我帮助大家回忆一下:

tcpdump -i eth0 -nn -X ‘port 53′ -c 1

    这里面的’port 53′便叫做“过滤表达式”,用于设置我们抓包的条件的,只有满足过滤条件的网络包,才会被抓过来。

     当这个过滤条件非常复杂,或者我们需要将一个过滤条件固化下来复用的时候,就会想到把它存到一个文本文件中。

     此时,-F选项就会派上用场。请看例子:

# cat filter.txt
port 53
# tcpdump -i eth0 -c 1 -t -F filter.txt
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 116.255.245.206.54357 > ns.sc.cninfo.net.domain: 36720+ A? www.baidu.com. (31)
1 packets captured
6 packets received by filter
0 packets dropped by kernel

    我们建立了一个filter.txt文本文件来存储过滤表达式,然后通过-F来指定filter.txt,这样tcpdump就会心知肚明地读取filter.txt中的内容作为过滤条件。

    ==

    下一招,会使选项讲解的最后一次,重点讲讲-w和-r两个选项,敬请期待。

转载于:https://my.oschina.net/leejun2005/blog/77472

weixin_33889665
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump源码分享
04-21
3. **网络协议解析**:tcpdump能够解析多种网络协议,包括TCP、UDP、ICMP等。通过阅读源码,可以深入了解这些协议的工作原理和数据包结构。 4. **多平台支持**:tcpdump可在多个操作系统上运行,包括Unix-like系统...
tcpdump源码(tcpdump-4.99.4.tar.gz)生成tcpdump
09-03
tcpdump源码编译,需要多个部件的源码进行顺序编译而成。 m4-1.4.19.tar.gz flex-2.6.4.tar.gz bison-3.7.6.tar.gz libpcap-1.10.4.tar.gz tcpdump-4.99.4.tar.gz tar xvf *.tar解压后,分别执行./configure 和make ...
linux下查看进程名以及占用端口
zhongzunfa的专栏
11-13 7126
1、命令概述 1)、先查看进程pid ps -ef | grep 进程名 2)、通过pid查看占用端口 netstat -nap | grep 进程pid 3)、通过端口号查询进程PID lsof -i:端口号 2、使用 1)、ps -ef | grep worker-app root 22424 1 0 Nov10 ? 00:07:11 /e 这里就写一下简单的...
运维小技巧:使用ss命令代替 netstat,和netstat说再见
jolly10的专栏
06-14 806
ss是Socket Statistics的缩写。顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。【和netstat说再见的原因】当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net/tcp,执行速度都会很...
linux 10289端口,tcp注册端口(转)
weixin_28850145的博客
05-03 2298
Anoop Tewarindmp 10000/tcp Network Data Management Protocolndmp 10000/udp Network Data Management ProtocolBrian Ehrmantrautscp-config 10001/tcp SCP Configuration Portscp-...
Linux根据端口查看进程
weixin_30739595的博客
08-29 143
若不知道具体目录,可以根据端口查找,查看端口22000的信息: sudo lsof -i:22000 RelaySvr 4322 root 13u IPv4 75680495 0t0 TCP *:snapenetio (LISTEN) 查看进程4322具体信息: cd /proc/4322 sudo ls -al 进入cwd对应到程序路径 cd /data/serv...
Linux 命令--SS
上善若水 的专栏
04-14 6724
ss是Socket Statistics的缩写。 顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。 【和netstat说再见的原因】 当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net
tcpdump离线安装
03-03
3. **切换到解压后的目录**:通过`cd`命令进入解压后的目录。 4. **执行安装脚本**:`tcpdumpinstall.sh`应该是一个bash脚本,执行它来启动安装过程,命令通常是`./tcpdumpinstall.sh`。这个脚本可能包含了配置、...
tcpdump
05-09
支持 wireshark 软件抓包的工具
tcpdump:TCPdump网络解析器
04-27
该目录包含tcpdump的源代码,tcpdump是用于网络监视和数据获取的工具。 在过去的几年中,Internet社区的杰出贡献使tcpdump不断得到改进(只需浏览)。 我们感谢所有的投入。 支持平台 在许多操作系统中,tcpdump可...
TCP Ports list (3498 ports in list)
热门推荐
zyb378747350的专栏
01-11 43万+
参考地址:https://www.gasmi.net/tcp.php TCP Ports list (3498 ports in list) 1 tcpmux TCP Port Service Multiplexer 2 compressnet Management Utility 3 compressnet Compression Process
神探tcpdump第四招》-linux命令五分钟系列之三十八
weixin_34405557的博客
09-10 103
==本文会是“选项内容”的最后一期讲解,主要会讲讲-w和-r两个选项。tcpdump的选项很多,多达50个,其他我没有涉及的选项,还是要大家自己通过man tcpdump的方式来学习了。实在研究不懂的,可以找我探讨:)==做过网络流量分析的同学,或许都有一个共同的需求,那就是“流量保存”和“流量回放”,这就恰好对应了今天要讲解的-w选项和-r选项。“流量保存”就是把抓到的网络...
ss 命令
Jason_Deng_2017的博客
10-17 1013
ss是Socket Statistics的缩写。 顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。 【和netstat说再见的原因】 当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net
神探tcpdump第三招》-linux命令五分钟系列之三十七
weixin_34064653的博客
09-10 85
【系列文章】《神探tcpdump第一招》-linux命令五分钟系列之三十五《神探tcpdump第二招》-linux命令五分钟系列之三十六==上篇文章说过,tcpdump会分成“选项”、“过滤表达式”和“输出信息”三部分讲解。截止到目前,我们一直在围绕tcpdump的选项部分进行讲解,已经介绍过的选项包括-i选项、-nn选项、-c选项、-X选项、-e选项、-l选项。今天仍然不例...
使用ss代替netstat查看网络端口等状态
weixin_34416649的博客
08-25 235
lsmod | grep tcp_diagrpm -q iproute【场景一:查看当前服务器的网络连接统计】$ss-s Total:295(kernel312) TCP:48(estab1,closed31,orphaned0,synrecv0,timewait0/0),ports13 TransportTotalIP...
快速掌握tcpdump---转自linux大棚
robertzhouxh的专栏
09-07 2122
神探tcpdump第一招》-linux命令五分钟系列之三十五 本原创文章属于《Linux大棚》博客。 博客地址为http://roclinux.cn。 文章作者为roc。 应 @GamerH2o 博友在微博上提的要求,tcpdump专题会写成一个小型系列文章,力求每篇小文中突出重点,讲解清晰,避免长篇累牍,大家必然昏昏欲睡了。 其实tcpdump就好像一个神探,它有着夜视的绝技,在毫无
《篡权的ss》-linux命令五分钟系列之三十一
weixin_34216196的博客
05-15 148
原文链接 本原创文章属于《Linux大棚》博客。 博客地址为http://roclinux.cn。 文章作者为roc。 === 上篇文章《和netstat说再见》中说到netstat已经被抛弃,取而代之的是ss命令。一些朋友在问“netstat为什么会被抛弃呢?ss又是什么命令呢?” 这篇文章,我们就来揭晓答案,重点说一说“篡权的ss”。 【作者粗心大意?】 ss命令是一个用来查看...
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1512
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
服务器远程管理
最新发布
m0_64827698的博客
08-26 886
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
Linux tcpdump命令深度解析
1. **基本用法**:运行`tcpdump`命令时,它会默认捕获第一个网络接口(通常是eth0)上的所有数据包。如果你想监控特定的接口,如eth1,可以使用`tcpdump -i eth1`。 2. **主机过滤**:你可以通过`tcpdump host ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值