[CLI]tcpdump过滤小结

最新推荐文章于 2024-04-10 14:50:24 发布
最新推荐文章于 2024-04-10 14:50:24 发布
阅读量115 收藏
点赞数
文章标签: 网络
原文链接:https://segmentfault.com/a/1190000015290421
版权 
##tcp过滤速查
# tcpdump -i dev [src|dst] [[host x.x.x.x] [port xx] [net x.x.x.x] [tcp|udp|icmp]]

1. 常用在过滤表达式

  • 过滤主机 [ether] [src|dst] host x.x.x.x
  • 过滤端口 [src|dst] port xx
  • 网络过滤 [src|dst] net x.x.x.x
  • 协议过滤 [arp|ip|tcp|udp|icmp]
  • 内容过滤 proto[offset:len]
过滤表达式可以用逻辑运算符连接,默认使用and连接。

2. 内容过滤

  • proto[offset:len]表示获取proto协议报文offset开始的len字节内容;
  • proto可以是ether,fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6,radio;
  • offset,表示偏移位置,默认为起始0;
  • len,表示读取的字节数,默认为1;

  • 可用于proto[offset:len]的比较操作符包括:>,<,>=,<=,=,!=;

    • 设置了ip头部选项 ip[0] & 0x0f > 5
    • 设置DF标志 ip[6] = 64
    • 匹配小 TTL ip[8] < 5
    • 总的ip报文的长度大于 X 字节的包 ip[2:2] > X
    • 源端口大于 1024 的 TCP 数据包 tcp[0:2] > 1024

    • TCP flag,tcp[13]可以使用tcpflags来表示,tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg也免去了计算实际值的麻烦;

      • SYN报文,tcp[13] = 2
      • SYN, ACK报文, tcp[13] = 18
      • SYN 或者 SYN-ACK报文,tcp[13] & 2 = 2
      • PSH-ACK报文,tcp[13] = 24
      • 包含 FIN 标记报文,tcp[13] & 1 = 1
      • RST报文,tcp[13] & 4 = 4

3.具体报文格式

tcpip

REFERENCE

weixin_34194702
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
过滤tcpdump 某些端口的信息
zhaozhanyong的专栏
07-29 992
tcpdump -i ethx not port 22 and not port ?? 或  tcpdump -i ethx ! port 22 and ! port ??   其中x为网卡号,??为端口号
【Linux】tcpdump P1 - 网络过滤选项
最新发布
aichaoxy的博客
04-10 573
`tcpdump` 实用程序用于捕获和分析网络流量。系统管理员可以使用它来查看实时流量或将输出保存到文件中稍后分析。本文将演示在日常使用`tcpdump`时可能想要使用的几种常见选项。
tcpdump高级过滤
happylzs2008的专栏
10-07 1113
tcpdump高级过滤 https://www.cnblogs.com/jiujuan/p/9017495.html 一:查看帮助选项# tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ ...
拿来即用的网络数据采集分析工具 -- Tcpdump过滤组合
香蕉牛奶棒棒槌的博客
07-01 805
理解 tcpdump 的输出 tcpdump 输出的内容虽然多,却很规律。 这里以我随便抓取的一个 tcp 包为例来看一下 21:26:49.013621 IP 172.20.20.1.15605 > 172.20.20.2.5920: Flags [P.] , seq 49:97, ack 106048, win 4723, length 4 从上面的输出来看,可以总结出: 第一列:时分秒毫秒 21:26:49.013621 第二列:网络协议 IP 第三列:发送方的ip地址+端口号,其中172.2
tcpdump过滤规则1
08-08
tcpdump 过滤规则 tcpdump 是一个功能强大且灵活的网络嗅探器和数据包分析工具,能够捕获和显示网络数据包的内容。它可以帮助网络管理员和开发者了解网络通信的细节, debug 网络问题,和优化网络性能。 tcpdump ...
python调用tcpdump抓包过滤的方法
09-20
本文将详细讲解如何使用Python调用tcpdump进行抓包过滤,并提供了一个简单的示例代码。 tcpdump是一个强大的网络封包分析软件,它可以实时捕获网络中的数据包并进行分析。在Python中调用tcpdump,主要是通过`...
Tcpdump使用小结
11-15
Tcpdump 使用小结 Tcpdump 是 Linux 中一个非常有用的抓包工具,能够捕获通过某网络接口的匹配某布尔表达式的数据报文信息。本文将对 Tcpdump 的使用进行总结,包括各个选项的解释和使用方法。 Tcpdump 的使用条件...
tcpdump过滤表达式
weixin_33691817的博客
10-10 346
2019独角兽企业重金招聘Python工程师标准>>> ...
【博客562】tcpdump在生产中的常见用法与复杂过滤规则
qq_43684922的博客
12-18 1084
基本语法:一般使用语法 proto [ expr : size ]。proto:指定要查看的报文头——ip则查看IP头,tcp则查看TCP头。expr:给出从报文头索引0开始的位移。即:报文头的第一个字节为0,第二字节为1size:可选的,指定需要使用的字节数,1,2或4。
wireshark、tcpdump常用命令--去重、抓包、过滤
buzhaodi2的博客
12-15 3245
1、tcpdump抓包去重 editcap -d 123.pcap filter.pcap 其中 123.pcap是要去重的包,filter.pcap是输出的去重之后的包 2、过滤sip消息 1、过滤所有invite的响应消息 tshark -r quchong.pcap -Y "sip.CSeq.method eq INVITE" -w gliu.pcap 2、过滤所有sip消息 tshark -r quchong.pcap -Y "sip" -w gliu.pcap 3、查看所有rt
tcpdump高级用法(高级过滤包头)
街头看日出的博客
04-19 5776
注意:继续本文之前,必须了解tcp/ip包头的头部信息,可查看如下博文: 网络基础知识(IP数据报文结构)三 网络基础知识(TCP/UDP报文格式)四 网络基础知识(HTTP协议)五 1.用法 proto[x:y] : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节(第一字节从0开始排) proto[x:y] & z = 0 : proto[x:y]和z...
tcpdump只抓取HTTP报文头部
lotluck的专栏
04-02 9495
因为要做一个需求,我需要调研现网请求http头部的大小,都有什么字段,shell脚本代码如下所示 #! /bin/bash s_512=0 s_512_1k=0 s_1k_2k=0 s_2k_4k=0 s_4k_8k=0 s_8k=0 idx=0 while true do if (($idx &gt;= 10000));then break fi ...
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
wireshark、tcpdump 实用过滤表达式(针对ip、协议、端口、长度和内容)
frucik的博客
12-18 5048
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。   一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:...
tcpdump非常实用的抓包实例
热门推荐
nanyun2010的专栏
04-11 18万+
基本语法 ======== 过滤主机 -------- - 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump -i eth1 src host 192.168.1.1 - 目的地址 # tcpdump -i eth1 dst host 192.168.1
tcpdump使用过滤条件抓包(进阶篇)
BruceLeeNumberOne的博客
11-08 1万+
引言 这是有关网络协议的第四篇博客。 上一篇博客分享了tcpdump使用过滤条件抓包的一些用法,如果没有特殊的要求,基本能够满足一般的抓包要求,这篇博客如何在抓包的过程中将过滤条件更加具体化。 如果对tcpdump常用的命令行选项不了解,请查看上一篇博客或者查看tcpdump官网。 常用选项介绍 -s0 : Snap length, is the size of the packet to cap...
tcpdump 过滤
02-21
tcpdump 过滤器是用于过滤网络数据包的规则,可以根据协议、源地址、目标地址、端口等条件进行过滤。通过使用过滤器,可以使 tcpdump 只抓取符合条件的数据包,从而减少不必要的数据量,提高抓包效率。过滤器可以使用多种语法,包括基于协议的过滤器、基于主机的过滤器、基于端口的过滤器等等。以下是一些常用的过滤器示例: 1. 抓取指定主机的数据包:$ tcpdump host 192.168.1.1 2. 抓取指定网段的数据包:$ tcpdump net 192.168.1.0/24 3. 抓取指定端口的数据包:$ tcpdump port 80 4. 抓取指定协议的数据包:$ tcpdump icmp 需要注意的是,过滤器的语法和使用方法可能会因 tcpdump 版本的不同而有所差异。因此,在使用过滤器时,最好查看 tcpdump 的官方文档或者使用 tcpdump 的帮助命令来获取更准确的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值