tcpdump的简单使用

最新推荐文章于 2023-08-05 15:33:36 发布
最新推荐文章于 2023-08-05 15:33:36 发布
阅读量87 收藏
点赞数
文章标签: 操作系统 网络

  linux下使用tcpdump(命令)抓包,然后使用window或者mac下的wireshark(图形化)分析包,使用tcpdump生成*.cap,然后使用wireshark打开*.cap文件

 

  tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件中,方便以后分析,tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息

  它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息

  tcpdump的表达式介绍

  表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。

在表达式中一般如下几种类型的关键字:

  第一种是关于类型的关键字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。

  第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字,则缺省是src or dst关键字。

  第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。

  除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater, 还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&’;或运算是’or’ ,’||’; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。


  举例: 

  http数据包抓取 (直接在终端输出package data)

  tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出

  抓取http包数据指定文件进行输出package

  tcpdump tcp port 80 -n -s 0 -w /tmp/tcp.cap

  对应的/tmp/tcp.cap基本靠肉眼已经能看一下信息,比如http Header , content信息等

  结合管道流

  tcpdump tcp port 80 -n -s 0 -X -l | grep xxxx

  监视指定网络接口的数据包

 tcpdump -i eth0

也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包

tcpdump host 210.27.48.1

截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

截获主机hostname发送的所有数据

tcpdump -i eth0 src host hostname

监视指定主机和端口的数据包

如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123 端口进行监视 123 为ntp的服务端口

tcpdump udp port 123

tcpdump 与wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

 

使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

 

参考:

http://man.linuxde.net/tcpdump

http://www.ha97.com/4550.html

https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

weixin_34321753
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump 简明教程
ckx178的博客
04-29 553
tcpdump 毫无无疑是非常重要的网络分析工具,对于任何想深入理解TCP/IP的人来说,掌握该工具的使用是非常必要的。 本教程将向您展示如何以各种方式将流量基于 IP、端口、协议、应用程序层协议过滤出来,以确保您尽快找到所需的数据包内容。 基础 下面是一些用来配置 tcpdump 的选项,它们非常容易被遗忘,也容易和其它类型的过滤器比如 Wireshark 等混淆。 选项 -i ...
Linux 网络分析必备技能:tcpdump 实战详解
02-25 269
大家好,我是肖邦,这是我的第 11 篇原创文章。 今天要分享的是 tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强大。 相对于其它 Linux 工具而言,tcpdump 是复杂的。当然我也不推荐你去学习它的全部,学以致用,能够解决工作中的问题才是关键。 本文会从应用场景和基础原理出发,提供丰富的实践案例,让你快速的掌握 tcpdump 的核心使用方法,足以应对日常工作的需求。 应用场景 在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决
tcpdump简单使用
mint_ying的博客
08-26 565
tcpdump简单使用
tcpdump抓包入门 - 腾讯云容器抓包(sso超时事件 主角又是fan)
yuezhilangniao的博客
12-10 424
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。 tcpdump可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有wireshark等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进行分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。
tcpdump基础使用.pdf
08-04
这份文档《tcpdump基础使用.pdf》为我们详细介绍了如何使用tcpdump这个强大的工具。 首先,tcpdump的基础命令格式可以表示为: ``` tcpdump [选项] [过滤表达式] ``` 在文档中给出了一个简单的示例: ``` tcpdump -...
Tcpdump使用手册
11-08
- **启动Tcpdump**:最简单使用方式是直接输入`tcpdump`命令,此时Tcpdump将默认监听第一个网络接口上流过的所有数据包。例如: ``` bash-2.02# tcpdump ``` - **指定监听的网络接口**:使用`-i`参数指定监听...
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdump是Linux下面的一个开源的抓包工具,和Windows下面的...
vim-tcpdump:tcpdump 命令输出的简单语法高亮显示
06-27
使用 .tcpd 扩展名保存的 tcpdump 输出文件的简单语法突出显示只是为了好玩......所以它可能有很多问题...... :-)) 它是什么样子的? 安装 该项目可以手动安装,也可以使用病原体安装。 手动安装 下载 syntax/...
Tcpdump命令的使用
fajing_feiyue的博客
03-06 3839
tcpdump 简单来说就是一款抓包工具 一、概述 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。 不带参数的tcpdump会收集网络中所有的信息包头,数据量巨大,必须过滤。 二、选项介绍 -A 以AS
tcpdump 教程 用法 使用
myCOMMUNICATION
05-25 1862
<br /> 比较重要的是 -nn -i lo查看端口流量:           tcpdump -nnnl -i lo "port 23558"输出源或目的端口为13的udp数据报或icmpicmp分组:           tcpdump '(udp and port daytime) or icmp'输出源或目的端口为80,并且设置syn标志的tcp分节:           tcpdump 'tcp and port 80 and tcp[13:1]& 2 != 0'输出源端口在7001和
tcpdump和wireshark使用
weixin_36585549的博客
08-05 1191
tcpdump和wireshark的简单使用
linux tcpdump如何抓包pcap包,tcpdump的基本用法--如何打开tcpdump的抓包文件
weixin_39567013的博客
05-16 2572
这篇文章只涉及tcpdump的基本用法,请记住tcpdump比我描述的强大的多。针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcap。tcpdump -w test.pcap -i eth1 tcp port 6881很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?tcpdump -w test.p...
tcpdump使用教程
wkd_007的博客
04-30 2054
介绍tcpdump的参数选项和表达式,理解怎样使用tcpdump
Linux抓包工具----tcpdump
这是博客的简介的简介
08-03 6627
这是一个目录
tcpdump安装以及基本使用
热门推荐
cbbbc
10-04 2万+
0x01 Tcpdump简介 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析。可以定义过滤规则,只截获感兴趣的数据包,以减少输出文件大小和数据包分析时的装载和
tcpdump抓包
What's the happiness?
01-25 710
命令行格式: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ] 常用的参数: -l    使标准输出变为缓冲行形式; -n    不把网络地址转换成名字; -c    在收到指定的包的数目后,
windows tcpdump
韩梦飞沙_韩亚飞
03-13 1万+
unix 下有 tcpdumpwindows下 的是 windump windump是tcpdumpwindows上得移植版Windump是Windows环境下一款经典的网络协议分析软件,其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包,供网络管理员/入侵分析员做进一步流量分析和入侵检测。但对数据包分析的结果依赖于你的TCP/IP知识和经验,不同水平的人得出的结果可能...
如何使用tcpdump命令抓包
最新发布
08-29
使用tcpdump命令抓包的方法有多种。以下是其中一些常用的方法: 1. 使用特定的网卡和端口进行抓包: - 要抓取特定网卡上的所有数据包,可以使用命令 `tcpdump -i eth0`。 - 要捕获特定主机和端口的数据包,可以使用命令 `tcpdump host 192.168.1.51 and port 22`。这将捕获源或目标IP地址为192.168.1.51,端口为22的所有数据包。 2. 保存抓包结果到文件: - 要将抓包结果保存到文件中,可以使用 `-w` 参数,后面跟上文件路径,例如 `tcpdump -i eth0 -w /tmp/tcpdump.cap`。这将把所有捕获到的数据包保存到指定的文件中。 3. 查看保存的抓包文件: - 要查看保存的抓包文件,可以使用命令 `tcpdump -r /path/to/file.cap`。这将显示文件中的所有数据包。 4. 筛选特定的数据包: - 要筛选特定源或目的地IP地址的数据包,可以使用命令 `tcpdump -n src host ip -r /path/to/file.cap` 和 `tcpdump -n dst host ip -r /path/to/file.cap`,将 `ip` 替换为目标IP地址。这将只显示与指定IP地址相关的数据包。 5. 进一步处理抓包结果: - 可以使用管道和其他命令对抓包结果进行进一步处理。例如,使用 `awk '{print $3}'` 来提取输出中的第三列,并使用 `sort -u` 剔除重复的内容。例如: `tcpdump -n -r /path/to/file.cap | awk '{print $3}' | sort -u`。 希望以上信息可以帮助您理解如何使用tcpdump命令进行抓包。如需更多详细信息,请参考引用资料。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Tcpdump抓包命令详解](https://blog.csdn.net/Romanticn_chu/article/details/116052964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [tcpdump命令以及简单使用](https://blog.csdn.net/qq_34398519/article/details/100736161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Linux下使用tcpdump抓包的实现方法](https://download.csdn.net/download/weixin_38667835/14108772)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值