tcpdump使用介绍

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量414 收藏
点赞数 1
分类专栏: Linux 文章标签: tcpdump 网络抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37692493/article/details/118659881
版权
本文详细介绍了tcpdump的基本语法和常用参数,包括如何根据协议、数据流向和端口进行抓包过滤。同时,展示了tcpdump输出的各个字段含义,如时间、网络协议、源/目标IP、端口和抓包内容中的Flags等信息。
摘要由CSDN通过智能技术生成

文章目录

tcpdump是一款常用的网络抓包工具,利用tcpdump工具我们可以根据一些条件过滤,只抓取我们关注的数据包信息。

基本语法

tcpdump [option]  [proto] [dir] [type] [not|or|and] ...


- option : 可选参数
    [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
	[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
	[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
	[ -Q|-P in|out|inout ]
	[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
	[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
	[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
	[ -Z user ] [ expression ]

- proto : 根据协议进行过滤
    [tcp] [udp] [icmp]
    [ip] [ip6]
    [arp] [rarp]
    [ether] [wlan] 
    [fddi] [tr] [decnet]

- dir : 根据数据流向进行过滤
    [src] [dst] [src or dst] [src and dst]

- type : 根据指定网段或者端口进行过滤
    [host] [net] [port] [portrange]

tcpdum常用参数函数

1、常用抓包参数

  • -B size : 设置系统捕获缓冲区大小
  • -c count : 指定抓包数量
  • -i interface : 指定抓包监听端口,默认会抓取第一个网络接口,如果要查看所有网卡,可以 -i any
  • -n:输出结果源/目标地址以IP的形式进行展示,否则会自动解析为为主机名,也就是说-n选项不做主机名解析
  • -nn:在-n的基础上,将源/目标端端口信息以数值的形式进行展示,否则会自动展示为端口对应服务名称
  • -v/-vv/-vvv : 输出结果打印更加详细的内容
  • -w file : 将结果输出到.pcap文件中,可以在其他平台上用wireshark打开
  • -r file :读取指定.pcap文件
  • -C file_size : 指定-w输出文件的文件大小限制
  • -x:以16进制的形式打印每个包的头部数据(但不包括数据链路层的头部)
  • -xx:以16进制的形式打印每个包的头部数据(包括数据链路层的头部)
  • -X:以16进制和 ASCII码形式打印出每个包的数据(但不包括连接层的头部),这在分析一些新协议的数据包很方便。
  • -XX:以16进制和 ASCII码形式打印出每个包的数据(包括连接层的头部),这在分析一些新协议的数据包很方便。
  • -Q: 选择是入方向还是出方向的数据包,可选项有:in, out, inout,也可以使用 --direction=[direction] 这种写法

2、指定协议进行抓包

  • icmp : 基于icmp协议进行抓包
  • tcp : 基于tcp协议进行抓包
-- 指定抓取满足icmp协议的信息
# tcpdump icmp

-- 指定抓取满足tcp协议的信息
# tcpdump tcp

-- 指定抓取满足icmp/tcp协议的信息
# tcpdump 'ip6 && tcp'

3、指定数据流向进行过滤

  • src : 指定源端某些信息进行过滤抓包
  • dst : 指定目标端某些信息进行过滤抓包
-- 指定源端IP进行抓取
# tcpdump src host 172.16.104.12

4、指定网段或者端口进行过滤

  • host : 指定源/目标端监听IP进行抓包
  • net : 指定一个网段进行监听抓包
  • port : 指定监听某个端口进行抓包
  • portrnge : 指定一个端口范围进行监听抓包
-- 指定网卡下来源与某个IP进行抓包
# tcpdump -i eth0 src host 172.16.104.12

-- 指定网卡下来源于某个网段进行抓包
# tcpdump -i eth0 src net 172.16.104.0/24

-- 指定远端某端口进行抓包
# tcpdump src port 3306
# tcpdump src port 3306 or port3307 

-- 指定某个网卡下来源于一个端口范围进行抓包
# tcpdump src portrange 8000-8080

5、and/or/not的使用

-- 指定目标端IP到远端指定端口的抓包
# tcpdump 'dst 172.16.104.12 and (src port 3306 or 3307)'

输出详解

[第一列]        [第二列]   [第三列]  [第四列]  [第五列]  [第六列]
16:57:41.427749     IP    sdw1.14056    >     mdw.mysql: Flags [P.], seq 290:304, ack 368, win 229, options [nop,nop,TS val 2253336802 ecr 2253337965], length 14
16:57:41.468008     IP    sdw1.14056    >     mdw.mysql: Flags [.], ack 409, win 229, options [nop,nop,TS val 2253336843 ecr 2253337966], length 0
16:57:44.745094     IP    sdw1.websm    >     mdw.44024: Flags [R.], seq 0, ack 1785729074, win 0, length 0
16:57:45.084778     IP    sdw1.14056    >     mdw.mysql: Flags [P.], seq 304:323, ack 409, win 229, options [nop,nop,TS val 2253340459 ecr 2253337966], length 19
16:57:45.087807     IP    sdw1.14056    >     mdw.mysql: Flags [.], ack 610, win 237, options [nop,nop,TS val 2253340462 ecr 2253341625], length 0
16:57:46.918877     IP    sdw1.14056    >     mdw.mysql: Flags [P.], seq 323:345, ack 610, win 237, options [nop,nop,TS val 2253342293 ecr 2253341625], length 22
16:57:46.919665     IP    sdw1.14056    >     mdw.mysql: Flags [.], ack 674, win 237, options [nop,nop,TS val 2253342294 ecr 2253343457], length 0
  • 第一列:时间
  • 第二列:网络协议IP
  • 第三列: 源 端 服 务 器 I P . {源端服务器IP}. IP.{端口}
  • 第四列:> 表示网络流向
  • 第五列: 目 标 端 服 务 器 I P . {目标端服务器IP}. IP.{端口}
  • 第六列:抓包内容

关于抓包内容

  • Flags :
    • [S] : SYN(开始连接)
    • [P] : PSH(推送数据)
    • [F] : FIN (结束连接)
    • [R] : RST(重置连接)
    • [.] : 没有 Flag (意思是除上面四种类型外的其他情况,有可能是 ACK 也有可能是 URG)
  • seq/ack ${num} : seq/ack 号
  • win ${num} : windows窗口大小
  • length ${num} : 数据长度

文章参考:https://www.cnblogs.com/wongbingming/archive/2020/06/30/13212306.html

三思呐三思
关注
专栏目录
使用tcpdump+Wireshark抓包分析kafka通信协议
icycode的专栏
04-21 1万+
tcpdump 是Linux平台上网络抓包、分析神器,wireshark可用在Windows上以可视化方式直接分析查看tcpdump抓取的数据文件。且wireshark内置支持很多常见应用协议解析,其中就包括kafka通信协议(Wireshark 2.4.0到2.6.0)。因此我们可以通过tcpdump抓取kafka数据包保存到文件,通过wireshark分析学习kafka通信协议...
linux服务器udp抓包工具,Linux下抓包工具tcpdump使用介绍
ぃ妖气ぅ的博客
05-04 994
点评:在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一,本文将介绍Linux下抓包工具tcpdump使用,需要的朋友可以参考下在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。 匹配ether广播包。ether广播包的特征是mac全1.故如下即可匹配:tcp...
tcpdump工具详解
抽象的螺旋
08-22 3143
tcpdump详解
Tcpdump 详解(抓包
最新发布
明日之星
08-18 5464
一、TCPDUMP抓包工具介绍
【数据库测试】tcpdump抓包
test_dog的博客
11-04 3831
tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
Linux命令--tcpdump命令--使用与详解
IT利刃出鞘的博客
05-08 945
本文介绍Linux的tcpdump命令的用法。 tcpdump可以输出网络的通信记录,可以用来排查问题、查看被攻击网站的详细情况等。
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
2401_84253380的博客
04-13 1239
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
Linux下抓包工具tcpdump使用介绍.docx
09-26
Linux 下抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
tcpdump使用说明
08-31
通过上述介绍,可以看出`tcpdump`是一个非常强大且灵活的工具,能够满足不同场景下的网络数据捕获和分析需求。熟练掌握其基本用法和高级技巧,对于提高网络故障排查效率、理解网络协议行为等方面都有着重要的意义。...
tcpdump基础使用.pdf
08-04
这份文档《tcpdump基础使用.pdf》为我们详细介绍了如何使用tcpdump这个强大的工具。 首先,tcpdump的基础命令格式可以表示为: ``` tcpdump [选项] [过滤表达式] ``` 在文档中给出了一个简单的示例: ``` tcpdump -...
tcpdump介绍使用方法笔记
weixin_45766369的博客
04-26 763
1.是什么? TCPDump可以将网络中传送的数据包完全截获下来提供分析。针对网络层、协议、主机、网络或端口进行过滤,并提供and、or、not等逻辑语句。 2.应用场景? 性能问题:SSH 连接服务器缓慢,网络程序性能低--分析数据流走向 网络故障:数据包分析 3.原理分析? tcpdump 运行在用户态,本质上是通过调用 libpcap 库的各种 api 来实现数据包的抓取功能。 通过上图,我们可以很直观的看到,数据包到达网卡后,经过数据包过滤器(BPF)筛选后,拷贝至用户...
Linux 网络分析必备技能:tcpdump 实战详解
老农民娃哈哈的博客
07-06 209
本文转自:Linux 网络分析必备技能:tcpdump 实战详解 - 肖邦linux - 博客园 (cnblogs.com)
tcpdump(四)命令行参数讲解(三)
wzj_110的博客
10-08 502
关于wiresahrk 使用,我们在学习tcp/ip的过程中会讲解,然后后续做一个小结。④ 抓取HTTP GET和POST request和response。② 提取 HTTP 的 Header头。MNET 内部工具封装了一些特性。① 现场分析并保留现场信息。⑥ 找出发包数最多的 IP。⑥ tcp[13]由来。③ 只抓取HTTP流量。
tcpdump分析端口3306
richard的专栏(bigdata.han@gmail.com)
06-26 1373
# tcpdump -i ens160 -s 0 -l -w - dst port 3307 | stringstcpdump: listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytescommitSET autocommit=1SELECT        pk_psndoc,--------------...
tcpdump转用法解析
ITren
12-23 594
CPDUMP笔记及个人经验: (by Upkiller) tcpdump的参数介绍    -a    将网络地址和广播地址转变成名字;    -d    将匹配信息包的代码以人们能够理解的汇编格式给出;    -dd    将匹配信息包的代码以c语言程序段的格式给出;    -ddd    将匹配信息包的代码以十进制的形式给出;    -e    在输出行打印出数据链路层的头部信息;
tcpdump 抓取icmp数据包
热门推荐
HongDaYu的搬砖之路
10-12 2万+
#eth1 可以替换成你的网卡名称 tcpdump -n -i eth1 icmp
各种工具使用手册:http://www.itshouce.com.cn/linux/linux-tcpdump.html 关于tcpdump!!!!...
weixin_34015566的博客
07-07 206
各种工具使用手册:http://www.itshouce.com.cn/linux/linux-tcpdump.html 关于tcpdump!!!! 实用tcpdump命令 //查看本机与mysql的操作命令 注意 -i any表示监听所有网络接口,我们也根据自身情况选择网络接口 #tcpdump -i any -w - dst port 3306 |strings ...
tcpdump常用选项
qfzhaohan的博客
11-18 815
常用选项 通过上篇的实战案例,相信大家已经掌握的tcpdump基本用法,在这里来详细总结一下常用的选项参数。 (一)基础选项 -i:指定接口 -D:列出可用于抓包的接口 -s:指定数据包抓取的长度 -c:指定要抓取的数据包的数量 -w:将抓包数据保存在文件中 -r:从文件中读取数据 -C:指定文件大小,与-w配合使用 -F:从文件中读取抓包的表达式 -n:不解析主机和端口号,这个参数很重要,一般都需要加上 -P:指定要抓取的包是流入还是流出的包,可以指定的值in、out、i...
tcpdump 工具介绍
09-15
tcpdump 是一款常用的网络抓包工具,它能够捕获网络数据包并将其分析和显示出来。它可以用于诊断网络故障、进行网络流量分析、网络安全监控等场景。 tcpdump 可以在多种操作系统上运行,包括 Linux、Unix、Mac OS 等。它支持多种过滤条件,可以根据源地址、目的地址、协议类型等进行过滤,以捕获指定条件下的数据包。 通过 tcpdump,我们可以查看数据包的源地址、目的地址、协议类型、端口号等信息。它还可以输出详细的数据包内容,包括数据包的头部信息和负载数据。 使用 tcpdump 需要有 root 权限或者特定的权限,因为它需要访问网络接口进行数据包捕获。常用的命令格式如下: ```shell tcpdump [选项] [过滤条件] ``` 通过设置不同的选项和过滤条件,可以实现各种不同的抓包需求。tcpdump 提供了丰富的功能和灵活的配置方式,是网络工程师和安全分析人员常用的工具之一。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值