tcpdump显示包内容_tcpdump 使用小结

最新推荐文章于 2023-04-25 20:45:35 发布
最新推荐文章于 2023-04-25 20:45:35 发布
阅读量3.8k 收藏 3
点赞数
文章标签: tcpdump显示包内容 tcpdump过滤ip和端口

写在之前 

tcpdump 可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。(百度百科)

常用选项

-i 指定监听的网络接口

-n  不要解析域名

-nn 不要解析域名和端口

-c  抓取多少个报文

-w  抓取的数据包保存为文件

-v -vv -vvv 显示更多的详细信息

-s  抓取的报文字节数,默认只会截取96字节的内容,要想截取全部内容,可以配置为0

过滤规则

主机:host、src host、dst host

网段:net、src net、dst net

端口:port、src port、dst port

协议:ip、arp、icmp、tcp、udp、ip6

表达式:and or not,也可以是&& || ! 来表示

TCP Flags:tcp[tcpflags]

常用案例

# 抓取所有经过eth1的、目的或源IP为172.16的网段的数据包

tcpdump -i eth1 net 172.16.0.0

# 抓取所有经过eth1的、目的或源IP为172.16.2.101的网络数据包

tcpdump -i eth1 host 172.16.2.101

# 抓取所有经过eth1的、源IP为172.16.2.101的网络数据包

tcpdump -i eth1 src host 172.16.2.101

# 抓取所有经过eth1的、目的IP为172.16.2.101的网络数据包

tcpdump -i eth1 dst host 172.16.2.101

# 抓取所有经过eth1的、目的IP为www.baidu.com的网络数据包

tcpdump -i eth1 -nn dst host www.baidu.com

# 抓取所有经过eth1的、目的或源端口为80的网络数据包

tcpdump -i eth1 port 80

tcpdump -i eth1 src port 80

tcpdump -i eth1 dst port 80

# 抓取所有经过eth1的、协议相关的操作

tcpdump -i eth1 ip

tcpdump -i eth1 icmp

tcpdump -i eth1 tcp

tcpdump -i eth1 udp

# 抓取特定状态的包

状态位方式一方式二方式三
U – URGtcp[13] & 32 != 0tcp[tcpflags] & tcp-urg != 0tcp[tcpflags] & tcp-urg == tcp-urg
A – ACKtcp[13] & 16 != 0tcp[tcpflags] & tcp-ack != 0tcp[tcpflags] & tcp-ack == tcp-ack
P – PSHtcp[13] & 8  != 0tcp[tcpflags] & tcp-push != 0tcp[tcpflags] & tcp-push == tcp-push
R – RSTtcp[13] & 4  != 0tcp[tcpflags] & tcp-rst != 0tcp[tcpflags] & tcp-rst == tcp-rst
S – SYNtcp[13] & 2  != 0tcp[tcpflags] & tcp-syn != 0tcp[tcpflags] & tcp-syn == tcp-syn
F – FINcp[13] & 0  != 0tcp[tcpflags] & tcp-fin != 0tcp[tcpflags] & tcp-fin == tcp-fin

# 抓取 tcp 端口为80的tcp-syn的状态包
tcpdump -i eth1 tcp and port 80 and 'tcp[tcpflags] == tcp-syn'

总结

tcpdump 的使用相对简单,可以结合表达式(and or not)写出非常复杂的过滤条件,这里只是简单总结工作中常用的实例,一般情况下,还会结合wireshark一起使用,后面会写如何使用wireshark,及常见错误的一些分析总结。

c6223b64056b06cdf862cad9b1bc6c7f.gif

您的关注是我写作的动力

c5ac15e1fa84df52ef342cb51f2647dc.png

往期分享

通俗易懂理解Kubernetes核心组件及原理

kubernetes v1.17.x 二进制安装文档 

iptables 理论基础及日志记录

LVS 基础性实验及抓包分析

kube-proxy 如何实现流量转发

看了这篇!再不会 Nginx rewrite 算我输!

nginx location 知识知多少

你真的了解客户端请求如何到达服务器端的吗

专辑分享

kubeadm使用外部etcd部署kubernetes v1.17.3 高可用集群

第一篇  使用 Prometheus 监控 Kubernetes 集群理论篇

weixin_39531229
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tcpdump使用小结
11-15
tcpdump,linux自带的常用抓工具,非常有用
Linux抓工具:tcpdump
debang2014010的专栏
11-04 448
tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。 本文中,我们将讨论 tcpdu...
tcpdump 显示数据_爬虫| 抓工具tcpdump 简明教程[译]
weixin_39863161的博客
12-10 275
原文链接:https://danielmiessler.com/study/tcpdump/tcpdump 毫无无疑是非常重要的网络分析工具,对于任何想深入理解TCP/IP的人来说,掌握该工具的使用是非常必要的。本教程将向您展示如何以各种方式将流量基于 IP端口、协议、应用程序层协议过滤出来,以确保您尽快找到所需的数据内容。基础下面是一些用来配置tcpdump的选项,它们非常容易...
TCP基础篇-02-tcpdump
Alan0517
03-03 1763
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据进行截获的分析工具。tcpdump可以将网络中传送的数据的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。默认启动普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据tcpdump如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
linux 看数据工具,使用tcpdump查看原始数据
weixin_28901327的博客
05-04 1396
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据淹...
tcpdump
weixin_30700977的博客
05-01 279
Linux 报文捕获及分析、服务开启状态分析 抓工具、分析工具 tcpdump,libpcap(winpcap) wireshark tshark snort(Nids)入侵检测 sniffer 商业 扫描器 nmap snort(NIDS...
TCPDump使用方法小结
09-10
在进行网络测试的时候,我们经常需要进行抓的工作,当然有许多测试工具可以使用,比如,sniffer, ethreal等.但最为方便和简单得就非TCPDump莫属. Linux的发行版里基本都括了这个工具. TCPDump将网络接口设置成混杂...
Ubuntu常见错误问题的解决方法小结
01-10
一、下载 http://www.tcpdump.org/#latest-release,下载libcap-1.8.1.tar.gz, 解压缩之后 错误1: ./configure checking for getifaddrs... yes checking ifaddrs.h usability... yes checking ifaddrs.h presence...
TCP_IP协议详解卷一
01-07
1.17 小结 13 第2章 链路层 15 2.1 引言 15 2.2 以太网和IEEE 802封装 15 2.3 尾部封装 17 2.4 SLIP:串行线路IP 17 2.5 压缩的SLIP 18 2.6 PPP:点对点协议 18 2.7 环回接口 20 2.8 最大传输单元MTU 21 2.9 路径MTU...
TCP_IP详解卷1
12-29
1.17 小结 13 第2章 链路层 15 2.1 引言 15 2.2 以太网和IEEE 802封装 15 2.3 尾部封装 17 2.4 SLIP:串行线路IP 17 2.5 压缩的SLIP 18 2.6 PPP:点对点协议 18 2.7 环回接口 20 2.8 最大传输单元MTU 21 2.9 路径MTU...
tcpdump 显示数据_抓神器 TCPDUMP 使用教程
weixin_39966376的博客
12-10 1630
TCPDUMP 命令使用简介简单介绍tcpdump是一款强大的网络抓工具,运行在Linux平台上。熟悉tcpdump使用能够帮助你分析、调试网络数据。要想很好地掌握tcpdump, 必须对网络报文(TCP/IP协议)有一定的了解。不过对于简单的使用来说,只要有网络基础概念就行了。tcpdump是一个很复杂的命令,想了解它的方方面面非常不易,也不值得推荐,能够使用它解...
TCPDUMP使用和报文分析】
仙女肖消乐的博客
04-25 1362
抓取1.1网段除了1.1.1.1的请求的数据 tcpdump -i any src net 1.1 and 'src host not 1.1.1.1'
tcpdump命令详解
热门推荐
wj31932的博客
06-05 10万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump使用大全
11-30 2430
tcpdump使用详解
tcpdump显示内容_tcpdump 实例获取网络的50种方法
weixin_39640646的博客
12-10 4294
TCPDUMP 毫无疑问是最重要的网络分析工具,因为它简单实用,而且功能强大。这篇教程将会教你从 IP端口、协议、应用层等多方面来获取通信数据,确保你可以尽可能快的找到你想要的数据。tcpdump 的安装很简单,在 ubuntu 上:$ apt install tcpdump在 Redhat/Centos 上:$ yum install tcpdump首先通过一个简单的命令来获取 H...
TCPDUMP——抓、筛选、高级筛选
modi000的博客
02-08 2364
https://wiki.wireshark.org/SampleCaptures/ 下载各种网络的示例 TCPDUMP——抓 默认之抓68个字节 tcpdump -i eth0 -s 0 -w file.pcap Tcpdump -i eth0 port 22 读取抓文件 Tcpdump -r file.pcap 实际操作: 查看参数:tcpdump -h 常用: tcpdump -i eth0 -s 0 -w a.acp -i eth0: 用eth0 接口进行抓...
tcpdump显示udp_TCPDUMP , 怎么查看 抓的内容呢?
weixin_31935149的博客
12-23 1282
tcpdump -q -X udp port 3333用了上面的命令,但是得到的结果还是不能够直接看出内容。是不是还要添加什么参数。cpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture siz...
使用tcpdump查看原始数据
coderOnline的博客
01-29 1050
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。 使用tcpdump的最基本方法是简单地发出以下命令: tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。 有用的选项 假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据淹没。为避免这种情况,只需从输出中消除端口22: tcpdump not port 22您可以使用许多不
计算机网络抓工具——tcpdump详解
m0_52165864的博客
08-01 2万+
tcpdump是Linux里的字符界面的数据抓分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump 显示内容
最新发布
06-13
使用tcpdump显示内容,可以使用以下命令: ``` tcpdump -i <interface> -nnX ``` 其中,`<interface>`是你要监听的网络接口。`-nn`选项表示不对IP端口进行解析,直接显示数字格式。`-X`选项表示以十六进制和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值