在在Linux中中使使用用tcpdump命命令令捕捕获获与与分分析析数数据据包包详详解解
tcpdump 是linux系统中提供的一个命令行工具,可以将网络中传送的数据包完全截获下来,提供网络数据分析。下
面这篇 章主要给大家介绍了关于如何在Linux 中使用tcpdump命令捕获与分析数据包的相关资料,需要的朋友可
以参考下
前前言言
tcpdump 是一个有名的命令行数据包分析工具。我们可以使用 tcpdump 命令捕获实时 TCP/IP 数据包,这些数据包
也可以保存到 件中。之后这些捕获的数据包可以通过 tcpdump 命令进行分析。tcpdump 命令在网络层面进行故障
排除时变得非常方便。
tcpdump 在大多数 Linux 发行版中都能用,对于基于 Debian 的Linux,可以使用 apt 命令安装它。
# apt install tcpdump -y
在基于 RPM 的 Linux 操作系统上,可以使用下面的 yum 命令安装 tcpdump。
# yum install tcpdump -y
当我们在没用任何选项的情况下运行 tcpdump 命令时,它将捕获所有接口的数据包。因此,要停止或取消 tcpdump
命令,请键入 ctrl+c。在本教程中,我们将使用不同的实例来讨论如何捕获和分析数据包。
示示例例 ::1))从从特特定定接接口口捕捕获数数据据包包
当我们在没用任何选项的情况下运行 tcpdump 命令时,它将捕获所有接口上的数据包,因此,要从特定接口捕获数
据包,请使用选项 -i,后跟接口名称。
语法 :
# tcpdump -i {接口名}
假设我想从接口 enp0s3 捕获数据包。
输出将如下所示,
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN 0MB (Ethernet), capture size 262 44 bytes
06:43:22.905890 IP compute-0- ..ssh > 69. 44.0. .39374 : Flags [P.], seq 2 952
60:2 952540, ack 3537, win 29 , options [nop,nop,TS val 26 64373 ecr 6580205], length 3
80
06:43:22.906045 IP compute-0- ..ssh > 69. 44.0. .39374 : Flags [P.], seq 2 952
540:2 952760, ack 3537, win 29 , options [nop,nop,TS val 26 64373 ecr 6580205], length 2
20
06:43:22.906 50 IP compute-0- ..ssh > 69. 44.0. .39374 : Flags [P.], seq 2 952
760:2 952980, ack 3537, win 29 , options [nop,nop,TS val 26 64373 ecr 6580205], length 2
20
06:43:22.90629 IP 69. 44.0. .39374 > compute-0- ..ssh: Flags [.], ack 2 9529
80, win 3094, options [nop,nop,TS val 6580205 ecr 26 64373], length 0
06:43:22.906303 IP 69. 44.0. .39374 > compute-0- ..ssh: Flags [P.], seq 3537
: 3609, ack 2 952980, win 3094, options [nop,nop,TS val 6580205 ecr 26 64373], length 72
06:43:22.906322 IP compute-0- ..ssh > 69. 44.0. .39374 : Flags [P.], seq 2 952