tcpdump 监听多个端口_Tcpdump,TCP三次握手四次挥手

最新推荐文章于 2024-04-17 13:37:27 发布
最新推荐文章于 2024-04-17 13:37:27 发布
阅读量4.7k 收藏
点赞数 1
文章标签: tcpdump 监听多个端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39986741/article/details/111363442
版权

实验环境:

虚拟机 Centos 7.6  192.168.5.130  test1

使用到的命令:

tcpdump  nc 

1.模拟环境,监听端口8888,监听状态。

[root@test1 ~]# nc -lk 8888 &[1] 12714[root@test1 ~]# netstat -anltp|grep 8888tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN      12714/nc            tcp6       0      0 :::8888                 :::*                    LISTEN      12714/nc            [root@test1 ~]#

2.tcpdump本地lo抓包

[root@test1 ~]# tcpdump  -S -i lo  port 8888tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes

3.连接telnet  8888端口进行测试

[root@test1 ~]# nc -nv 192.168.5.130 8888Ncat: Version 7.50 ( https://nmap.org/ncat )Ncat: Connected to 192.168.5.130:8888.

4.三次握手过程

假设 A 为客户端,B 为服务器端。

  • 首先 B 处于 LISTEN(监听)状态,等待客户的连接请求。(A:CLOSED    B:LISTEN)

  • A 向 B 发送连接请求报文,SYN=1,ACK=0,选择一个初始的序号 x。(A:SYN_SEND    B:LISTEN)

  • B 收到连接请求报文,如果同意建立连接,则向 A 发送连接确认报文,SYN=1,ACK=1,确认号(期待收到的下一个序号值)为 x+1,同时也选择一个初始的序号 y。(A:LISTEN    B:SYN_RECEIVED)

  • A 收到 B 的连接确认报文后,还要向 B 发出确认,确认号为 y+1,序号为 x+1。(A:ESTABLISHED   B:SYN_RECEIVED)

  • B 收到 A 的确认后,连接建立。(A:ESTABLISHED    B:ESTABLISHED)

[root@test1 ~]# tcpdump  -S -i lo  port 8888tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes06:01:33.157748 IP test1.54184 > test1.ddi-tcp-1: Flags [S], seq 3522850363, win 43690, options [mss 65495,sackOK,TS val 25709696 ecr 0,nop,wscale 7], length 006:01:33.157778 IP test1.ddi-tcp-1 > test1.54184: Flags [S.], seq 456495191, ack 3522850364, win 43690, options [mss 65495,sackOK,TS val 25709696 ecr 25709696,nop,wscale 7], length 006:01:33.157798 IP test1.54184 > test1.ddi-tcp-1: Flags [.], ack 456495192, win 342, options [nop,nop,TS val 25709696 ecr 25709696], length 0

a5629cfa083b96e9ba54cc979cd75373.png

4.断开连接

[root@test1 ~]# nc -nv 192.168.5.130 8888Ncat: Version 7.50 ( https://nmap.org/ncat )Ncat: Connected to 192.168.5.130:8888.^C[root@test1 ~]# nc -nv 192.168.5.130 8888Ncat: Version 7.50 ( https://nmap.org/ncat )Ncat: Connected to 192.168.5.130:8888.^C[root@test1 ~]#

5.四次挥手过程

  • A 发送连接释放报文,FIN=1。(A:FIN_WAIT1    B:ESTABLISHED)

  • B 收到之后发出确认,此时 TCP 属于半关闭状态,B 能向 A 发送数据但是 A 不能向 B 发送数据。(A:FIN_WAIT_2   B:CLOSED_WAIT)

  • 当 B 不再需要连接时,发送连接释放报文,FIN=1。(A:FIN_WAIT_2    B:LAST_ACK)

  • A 收到后发出确认,进入 TIME-WAIT 状态,等待 2 MSL(最大报文存活时间)后释放连接。(A:TIME_WAIT    B:LAST_ACK)

  • B 收到 A 的确认后释放连接。(B:CLOSED)

[root@test1 ~]# tcpdump  -S -i lo  port 8888tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes06:01:33.157748 IP test1.54184 > test1.ddi-tcp-1: Flags [S], seq 3522850363, win 43690, options [mss 65495,sackOK,TS val 25709696 ecr 0,nop,wscale 7], length 006:01:33.157778 IP test1.ddi-tcp-1 > test1.54184: Flags [S.], seq 456495191, ack 3522850364, win 43690, options [mss 65495,sackOK,TS val 25709696 ecr 25709696,nop,wscale 7], length 006:01:33.157798 IP test1.54184 > test1.ddi-tcp-1: Flags [.], ack 456495192, win 342, options [nop,nop,TS val 25709696 ecr 25709696], length 006:02:19.356626 IP test1.54184 > test1.ddi-tcp-1: Flags [F.], seq 3522850364, ack 456495192, win 342, options [nop,nop,TS val 25755895 ecr 25709696], length 006:02:19.357240 IP test1.ddi-tcp-1 > test1.54184: Flags [.], ack 3522850365, win 342, options [nop,nop,TS val 25755896 ecr 25755895], length 006:12:55.196604 IP test1.ddi-tcp-1 > test1.54184: Flags [F.], seq 456495192, ack 3522850365, win 342, options [nop,nop,TS val 26391735 ecr 25755895], length 006:12:55.196631 IP test1.54184 > test1.ddi-tcp-1: Flags [R], seq 3522850365, win 0, length 0^C7 packets captured14 packets received by filter0 packets dropped by kernel[root@test1 ~]#

fac3fc154b26770864fd95902512cedf.png

6.tcpdump 常用参数

tcpdump -i ens33 -s 0 -w a.cap 网卡ens33并保存到a.cap
tcpdump -X -r a.cap  以16进制和ASCII的形式显示抓包的内容

tcpdum -i ens33 port 80  网卡ens33 80端口

tcpdump  src 192.168.5.130   原地址192.168.5.130
tcpdump  dst  192.168.5.130   目的地址192.168.5.130
tcpdump  tcp and src 192.168.1.130  and port 80 TCP80端口
tcpdump  tcp and src 192.168.5.130 and not port 80  TCP非80端口

weixin_39986741
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump 监听多个端口_使用tcpdump查看原始数据包
weixin_39771969的博客
11-28 4906
链接:https://www.jianshu.com/p/e80227d2f3d1尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远...
tcpdump 监听多个端口_分布式环境下OSSIM服务端口说明
weixin_39857211的博客
12-10 373
1.背景在分布式OSSIM系统调试中往往需要对一些常用服务端口的流量进行监听,以便查找故障,下面将Sensor和Server之间无法通讯时会造成以下子系统无法显示数据进行简要说明。Dashboards 仪表盘Analysis→SIEMVulnerabilities漏洞扫描无法正常工作Profiles→NtopDetetion→OSSEC Server失效Deployment→Alienvault→...
tcpdump 抓取多个端口的数据包
哦,原来你也在这里。
03-16 9530
tcpdump -i ens05 tcp and host xxx.xxx.xxx.xxx and port '(25001 or 25002 or 35005' -vv -w test.cap
tcpdump监听端口
weixin_34380948的博客
07-24 704
2019独角兽企业重金招聘Python工程师标准>>> ...
使用 tcpdump监听某一端口数据
Excing的专栏
12-22 1万+
tcpdump -i eth1 -nnn udp port 21001-i 表示指定网卡 -nnn 指定通信协议 port 指定端口
linux下通过命令来观察TCP三次过程(数据包)
01-07
TCP连接的建立过程通常被称为三次(Three-Way Handshake),它确保了两个通信端点能够正确地建立连接并开始数据传输。在这个过程中,每个步骤都由特定的数据包来实现。本篇文章将详细介绍如何在Linux环境下通过...
Linux_Tcp.rar_LINUX TCP _linux TCP_tcp linux
09-24
它通过三次建立连接,并使用序列号和确认应答机制确保数据的正确传输。在Linux中,开发者可以通过标准的socket API来实现TCP通信。 在"TCP socket编程"中,"C/S架构"(客户端/服务器架构)是常见的通信模式。...
tcp连接转储tcpdump
11-13
TCP连接的生命周期包括三次建立连接、数据传输、四次挥手断开连接等阶段。当TCP连接出现问题时,如连接超时、数据丢失、重传、异常关闭等,tcpdump可以捕捉这些连接过程中的数据包,帮助我们理解问题发生的具体...
tcp.rar_c语言编程_tcp_tcp 抓包_抓包_抓包分析
09-23
通过学习这个资源,你不仅可以掌C语言编程技巧,还能深入了解TCP协议的工作流程,包括三次、四次挥手、拥塞控制、滑动窗口机制等核心概念。此外,对于网络故障排查和性能优化来说,掌抓包分析技巧是必不可少...
linuxTCP编程演示代码.rar_LINUX TCP _barks7v_tcp_went7a4
09-23
- TCP通过三次建立连接,四次挥手断开连接,确保连接的可靠性和数据完整性。 2. **socket编程**: - 在Linux中,TCP编程通常基于socket API,它提供了一组接口来创建、连接、监听和接受套接字。 - 使用`...
tcpdump监听并记录特定协议和端口
闲谈莫论人非
06-30 3296
Q. 如何使用 Linux / UNIX 平台下的 TCPDump 工具捕获特定协议或端口比如 80 (http)?如何使用 TCPDump 将流记录下来,然后(根据记录)查找到问题所在?         A. TCPDump 是一个用于网络监控和数据采集的工具。它可以给我们节约大量的时间,并能用于网络调试或者服务器相关的问题的解决。Tcpdump 会将通过匹配布尔表达式的网络接口的包的
[转]tcpdump详细用法
Magicbreaker的专栏
10-20 2291
一、tcpdump简明用法Usage: tcpdump [-adeflnNOpqRStuvxX] [ -c count ] [ -C file_size ]                 [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ]                 [ -T type ] [ -U user ] [ -w fi
tcpdump抓取两个端口的包
fantasyYXQ的博客
01-11 1737
tcpdump抓包两个端口
13TCPDump流量监控工具
dragoncoding的博客
11-14 550
然后具体查看内容(Payload:载荷)
Linux下使用tcpdump监听DNS查询过程
qq_39984899的博客
07-22 1255
Linux下使用tcpdump监听DNS查询过程 打开linux终端输入以下tcpdump监听命令 sudo tcpdump -i wlp0s20f3 -nt -s 500 port domain #使用tcpdump监听 -i指定要监听的网卡接口,wlp0s20f3是网卡接口名称 port domain用来过滤数据包,表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。 打开新终端,使用host命令向DNS服务器查询www.baidu.com的IP地址。 host -t A www.
Linux基础急速入门:用 TCPDUMP 抓包_sudo tcpdump -n -t -s -i enp0s3 port 80
最新发布
2401_84302538的博客
04-17 723
有的时候因为问题不是立马复现,需要后台进行抓包保存,但是如果都抓到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行抓包命令,并且按照时间对每个包进行命名,当不需要抓包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可。注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的包可以使用wireshark工具打开进行分析。网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改。
tcpdump详解
weixin_47202856的博客
04-06 1839
tcpdump是一种常用的网络抓包工具,可以通过监听网络接口实时捕获数据包,并对其进行解析和显示。
tcpdump 详细使用指南(请尽情食用)
热门推荐
叮当猫的喵i
09-06 1万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man册。
tcpdump使用详解
SL_ss123的博客
10-10 2149
tcpdump使用
TCP 面试焦点:三次tcpdump工具使用、重要TCP知识
三次TCP协议中非常重要的一个环节,也是面试中最常见的问题之一。在接下来的第5节中,我们将会更深入地探讨这个话题,不过在这里,我首先要让大家适应一下tcpdump工具,并放松一下心情。 TCP协议作为互联网中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值