10.计算机网络---tcpdump抓包工具

最新推荐文章于 2024-05-06 13:18:24 发布
最新推荐文章于 2024-05-06 13:18:24 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: tcpdump 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43880061/article/details/126002539
版权

假如你现在是一个网站的维护人员,维护着某台服务器,那么你如何知道客户端的人访问到你的服务器了呢?
1. 查看日志。我们可以查看某个服务对应的日志,那么便知道是否有人访问了,比如说nginx,那么我们可以查看nginx的access日志
2. netstat查看State列的状态。ESTABLISHED就是建立连接,web服务采用的是http协议,传输层采用的是tcp协议,那么就会建立三次握手,所以可以通过查看状态来确认是否有建立连接
3. 可以通过抓包工具来分析。例如服务器某个服务对应的端口是80,协议是tcp协议,那么我们可以使用抓包工具抓去特定端口和协议的包

在网络中抓包,我们可以使用Windows的Ciso Packet、wireshark等工具,也可以使用Linux中特有的tcpdump来抓包分析。

tcpdump抓包工具

参数详解

  1. -i 指定需要监听的接口
  2. -n 不把IP转换成域名,直接显示IP,避免了域名解析的过程,速度会快很多
  3. -nn 不进行端口和IP地址名称的转换,直接以数字的形式显示,速度会快很多
  4. -vv 输出详细的报文信息
  5. -w 将捕获到的信息保存到文件中,并且不会打印在屏幕上
  6. -r 从文件中读取数据
  7. -D 显示系统中所有可以用的tcpdump截包的网络接口
  8. -t 在每行的输出中不输出时间
  9. -tt 在每行的输出中会输出一个时间戳
  10. -Q 选择是入方向还是出方向的数据包,可选项有:in, out, inout

常见的过滤规则

  1. 指定IP
    src host -->source host
    dst host -->destination host
    host —> 不区分源或者目的IP
  2. 指定端口
    src port -->source port
    dst port --> destination port
    port
  3. 指定协议
    tcp
    udp
    arp
    icmp
  4. 指定mac地址
    ether src
  5. net 指定网络地址,可以是一个网段

注意:多个条件结合的时候,要使用运算符和连接,例如and、or、not、!

一些举例

抓取访问本机的22号端口的数据包

tcpdump -i ens33 port 22

抓取访问本机的icmp报文或者arp报文

tcpdump -nn -i ens33 icmp or arp

抓取源IP是从192.168.0.0网段来的,访问本机22号端口的数据包

tcpdump -i ens33 port 22 and src net 192.168.0.0/24

抓取源ip地址是192.168.0.1访问本机的tcp协议的80端口的数据包

tcpdump -i ens33 src host 192.168.0.1 and dst port 80 and tcp

抓取源ip是192.168.0.189,目的端口是80,目的ip地址是192.168.0.204的数据包

tcpdump -i ens33 src host 192.168.0.189 and dst port 80 and dst host 192.168.0.204

抓取源ip是192.168.0.123,目的ip地址是114.114.114.114的udp的53号端口的数据包

tcpdump -nn -i ens33 src host 192.168.0.123 and  dst host 114.114.114.114 and dst port 53 and udp

-i指定网卡,tcp是协议,src host是源IP(如果通过浏览器访问的话,就是真实机器的IP),dst port目的端口,-nn是指以数字的方式展示出来,不同的选项之间要使用and连接

tcpdump -i ens33 tcp and src host 192.168.2.105 and dst port 80 -nn

将抓取到的数据存入文件中,并且再打开

[root@xieshan lianxi]# tcpdump -i ens33 tcp and src host 192.168.2.105 and dst port 80 -nn -w web.data	#-w将抓包到的数据存入文件中,但是查看会有一些乱码,必须在Windows中通过字符界面的抓包工具wireshark打开
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
^C6 packets captured
6 packets received by filter
0 packets dropped by kernel
[root@xieshan lianxi]# cat web.data 
NN??k?be>
  ){?`0??E@@@????i??+?P?Ob???ʹ?
BBQn?k?b?N
  ){?`0??E4@@????i??+?P?Ocb}?l?
?w
??Qr1???k?bVO
  ){?`0??E?@@?q??i??+?P?Ocb}?l?
?r
dRQr1??GET / HTTP/1.1
Host: 192.168.2.43
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.3 Safari/605.1.15
Accept-Language: zh-CN,zh-Hans;q=0.9
Accept-Encoding: gzip, deflate
Connection: keep-alive
[root@xieshan lianxi]# tcpdump -r web.data 	#tcpdump 的-r选项也可以很直观的看到
reading from file web.data, link-type EN10MB (Ethernet)
21:29:52.867941 IP 192.168.2.105.50691 > xieshan.http: Flags [S], seq 401362786, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 1683116398 ecr 0,sackOK,eol], length 0
21:29:52.872067 IP 192.168.2.105.50691 > xieshan.http: Flags [.], ack 1652406636, win 2058, options [nop,nop,TS val 1683116402 ecr 36827091], length 0
21:29:52.872278 IP 192.168.2.105.50691 > xieshan.http: Flags [P.], seq 0:366, ack 1, win 2058, options [nop,nop,TS val 1683116402 ecr 36827091], length 366: HTTP: GET / HTTP/1.1
21:29:52.876385 IP 192.168.2.105.50691 > xieshan.http: Flags [.], ack 743, win 2047, options [nop,nop,TS val 1683116407 ecr 36827096], length 0
21:29:53.965394 IP 192.168.2.105.50691 > xieshan.http: Flags [P.], seq 366:732, ack 743, win 2048, options [nop,nop,TS val 1683117496 ecr 36827096], length 366: HTTP: GET / HTTP/1.1
21:29:53.969304 IP 192.168.2.105.50691 > xieshan.http: Flags [.], ack 1485, win 2036, options [nop,nop,TS val 1683117500 ecr 36828189], length 0

关于tcpdump更加详细的解析,推荐看这篇博客:全网最详细的tcpdump使用指南

万物皆可爱33
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于fi dd ler 手机抓包 网卡地址地址_终端抓包与日志分析方法
weixin_39710951的博客
10-22 312
作为工程师,检测应用是否有收发包常见的方法就是抓包。linux平台下可以通过tcpdump命令进行抓包,windows 和Mac 平台也有Wireshark工具,对于终端如何进行抓包与日志分析。终端抓包方法 苹果的生态很封闭,但开发工具很完美。将手机与Mac相连后,通过xcode就可以查看手机设备信息,获取到设备的udid 信息。在通过命令 rvictl 创建一张虚拟网卡,此...
tcpdump详细数据显示方法
嵌入式技术在路上
02-19 1万+
抓取UDP某一个端口的数据,显示详细信息 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 抓取发到服务器的某一个端口的数据: tcpdump udp port 18290 -XX -vvv -nn -v:当分析和打印的时候,产生详细的输出。 -vv:产生比-v更详细的输出。 ...
WireShark对tcp通信数据的抓包
最新发布
2301_77164542的博客
05-06 1244
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
tcpdump使用手册
太极淘的博客
05-17 688
Tcpdump 是一个网络故障排除命令,也称为数据包嗅探器,用于捕获和显示来自网络的数据包。Tcpdump 允许用户捕获和显示通过计算机连接的网络传输或接收的 TCP/IP 和其他数据包(UDP、ARP 或 ICMP)。 您可以对数据包应用过滤器,并且可以避免您不想看到的流量。您可以捕获通过本地网络的所有数据,并将该数据放入文件中以供以后分析。要运行 tcpdump 命令,您需要 root 或具有sudo 权限的用户。 在本教程中,我们将学习如何使用 tcpdump 命令来分析 Linux 机器上的流量
通过TCPdump等工具排查网络问题以及优化
weixin_43703284的博客
06-24 2026
在需要对网络问题进行简单的分析的时候,掌握一个重要的诊断工具是必须的,这里推荐的基于UNIX平台的上的Tcpdump,它可以帮助解决与TCP/IP网络相关的问题。
Linux tcpdump抓包命令
zy08403的专栏
09-13 1594
tcpdump是对网络上的数据包进行截获的包分析工具,它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。抓包方法:首先使用tcpdump命令截获本机与某远程主机的数据包,然后打开某远程主机对应的网站,这里用我的域名。10 表示客户端收到服务端发送的断开连接的请求 发送确认信息 ack=421180538。4 表示客户端接受到服务器的同意连接的请求 发送确认信息 ack=421177756。:截获该IP的主机收到的和发出的所有的数据包。
抓包工具-tcpdump
07-14
两个字--值得保留,直接在liunx 下随意使用,使用方法简单易学
tcpdump源码(tcpdump-4.99.4.tar.gz)生成tcpdump
09-03
tcpdump源码编译,需要多个部件的源码进行顺序编译而成。 m4-1.4.19.tar.gz ...tcpdump-4.99.4.tar.gz tar xvf *.tar解压后,分别执行./configure 和make install(root执行),即可编译和安装好tcpdump
tcpdump-4.9.3-6.ky10.aarch64.rpm
04-27
银河麒麟ARM版抓包工具
tcpdump抓包工具离线安装包
10-13
tcpdump抓包工具离线安装包
安卓版抓包工具tcpdump
11-25
安卓版抓包工具
tcpdump抓包分析
daidadeguaiguai的博客
08-17 2296
转:tcpdump抓包分析(强烈推荐) 转自:https://mp.weixin.qq.com/s?__biz=MzAxODI5ODMwOA==&mid=2666539134&idx=1&sn=5166f0aac718685382c0aa1cb5dbca45&scene=5&srcid=0527iHXDsFlkjBlkxHbM2S3E#rd 转自:http://www.jianshu.com/p/8d9accf1d2f1 1 起因 前段时间,一直在调线上的
使用tcpdump查看HTTP请求响应
03-14 7279
https://www.jianshu.com/p/3cca9a74927ctcpdump安装在Ubuntu/Debian系统上,执行如下命令安装tcpdump工具:sudo apt-get install tcpdump 在CentOS系统上,执行如下命令安装tcpdump工具:sudo yum install tcpdump 安装完tcpdump后,就可以使用man命令查看tcpdump的文档...
centos下使用tcpdump来抓包查看服务器上的get或post请求
这么多柠檬c
04-02 7057
有时候我们需要在流量异常时候,去查看服务器上的各种实时请求数据,这样就更好的能分析问题出来。 首先没有tcpdump情况下可以,yum install tcpdump 进行安装。 查看HTTP GET请求 tcpdump -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x4745542...
android tcpdump log分析,Log中'main', 'system', 'radio', 'events'以及android log分析
weixin_31034309的博客
05-28 635
1log文件分类简介实时打印 的主要有: logcat main , logcat radio , logcat events , tcpdump ,还有高通平台的还会有 QXDM 日志状态信息 的有: adb shell cat/proc/kmsg , adb shell dmesg , adb shell dumpstate , adb shell dumpsys , adb bugrepor...
Linux tcpdump命令详解
weixin_34008784的博客
01-14 1718
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
聊聊 tcpdump 与 Wireshark 抓包分析
juary_的专栏
06-24 4207
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
tcpdump的输出分析
热门推荐
Chinainvent的专栏
01-11 1万+
以前在TCP卷一里,看到过tcpdump的使用。当时,没太在意,尤其它输出的格式,因为不熟悉,更不愿去用它。这段时间的开发,用socket比较多。在遇到问题时,仅从socket api函数的返回值,往往看不出问题的实质。后来,经laser提醒,才知道tcpdump的强大。这里不想介绍tcpdump的选项,我只想举一些实例,以便给自己作个笔记。使用以下命令,监听15001端口的tcp连接,-
tcpdump抓包命令
09-10
### 回答1: tcpdump 是一个网络抓包工具,可以用来捕获、分析和解释网络数据包。以下是 tcpdump 的基本用法: 1. 抓取指定接口的数据包: ``` tcpdump -i eth0 ``` 2. 抓取指定 IP 地址的数据包: ``` tcpdump host 192.168.1.100 ``` 3. 抓取指定端口的数据包: ``` tcpdump port 80 ``` 4. 抓取指定源 IP 地址或目的 IP 地址的数据包: ``` tcpdump src 192.168.1.100 tcpdump dst 192.168.1.100 ``` 5. 抓取指定协议类型的数据包: ``` tcpdump icmp tcpdump udp tcpdump tcp ``` 6. 抓取指定网段的数据包: ``` tcpdump net 192.168.1.0/24 ``` 7. 将抓包结果输出到文件: ``` tcpdump -w capture.pcap ``` 8. 从抓包文件中读取数据包: ``` tcpdump -r capture.pcap ``` 以上是 tcpdump 常用的基本命令,更多命令请查看 tcpdump 的手册页。 ### 回答2: tcpdump是一种在Linux操作系统下常用的网络抓包工具,可以用于捕获和分析网络上的数据包。它基于libpcap库,并且可以在终端上以命令行的方式运行。 使用tcpdump命令时,需要在终端中输入指定的参数来设置过滤条件和输出选项。以下是一些常用的tcpdump命令参数: 1. -i参数:用于指定抓包的网络接口。可以输入网络接口的名称,如eth0或wlan0。 2. -n参数:以数字形式显示主机地址而不是进行反向解析。 3. -X参数:显示数据包的十六进制和ASCII形式。 4. -c参数:指定抓包的数量。例如,使用-c 10可以抓取10个数据包后就停止。 5. -s参数:设置抓包的数据包长度。例如,-s 100可以指定抓取100字节的数据包。 6. -w参数:指定抓包数据的输出文件。例如,-w capture.pcap可以将抓包数据保存为名为capture.pcap的文件。 7. 表达式:可以使用表达式来设置过滤条件,例如指定源或目标IP地址或端口,以限制抓取特定的数据包。 当输入tcpdump命令并按下回车时,它将开始捕获网络上的数据包。捕获到的数据包将以逐个数据包的方式显示在终端上,包括源IP地址、目标IP地址、协议类型、目标端口等信息。可以按Ctrl+C来停止抓包。 总结起来,tcpdump是一种功能强大的抓包工具,可以帮助我们分析和排查网络问题。通过设置不同的参数和过滤条件,我们可以灵活地抓取并分析所需的数据包。 ### 回答3: tcpdump是一种在计算机网络上抓取数据包并进行分析的命令行工具。它通常用于诊断网络问题和监视网络流量。 使用tcpdump命令时,需要以root用户或具有网络管理员权限的账户运行。以下是一些常用的tcpdump命令参数和用法: 1. 抓取指定网络接口上的数据包: tcpdump -i eth0 该命令将在eth0接口上抓取数据包。 2. 抓取指定源或目标IP地址的数据包: tcpdump src 192.168.1.100 tcpdump dst 192.168.1.100 这些命令将抓取以192.168.1.100为源或目标IP地址的数据包。 3. 抓取指定端口的数据包: tcpdump port 80 tcpdump portrange 1000-2000 这些命令将抓取目标端口为80或在1000至2000范围内的数据包。 4. 保存抓取到的数据包到文件中: tcpdump -w output.pcap 该命令将把抓取到的数据包保存到output.pcap文件中,以便后续分析。 5. 显示抓取到的数据包信息: tcpdump -r input.pcap tcpdump -A 这些命令将显示input.pcap文件中的数据包信息或以可读形式显示抓取到的数据包内容。 6. 显示部分数据包信息: tcpdump -c 10 该命令将抓取并显示前10个符合条件的数据包。 tcpdump命令还有很多其他参数可以用于过滤数据包、显示指定的协议等。它可以帮助管理员查找网络故障、检查网络流量、监视网络安全等。因其灵活性和强大的功能,tcpdump网络管理员和安全专家常用的工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值