tcpdump学习笔记

已于 2024-09-04 14:20:46 修改
阅读量842 收藏 19
点赞数 10
文章标签: tcpdump 学习 笔记
于 2024-09-04 13:56:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44851234/article/details/141887251
版权

tcpdump

tcpdump一个unix下的网络数据采集工具,即常说的抓包工具。

tcpdump参数组成

网络上流量、数据包非常多,为了抓取到我们需要的数据包,就需要定义一个精准的过滤器,从大量数据包中抓取出我们所需要的数据包。所以需要抓包工具,其实就是学习如果定义过滤器的过程。

而过滤器的实现就是通过一个又一个参数组合起来的。一个参数不够精准就再加一个参数。直到能留下我们刚兴趣的数据包。

tcpdump的各种参数:

$ tcpdump tcp src host 192.168.10.100

tcpdump [option] [proto] [dir] [type]

--[option]: [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
               [ -Q|-P in|out|inout ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
               [ expression ]
 
--[proto]: tcp、udp、icmp、ip、ip6、arp、rarp、ether、wlan
--[dir]:src、dst、src or dst
--[type]:host、net、port、portrange
  1. option 可选参数:将在后边一一解释。
  2. proto 类过滤器:根据协议进行过滤,可识别的关键词有: tcp, udp, icmp, ip, ip6, arp, rarp,ether,wlan, fddi, tr, decnet
  3. type 类过滤器:可识别的关键词有:host, net, port, portrange,这些词后边需要再接参数。
  4. direction 类过滤器:根据数据流向进行过滤,可识别的关键字有:src, dst,同时你可以使用逻辑运算符进行组合,比如 src or dst。

常用过滤规则

基于IP的过滤:host

使用host就可以指定host ip进行过滤

$ tcpdump host 192.168.10.100

数据包的ip可以再细分为源ip和目标ip两种

# 根据源ip进行过滤
$ tcpdump -i eth2 src 192.168.10.100

# 根据目标ip进行过滤
$ tcpdump -i eth2 dst 192.168.10.200

基于网段进行过滤:net

若你的ip范围是一个网段,可以直接这样指定

$ tcpdump net 192.168.10.0/24

网段同样可以再细分为源网段和目标网段

# 根据源网段进行过滤
$ tcpdump src net 192.168

# 根据目标网段进行过滤
$ tcpdump dst net 192.168

基于端口号进行过滤:port

使用 port 就可以指定特定端口进行过滤。

$ tcpdump port 8088

端口同样可以再细分为源端口,目标端口

# 根据源端口进行过滤
$ tcpdump src port 8088

# 根据目标端口进行过滤
$ tcpdump dst port 8088

如果你想要同时指定两个端口你可以这样写

$ tcpdump port 80 or port 8088

但也可以简写成这样

$ tcpdump port 80 or 8088

如果你的想抓取的不再是一两个端口,而是一个范围,一个一个指定就非常麻烦了,此时你可以这样指定一个端口段。

$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

对于一些常见协议的默认端口,我们还可以直接使用协议名,而不用具体的端口号

比如 http == 80,https == 443 等

$ tcpdump tcp port http

基于协议进行过滤: proto

常见的网络协议有:tcp, udp, icmp, http, ip,ipv6 等

若你只想查看 icmp 的包,可以直接这样写

$ tcpdump icmp

基于IP协议的版本进行过滤

当你想查看 tcp 的包,你也许会这样子写

$ tcpdump tcp

这样子写也没问题,就是不够精准,为什么这么说呢?

ip 根据版本的不同,可以再细分为 IPv4 和 IPv6 两种,如果你只指定了 tcp,这两种其实都会包含在内。

那有什么办法,能够将 IPv4 和 IPv6 区分开来呢?

很简单,如果是 IPv4 的 tcp 包 ,就这样写(友情提示:数字 6 表示的是 tcp 在ip报文中的编号。)

$ tcpdump 'ip proto tcp'

# or

$ tcpdump ip proto 6

# or

$ tcpdump 'ip protochain tcp'

# or 

$ tcpdump ip protochain 6

而如果是 IPv6 的 tcp 包 ,就这样写

$ tcpdump 'ip6 proto tcp'

# or

$ tcpdump ip6 proto 6

# or

$ tcpdump 'ip6 protochain tcp'

# or 

$ tcpdump ip6 protochain 6

关于上面这几个命令示例,有两点需要注意:

跟在 proto 和 protochain 后面的如果是 tcp, udp, icmp ,那么过滤器需要用引号包含,这是因为 tcp,udp, icmp 是 tcpdump 的关键字。
跟在ip 和 ip6 关键字后面的 proto 和 protochain 是两个新面孔,看起来用法类似,它们是否等价,又有什么区别呢?
关于第二点,网络上没有找到很具体的答案,我只能通过 man tcpdump 的提示, 给出自己的个人猜测,但不保证正确。

proto 后面跟的 的关键词是固定的,只能是 ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui 这里面的其中一个。

而 protochain 后面跟的 protocol 要求就没有那么严格,它可以是任意词,只要 tcpdump 的 IP 报文头部里的 protocol 字段为 就能匹配上。

理论上来讲,下面两种写法效果是一样的

$ tcpdump 'ip && tcp'
$ tcpdump 'ip proto tcp'

同样的,这两种写法也是一样的

$ tcpdump 'ip6 && tcp'
$ tcpdump 'ip6 proto tcp'

可选参数解析

设置不解析域名提升速度

  • -n:不把ip转化成域名,直接显示 ip,避免执行 DNS lookups 的过程,速度会快很多
  • -nn:不把协议和端口号转化成名字,速度也会快很多。
  • -N:不打印出host 的域名部分.。比如, 如果设置了此选项,tcpdump 将会打印’nic’ 而不是 ‘nic.ddn.mil’.

过滤结果输出到文件

tcpdump+wireshark配合使用,将tcpdump抓到的包保存为后缀为.pcap,然后用wireshark打开分析。
使用 -w 参数后接一个以 .pcap 后缀命名的文件名,就可以将 tcpdump 抓到的数据保存到文件中。

$ tcpdump icmp -w icmp.pcap

从文件中读取包数据

使用 -w 是写入数据到文件,而使用 -r 是从文件中读取数据。
读取后,我们照样可以使用上述的过滤器语法进行过滤分析。

$ tcpdump icmp -r all.pcap

过滤规则组合

  • and:所有的条件都需要满足,也可以表示为 &&
  • or:只要有一个条件满足就可以,也可以表示为 ||
  • not:取反,也可以使用 !

举个例子,我想需要抓一个来自10.5.2.3,发往任意主机的3389端口的包。

$ tcpdump src 10.5.2.3 and dst port 3389

当你在使用多个过滤器进行组合时,有可能需要用到括号,而括号在 shell 中是特殊符号,因此你需要使用引号将其包含。例子如下:

$ tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

而在单个过滤器里,常常会判断一条件是否成立,这时候,就要使用下面两个符号

  • =:判断二者相等
  • ==:判断二者相等
  • !=:判断二者不相等
    当你使用这两个符号时,tcpdump 还提供了一些关键字的接口来方便我们进行判断,比如
  • if:表示网卡接口名、
  • proc:表示进程名
  • pid:表示进程 id
  • svc:表示 service class
  • dir:表示方向,in 和 out
  • eproc:表示 effective process name
  • epid:表示 effective process ID

比如我现在要过滤来自进程名为 nc 发出的流经 en0 网卡的数据包,或者不流经 en0 的入方向数据包,可以这样子写

$ tcpdump "( if=en0 and proc =nc ) || (if != en0 and dir=in)"

参考原文

https://www.cnblogs.com/wongbingming/p/13212306.html
https://blog.csdn.net/ybhuangfugui/article/details/119745385

EarthMan001
关注
  • 10
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump学习笔记记录
yinn
08-09 711
前期准备要想学会tcpdump,最起码需要对tcp/ip协议有一定了解,比如tcp三次握手,相关只是可以看看《计算机网络》或者《TCP/IP详解》。tcpdump使用格式格式: tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -
tcpdump抓包笔记
qq_33451695的博客
11-17 4625
抓包工具tcpdump笔记
tcpdump 常规参数介绍
weixin_57632548的博客
11-22 1348
Tcpdump用简单的语言概括就是dump the traffic on a network,是linux环境下抓包工具,可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕,也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题。
使用tcpdump 进行网络包分析
热门推荐
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有
Tcpdump学习笔记
汗的博客
01-21 256
tcpdump输出 tcpdump输出结构 04:10:46.852184 IP localhost.localdomain.ssh > 192.168.190.1.63683: Flags [P.], seq 408261743:408261939, ack 192715332, win 264, length 196 第一列:时分秒毫秒 第二列:网络协议 第三列:发送方的ip地址+端口号 第四列:箭头方向 表示数据流向 第五列:接收方的ip地址+端口号 第六列:冒号 第七列:数据包内容,包括Fl
tcpdump学习笔记
Code_Thinking的专栏
11-22 674
Tcpdump?      用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。-
TCPDUMP学习笔记
weixin_30341735的博客
01-22 566
1.启动 普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包,注意这里使用超级用户。当用户上网得时候,就会将监视得数据打印出来。 我没使用root用户,结果输入tcpdump命令,提示: tcpdump: packet printing is not supported for link type BLUETOOTH_HCI_H4_WITH_PHDR: use –w ...
Tcpdump学习笔记.docx
07-03
Tcpdump学习笔记Tcpdump是一款强大的网络数据包捕获工具,广泛应用于类UNIX系统,主要用于网络分析和故障排查。其核心功能是能够实时截取网络中的数据包,并将其内容输出,帮助用户理解网络流量的模式,检测...
【安全牛学习笔记tcpdump抓包实战
edu_aqniu的博客
10-19 840
抓包实战 1. feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -X 'port 53' -c 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB
tcpdump介绍与使用方法笔记
weixin_45766369的博客
04-26 757
1.是什么? TCPDump可以将网络中传送的数据包完全截获下来提供分析。针对网络层、协议、主机、网络或端口进行过滤,并提供and、or、not等逻辑语句。 2.应用场景? 性能问题:SSH 连接服务器缓慢,网络程序性能低--分析数据流走向 网络故障:数据包分析 3.原理分析? tcpdump 运行在用户态,本质上是通过调用 libpcap 库的各种 api 来实现数据包的抓取功能。 通过上图,我们可以很直观的看到,数据包到达网卡后,经过数据包过滤器(BPF)筛选后,拷贝至用户...
tcpdump常用指令
Artisan_w
08-15 678
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包)打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包。打印所有源地址或目标地址是本地主机的IP数据包。监视所有送到主机hostname的数据包。监视指定主机和端口的数据包。
iomuxc、pinctrl子系统、gpio子系统(学习总结)
weixin_61385844的博客
09-04 948
IOMUXC是SOC设计中实现引脚复用的关键组件,它通过动态切换引脚功能,提高了IO资源的利用率,满足了不同外设和功能的IO需求。在配置和使用IOMUXC时,需要参考芯片使用手册和设备树文档,确保引脚功能的正确设置。
java重点学习-spring
qq_40453972的博客
09-03 889
AOP称为面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取并封装为一个可重用的模块,这个模块被命名为“切面”(Aspect),减少系统中的重复代码,降低了模块间的耦合度,同时提高了系统的可维护性。常见的AOP使用场景记录操作日志、●缓存处理Spring中内置的事务处理什么是AOP面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取公共模块复用,降低耦合你们项目中有没有使用到AOP。
学习项目1
m0_62803606的博客
09-03 1616
这篇文章主要记录你最近入手的无线串口模块的配置情况,这是个很好的习惯,尤其是在你以后需要重复操作或排查问题时,会非常有帮助。- **DL_20无线串口模块**:这是一个常见的无线串口通信模块,通常基于nRF24L01+等无线通信芯片,支持点对点或多点通信,适合短距离的无线数据传输。是的,如果你按照步骤成功配置了两个模块并将它们连接到单机和电脑,当你在上位机软件(如SSCOM)上能稳定地接收到从单片机发送的数据(例如每秒输出的T值),就说明两个无线模块之间的通信已经配置成功。
Android Fragment 学习备忘
最新发布
sdaujz的博客
09-08 304
1.fragment的动态添加与管理:
9.6学习记录+三场笔试
m0_62956971的博客
09-07 908
短作业优先。
MatLab基础学习01
当回首往事的时候,不会因虚度年华而悔恨,也不会因碌碌无为而羞愧。
09-03 873
构建矩阵直接用空格或者括号,如果是多行的矩阵,可以用;来实现换行按照步长进行创建repmat重复一个已有数组进行创建ones生成一个都是1的矩阵,其中ones(2,4)代表生成一个2行4列都是1的矩阵矩阵的正常加减都是对位进行加减矩阵的这个相乘,需要(n,m)*(m,z) 内标要相同,4行,2列的乘以2行4列的A. *B代表的是对应项进行相乘一个矩阵除以一个矩阵,就等于乘以一个矩阵的逆矩阵(矩阵没有除法,就只有乘法)./代表对应项相除。
EmguCV学习笔记 C# 第10章 人脸识别
UruseiBest 的技术专栏
09-05 520
EmguCV是一个基于OpenCV的开源免费的跨平台计算机视觉库,它向C#和VB.NET开发者提供了OpenCV库的大部分功能。10.1 人脸检测 CascadeClassifier类。10.2.2.1 EigenFaceRecgnizer类。10.2.1 LBPHFaceRecgnizer类。10.2 人脸识别 FaceRecgnizer类。教程配套文件及相关说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值