Linux 之 最简明的 Tcpdump 抓包入门指南

已于 2023-01-17 16:53:23 修改
阅读量455 收藏
点赞数
分类专栏: Linux网络 文章标签: tcpdump 网络 tcp/ip
于 2022-12-28 13:10:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56477161/article/details/128467049
版权

文章目录

简介

今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具,也就是我们常说的抓包工具。
与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。
可以用wireshark 读取tcpdump 生成的pcap文件,用wireshark的图形化界面分析tcpdump 结果数据。

网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。

 tcpdump - dump traffic on a network

一、例子

1.1 不指定任何参数

监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。

tcpdump
1.2 监听特定网卡
tcpdump -i en0
1.3 监听特定主机

示例:监听本机跟主机182.254.38.55之间往来的通信包。

备注:出、入的包都会被监听

tcpdump host 182.254.38.55
1.4 特定来源、目标地址的通信
  1. 特定来源
tcpdump src host hostname
  1. 特定目标地址
tcpdump dst host hostname
  1. 如果不指定 src 跟 dst,那么来源 或者目标 是hostname的通信都会被监听
tcpdump host hostname
1.5 特定端口
tcpdump port 3000
1.6 监听TCP/UDP

服务器上不同服务分别用了TCP、UDP作为传输层,假如只想监听TCP的数据包

tcpdump tcp
1.7 来源主机+端口+TCP

监听来自主机 123.207.116.169 在端口 22 上的TCP数据包

tcpdump tcp port 22 and src host 123.207.116.169
1.8 监听特定主机之间的通信
tcpdump ip host 210.27.48.1 and 210.27.48.2

210.27.48.1 除了和 210.27.48.2 之外的主机之间的通信

tcpdump ip host 210.27.48.1 and ! 210.27.48.2
1.9 稍微详细点的例子
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

① tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
② -i eth1 : 只抓经过接口eth1的包
③ -t : 不显示时间戳
④ -s 0 :抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
⑤ -c 100 : 只抓取100个数据包
⑥ dstport ! 22 : 不抓取目标端口是22的数据包
⑦ src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24
⑧ -w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

二、抓http包

TODO
2.1 限制抓包的数量

如下,抓到1000个包后,自动退出

tcpdump -c 1000
2.2 保存到本地

备注:tcpdump默认会将输出写到缓冲区,只有缓冲区内容达到一定的大小,或者tcpdump退出时,才会将输出写到本地磁盘

tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

复制代码也可以加上-U强制立即写到本地磁盘(一般不建议,性能相对较差

三、实战例子

先看下面一个比较常见的部署方式,在服务器上部署了nodejs server,监听3000端口。nginx反向代理监听80端口,并将请求转发给nodejs server(127.0.0.1:3000)。

浏览器 -> nginx反向代理 -> nodejs server

3.1 问题:假设用户(183.14.132.117)访问浏览器,发现请求没有返回,该怎么排查呢?
  • 步骤一: 查看请求是否到达nodejs server -> 可通过日志查看。
  • 步骤二: 查看nginx是否将请求转发给nodejs server
 tcpdump port 8383

复制代码这时你会发现没有任何输出,即使nodejs server已经收到了请求。因为nginx转发到的地址是127.0.0.1,用的不是默认的interface,此时需要显示指定interface

tcpdump port 8383 -i lo

复制代码备注:配置nginx,让nginx带上请求侧的host,不然nodejs server无法获取 src host,也就是说,下面的监听是无效的,因为此时对于nodejs server来说,src host 都是 127.0.0.1

tcpdump port 8383 -i lo and src host 183.14.132.117
  • 步骤三:查看请求是否达到服务器
tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117
年少7
关注
专栏目录
史上最简明Tcpdump 入门指南,看这一篇就够了
UMSA
12-06 258
简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。 tcpdump 监听特定网卡 tcpdump -i en0 监听特定主机 例子:监听本机跟主机182.254.38.55之间往来的通信包。 备注:出、入的包都会被监听。 t
Linux基础学习之利用tcpdump抓包实例代码
09-15
总的来说,掌握tcpdump的使用是Linux系统管理员必备的技能之一,它能够提供对网络底层通信的洞察力,帮助解决网络相关的各种问题。通过灵活运用各种参数和过滤规则,我们可以定制化地监控网络活动,从而提高工作效率...
2020-10-27
南唐老吴
10-27 187
Linux基础:用tcpdump抓包 转:https://www.cnblogs.com/chyingp/p/linux-command-tcpdump.html 简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。 tcpdump
tcpdump教程入门
weixin_30537451的博客
01-25 141
tcpdump是一个最基本重要的网络分析工具, 掌握好这, 对于学习tcp/ip协议也是很有帮助的. 理解了tcp/ip协议栈的知识, 分析调优网络的能力才会更高. 所以使用tcpdump相比其它的工具, 更能帮我们理解协议. tcpdump的一些命令选项 -n不要转换一些数值, 比如把80端口转换成http显示. -i需要监控的网卡. 如果不指定, 则监控所有有效的网卡数据. -c抓...
tcpdump入门介绍
ironGYI的博客
09-25 759
最近在测试一个程序的时候使用到了tcpdump,怀着走过路过,不能错过的原则,学习一下tcpdump的使用方法。这里记录的是简单学习的知识。 在这里我们就不展示man tcpdump 的帮助页了。那些说实话,我看不懂。。。 这里我写一下我记录的一些简单的用法: 一:控制抓的包输入和输出。 在tcpdump文档中,一开始接触的就是-w -r -V,-c三个选项。 1. tcpdump
爆肝整理Tcpdump入门指南(值得收藏)
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-31 210
简介网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。tcpdump - dump traffic on a network例子不指定任何参数监听第一块网卡上经过的数据包。主机上可能有不止一块网卡,所以经常需要指定网卡。tcpdump监听特定网卡tcpdump -i en0监听特定主机例子:监听本...
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
TCPDUMP 使用教程
weixin_33813128的博客
04-29 506
TCPDUMP 命令使用简介简单介绍 tcpdump是一款强大的网络抓包工具,运行在Linux平台上。熟悉tcpdump的使用能够帮助你分析、调试网络数据。 要想很好地掌握tcpdump, 必须对网络报文(TCP/IP协议)有一定的了解。不过对于简单的使用来说,只要有网络基础概念就行了。 tcpdump是一个很复杂的命令,想了解它的方方面面非常不易,也不值得推荐,能够使用它...
tcpdump入门
weixin_41249051的博客
12-17 877
Linux平台将网络中传输的数据包全部捕获过来进行分析支持网络层,传输层协议等协议捕获过滤数据发送和接收的主机,网卡和端口等各种过滤捕获数据规则提供and, or, not等语句进行逻辑组合捕获数据包或去掉不用的信息结合wireshark工具分析捕获的报文。
tcpdump使用入门
qq_40379977的博客
02-28 121
tcpdump基础使用教程
linux过滤端口抓包_linux系统下使用tcpdump进行抓包方法
weixin_39694264的博客
12-20 1384
我先看下实例代码:1.常见参数tcpdump -i eth0 -nn -s0 -v port 80-i 选择监控的网卡-nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度-s0 捕获长度无限制-v 增加输出中显示的详细信息量port 80 端口过滤器,只捕获80端口的流量,通常是HTTP2.tcpdump -A -s0 port 80-A 输出ASCII数据-X 输出十六进制数据和A...
Linux命令:tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
04-03 4273
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件中。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump:命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
tcpdump的简单选项介绍
weixin_30236595的博客
12-02 144
tcpdump采用命令行方式,它的命令格式为: tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen...
tcpdump使用教程
m0_43406494的博客
05-13 686
Tcpdump Expression是一个布尔表达式,即过滤器,表达式为真时才捕捉处理该数据包 通常,如果表达式包含Shell元字符,例如用于转义的反斜杠,则将expression用单引号括起来比转义Shell元字符更容易。 参数用空格连接,如host 1.2.3.4。 host: 过滤某个主机的数据报文 $ tcpdump host 1.2.3.4 src, dst: 过滤源地址和目的地址 $ tcpdump src 2.3.4.5$ tcpdump dst 3.4.5.6 net: 过滤某个网段的
TCPDump 使用教程
qq_41661843的博客
02-29 1790
每次服务器网络不通的时候,总会听到一个声音,你去抓包啊,那这里就来介绍下TCPDump,一款强大的网络分析工具,可以捕获网络上的数据包,并进行分析。这款工具在网络管理员和安全专家中非常受欢迎。
tcpdump介绍
grandgrandpa的博客
07-31 650
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 下载地址:http://www.tcpdump.org/#l...
tcpdump简明实用教程
安得情怀似旧时
11-10 1695
文章目录网络包的五元组包输入包过滤1、IP过滤2、端口过滤3、IP和端口组合过滤与或非4、协议过滤包输出1、保存包到文件2、指定包的数量3、显示IP和端口号4、显示时间戳5、以ASCII码打印6、以ASCII和二进制同时打印谈谈如何记忆参数的使用 网络包的五元组 在网络中,一个五元组确定一种网络包,五元组包括: 协议,tcp或者udp等等 源IP 目的IP 源端口 目的端口 那么tcpdump...
netstat、Linux抓包
weixin_34236497的博客
03-26 236
1、netstat 命令 netstat 是在内核中访问网络连接状态及其相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。netstat 是控制台命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IPTCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接...
Linux命令行中tcpdump抓包功能详解与安装
Linux 命令行中使用 tcpdump 抓包是一项重要的网络诊断技术,它提供了一种灵活且功能强大的工具来解决网络故障。本文将详细介绍如何在 Linux 环境中安装和使用 tcpdump,以及其主要功能。 首先,tcpdump是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值