tcpdump(五)命令行参数讲解(四)

已于 2023-10-08 18:14:43 修改
阅读量536 收藏
点赞数
分类专栏: TCP/IP 文章标签: tcpdump 网络
于 2023-10-08 17:17:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/133684153
版权

一    案例讲解

tcpdump官方参考文档   最全的tcpdump手册

强调: -nn 选项一般是'must 必选'

①  现场分析并保留现场信息

tcpdump -l | tee dat  使用tee来把tcpdump的输出同时放到'文件dat'和'标准输出'中

场景: 自己现场'分析'同时把现场信息'保留下来'

②  提取 应用层HTTP 的 Header头

场景: 查看原始'HTTP 头'的形式,查看在'哪个阶段'头被修改,进行定位

  1、浏览器的'跨域'      --> 'tcpdump'抓取到了,但是浏览器'拦截'了

  2、HSTS              --> '浏览器把http升级为https'

  3、经过中间层'nginx'等 --> 'Host、Cookies、Set-Cookies'等

+++++++++++++ "分割线" +++++++++++++

需求1: 提取'User-Agent' 或 'Host' 主机名

tcpdump -nn -A -s0 -l | egrep -i 'User-Agent:|Host:'

备注: 只查看'固定'关键信息

需求2: 抓取Request和response里的'Cookie'

tcpdump -i eth0 -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

建议: 通过'ip'信息更'精确'一点

③  只抓取HTTP流量

如何使用tcpdump抓取一次http的请求和响应

需求1: 抓取 HTTP 'GET' 请求包

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
​
0x47455420 代表的是 'GET'  的ASCII码

强调: 必须 '深刻' 理解 tcp的'报文结构'才能写出'精确'的过滤条件,后续'再回看'

需求2: 目的'端口为80'的HTTP 'GET' 请求

tcpdump -i eth0 -s0 -A 'tcp dst port 80 and \

tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

强调: 知道'原理'即可,后续'拿来即用'即可

++++++++++++++++++++  "原理剖析"  ++++++++++++++++++++ 


关键点: 除以'4'在'位运算'中相当于左移'<< 2'位

需求3:可以抓取 HTTP 'POST' 请求包

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

备注: 0x504F5354 代表的是 'POST' 的ASCII码

注意: '不能保证'抓取到 HTTP POST 有效数据流量,因为一个POST请求会被分割为'多个'TCP数据包

④  抓取HTTP GET和POST request和response

tcpdump -i eth0 -s 0 -A \

'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 or \

tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504F5354 or \

tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450 or \

tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x3C21444F and host 192.168.10.1'

⑤  多方向

需求: 同时抓'多个'地址,其中'一个方向'地址为'多'个

tcpdump -i eth0 dst 1.1.1.1 and src '(2.2.2.2 or 3.3.3.3)' -nn

⑥  找出发包数最多的 IP

需求: 找出'一段时间内'发包最多的 IP,或者从一堆报文中找出'发包最多的 ip'

tcpdump -nn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c \

| sort -nr | head -n 20

cut -f 1,2,3,4 -d '.'   --> 以 '.' 为分隔符,打印出每行的'前四列' --> 即 IP 地址

sort | uniq -c          --> 排序并计数

sort -nr                --> 按照数值大小逆向排序

⑦  TLS案例

说明: 画了一张'示意图来'表示'报文偏移量'及其'含义',帮你理解其中的'奥妙'

tcpdump的输出和tcpdump的报错(权限和内容截断)

⑧   基础服务

需求1:  在'lvs节点'上抓包,不管使用是'ECMP静态等价路由'还是'BGP动态路由','fullnat'模式

链路:   client -->'lvs'-->四层服务

++++++++++++++  "分割线"  ++++++++++++++
​
备注1: 由于lvs是'集群'模式,请求可能'落到'某个lvs节点上,所以所有的'lvs节点'都要抓包

备注2: 同一集群'不同'lvs节点'LIP不一样'

备注3: 默认为src or dst,不指定'方向',建议使用'()'可读性比较好

遗留:  host 1.1.1.1 and port 8080 啥原因? '白名单吗'? --> '业务特性'?

思考:  'DR模式'如何抓包?

需求2: nginx'节点'抓包

链路: client --> '四层lvs' --> '7层nginx' --> '七层云服务'

备注: nginx也是'集群'模式,需要在'多个nginx节点上'同时抓包

补充: 不需要关注'nginx节点自身的ip'

需求3: 'DNS'和'NTP'抓包

tcpdump排查DNS解析 

wzj_110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在 Linux 命令行中使用 tcpdump 抓包的一些功能
01-10
tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况, tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。 本文中,我们将讨论 tcpdump 最常用的一
tcpdump显示包内容_tcpdump 实例获取网络包的50种方法
weixin_39640646的博客
12-10 4307
TCPDUMP 毫无疑问是最重要的网络分析工具,因为它简单实用,而且功能强大。这篇教程将会教你从 IP、端口、协议、应用层等多方面来获取通信数据包,确保你可以尽可能快的找到你想要的数据。tcpdump 的安装很简单,在 ubuntu 上:$ apt install tcpdump在 Redhat/Centos 上:$ yum install tcpdump首先通过一个简单的命令来获取 H...
tcpdump使用
白清羽的博客
01-17 1382
tcpdump命令使用详情如下: 1.tcpdump -i eth0 src host 192.168.26.159 and dst host 192.168.26.244 抓取eth0接口,源IP主机为192.168.26.159,目的主机为:192.168.26.244 在192.168.26.159客户端发送:curl http://192.168.26.244/web/ ;抓包结果...
关于fi dd ler 手机抓包 网卡地址地址_超详细的网络抓包神器 tcpdump 使用指南
weixin_39562752的博客
10-22 607
tcpdump 是一款强大的网络抓包工具,它使用 libpcap 库来抓取网络数据包,这个库在几乎在所有的 Linux/Unix 中都有。熟悉 tcpdump 的使用能够帮助你分析调试网络数据,本文将通过一个个具体的示例来介绍它在不同场景下的使用方法。不管你是系统管理员,程序员,云原生工程师还是 yaml 工程师,掌握 tcpdump 的使用都能让你如虎添翼,升职加薪。1. 基本语法和使用方法tc...
超详细的网络抓包神器 tcpdump 使用指南
因上努力,果上随缘。但行好事,莫问前程。
08-08 5107
本文主要介绍了 tcpdump 的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的 man 手册。...
httptcpdump使用
weixin_40732273的博客
06-13 3967
1、tcpdumphttp过滤 过滤命令: tcpdump -i ens33 -A -v -s 0 'tcp port 8000 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 过滤结果如图所示: 过滤说明: (1)接受和回复的http报文的header和body可以以ascii 显示,非常直观 (2)区分每一次连接看端口号,端口号不变时,说明是一次长连接还没结束,端口号变化时,说
tcp链接的几种状态&tcpdump抓包
agapple
11-09 514
linux服务器上的11种tcp状态   说明: 通常情况下:一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP次挥手 里面的几个概念: SYN: (同步序列编号,Synchronize Sequence Numbers) ACK: (确认编号,Acknowledgement Number) FIN: (结束标志,FINish) TCP...
关于Tcpdump抓包总结
guochunbiao0416的博客
12-15 1177
一、简介 tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息 Whentcpdumpfinishes capturing packets, it will report cou..
使用tcpdump查看HTTP请求响应
03-14 7253
https://www.jianshu.com/p/3cca9a74927ctcpdump安装在Ubuntu/Debian系统上,执行如下命令安装tcpdump工具:sudo apt-get install tcpdump 在CentOS系统上,执行如下命令安装tcpdump工具:sudo yum install tcpdump 安装完tcpdump后,就可以使用man命令查看tcpdump的文档...
工具: 网络抓包神器 tcpdump 使用详解
最新发布
veno
12-19 936
本文主要介绍了 tcpdump 的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的 man 手册。
抓取的HTTPS数据包(新)
09-12
请求的url:https://blog.qihooyun.cn/ 响应内容:https-test 方便自己以后查看,不必每次都重新抓取一个包了。 Server端设置了keep-alive为65秒。
tcpdump源码分享
04-21
tcpdump源码分享,4.0和3.9版本
tcpdump离线安装
03-03
解压运行tcpdumpinstall.sh即可
tcpdump
05-09
支持 wireshark 软件抓包的工具
linux离线安装tcpdump
11-02
里面附有安装文档(亲测可用)
网络抓包 tcpdump 使用指南
小云的博客
01-14 3646
网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以...
tcpdump抓包
热门推荐
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
tcpdump源码分析(2)——抓包原理
weixin_34315485的博客
03-28 1469
本篇我们从总体看下tcpdump工具的抓包原理,通过学习了解并掌握其实现的机制,为后续进一步底层操作做准备。 1.1.1.1 如何实现 先来看看包传递过来的流程,如下图。包从网卡到内存,到内核态,最后给用户程序使用。我们知道tcpdump程序运行在用户态,那如何实现从内核态的抓包呢?   这个就是通过libpcap库来实现的,tcpdump调...
tcpdump 显示数据_爬虫| 抓包工具tcpdump 简明教程[译]
weixin_39863161的博客
12-10 282
原文链接:https://danielmiessler.com/study/tcpdump/tcpdump 毫无无疑是非常重要的网络分析工具,对于任何想深入理解TCP/IP的人来说,掌握该工具的使用是非常必要的。本教程将向您展示如何以各种方式将流量基于 IP、端口、协议、应用程序层协议过滤出来,以确保您尽快找到所需的数据包内容。基础下面是一些用来配置tcpdump的选项,它们非常容易...
命令行参数argparse
09-21
argparse是Python的一个标准库,用于命令行参数的解析。它可以帮助我们在命令行中向程序传递参数,并且可以根据需要设定参数的类型、默认值和帮助信息。以下是argparse的使用方法: 1. 首先,需要导入argparse库:`import argparse` 2. 接下来,创建一个ArgumentParser对象,作为参数解析器:`parser = argparse.ArgumentParser(description="process some packets")` 3. 使用`add_argument()`方法,来添加需要的参数。例如:`parser.add_argument("pcap",help="a pcap file from wireshark or tcpdump")`,这里添加了一个名为"pcap"的参数,同时指定了帮助信息。 4. 可以对参数进行更多的设置,例如设置默认值:`parser.add_argument("filter",default=None,help="a rule to filter packets such as 'udp'")`,这里添加了一个名为"filter"的参数,并设置了默认值为None。 5. 最后,使用`parse_args()`方法进行参数解析,并将解析结果存储在一个对象中:`args = parser.parse_args()` 6. 可以通过对象的属性来获取传入的参数值,例如:`print(args.pcap)`和`print(args.filter)`

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值