每日一博 - tcpdump小技巧

最新推荐文章于 2024-04-23 17:26:01 发布
最新推荐文章于 2024-04-23 17:26:01 发布
阅读量1.7w 收藏 6
点赞数 1
分类专栏: 【每日一博】 文章标签: tcpdump linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshangwei/article/details/120581923
版权

文章目录

在这里插入图片描述

what

tcpdump 网络工具, 通常用于故障诊断、网络分析 ,甩锅必备, 那还等什么

在这里插入图片描述

网络包接收过程

在这里插入图片描述
在接收包的过程中,数据包是先经过网络设备层然后才到协议层的。

在这里插入图片描述
假如我们设置了 netfilter 规则,在接收包的过程中,工作在网络设备层的 tcpdump 先开始工作。还没等 netfilter 过滤,tcpdump 就抓到包了!

所以,在接收包的过程中,netfilter 过滤并不会影响 tcpdump 的抓包!

网络包发送过程

在这里插入图片描述

在网络包的发送过程中,和接收过程恰好相反,是协议层先处理、网络设备层后处理。

在这里插入图片描述

如果 netfilter 设置了过滤规则,那么在协议层就直接过滤掉了。在下层网络设备层工作的 tcpdump 将无法再捕获到该网络包。

工作原理

tcpdump 是 Linux 系统中非常有用的网络工具,运行在用户态,本质上是通过调用 libpcap 库的各种 api 来实现数据包的抓取功能.

用户态 tcpdump 命令是通过 socket 系统调用,在内核源码中用到的 ptype_all 中挂载了函数钩子上去。无论是在网络包接收过程中,还是在发送过程中,都会在网络设备层遍历 ptype_all 中的协议,并执行其中的回调。tcpdump 命令就是基于这个底层原理来工作的。

在这里插入图片描述

通过上图我们可以发现当数据包到达网卡后,经过数据包过滤器(BPF)筛选后,拷贝至用户态的 tcpdump 程序,以供 tcpdump 工具进行后续的处理工作,输出或保存到 pcap 文件。

数据包过滤器(BPF)主要作用,就是根据用户输入的过滤规则,只将用户关心的数据包拷贝至 tcpdump,这样能够减少不必要的数据包拷贝,降低抓包带来的性能损耗。

在这里插入图片描述

基础用法

不加任何参数,默认情况下将抓取第一个非 lo 网卡上所有的数据包

[root@VM-0-7-centos ~]# tcpdump

抓取 eth0 网卡上的所有数据包

[root@VM-0-7-centos ~]# tcpdump  -i eth0

抓包时指定 -n 选项,不解析主机和端口名。

这个参数很关键,会影响抓包的性能,一般抓包时都需要指定该选项。

[root@VM-0-7-centos ~]#  tcpdump -n -i eth0

在这里插入图片描述

抓取指定主机 192.168.1.100 的所有数据包

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 host 192.168.1.100

抓取指定主机 10.1.1.2 发送的数据包

[root@VM-0-7-centos ~]# tcpdump -ni eth0 src host 10.1.1.2

抓取发送给 10.1.1.2 的所有数据包

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 dst host 10.1.1.2

抓取 eth0 网卡上发往指定主机的数据包,抓到 10 个包就停止

这个参数也比较常用

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 -c 10 dst host 192.168.1.200

抓取 eth0 网卡上所有 SSH 请求数据包,SSH 默认端口是 22

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 dst port 22

抓取 eth0 网卡上 5 个 ping 数据包

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 -c 5 icmp

在这里插入图片描述

抓取 eth0 网卡上所有的 arp 数据包

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 arp

使用十六进制输出,当你想检查数据包内容是否有问题时,十六进制输出会很有帮助。

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 -c 1 arp -X
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:13:31.602995 ARP, Request who-has 172.17.92.133 tell 172.17.95.253, length 28
    0x0000:  0001 0800 0604 0001 eeff ffff ffff ac11  ................
    0x0010:  5ffd 0000 0000 0000 ac11 5c85            _.........\.

只抓取 eth0 网卡上 IPv6 的流量

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 ip6

在这里插入图片描述

抓取指定端口范围的流量

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 portrange 80-9000

抓取指定网段的流量

[root@VM-0-7-centos ~]#  tcpdump -ni eth0 net 192.168.1.0/24

在这里插入图片描述

高级进阶

tcpdump 强大的功能和灵活的策略,主要体现在过滤器(BPF)强大的表达式组合能力。

在这里插入图片描述

抓取指定客户端访问 ssh 的数据包

$ tcpdump -ni eth0 src 192.168.1.100 and dst port 22

抓取从某个网段来,到某个网段去的流量

$ tcpdump -ni eth0 src net 192.168.1.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

抓取来自某个主机,发往非 ssh 端口的流量

$ tcpdump -ni eth0 src 10.0.2.4 and not dst port 22

当构建复杂查询的时候,你可能需要使用引号,单引号告诉 tcpdump 忽略特定的特殊字符,这里的 () 就是特殊符号,如果不用引号的话,就需要使用转义字符

$ tcpdump -ni eth0 'src 10.0.2.4 and (dst port 3389 or 22)'

在这里插入图片描述

基于包大小进行筛选,如果你正在查看特定的包大小,可以使用这个参数

小于等于 64 字节:

$ tcpdump -ni less 64

大于等于 64 字节:

$ tcpdump -ni eth0 greater 64

等于 64 字节:

$ tcpdump -ni eth0 length == 64

过滤 TCP 特殊标记的数据包

抓取某主机发送的 RST 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-rst) != 0'

抓取某主机发送的 SYN 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-syn) != 0'

抓取某主机发送的 FIN 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-fin) != 0'

抓取 TCP 连接中的 SYN 或 FIN 包

$ tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0'

在这里插入图片描述

抓取所有非 ping 类型的 ICMP 包

$ tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

抓取端口是 80,网络层协议为 IPv4, 并且含有数据,而不是 SYN、FIN 以及 ACK 等不含数据的数据包

$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

解释一下这个复杂的表达式,具体含义就是,整个 IP 数据包长度减去 IP 头长度,再减去 TCP 头的长度,结果不为 0,就表示数据包有 data,如果还不是很理解,需要自行补一下 tcp/ip 协议

抓取 HTTP 报文,0x4754 是 GET 前两字符的值,0x4854 是 HTTP 前两个字符的值

$ tcpdump  -ni eth0 'tcp[20:2]=0x4745 or tcp[20:2]=0x4854'

在这里插入图片描述

常用选项

(一)基础选项

-i:指定接口
-D:列出可用于抓包的接口
-s:指定数据包抓取的长度
-c:指定要抓取的数据包的数量
-w:将抓包数据保存在文件中
-r:从文件中读取数据
-C:指定文件大小,与 -w 配合使用
-F:从文件中读取抓包的表达式
-n:不解析主机和端口号,这个参数很重要,一般都需要加上
-P:指定要抓取的包是流入还是流出的包,可以指定的值 in、out、inout

在这里插入图片描述

(二)输出选项

-e:输出信息中包含数据链路层头部信息
-t:显示时间戳,tttt 显示更详细的时间
-X:显示十六进制格式
-v:显示详细的报文信息,尝试 -vvv,v 越多显示越详细

过滤表达式

tcpdump 强大的功能和灵活的策略,主要体现在过滤器(BPF)强大的表达式组合能力。

(一)操作对象

表达式中可以操作的对象有如下几种:

  • type,表示对象的类型,比如:host、net、port、portrange,如果不指定 type 的话,默认是 host
  • dir:表示传输的方向,可取的方式为:src、dst。
  • proto:表示协议,可选的协议有:ether、ip、ip6、arp、icmp、tcp、udp。

(二)条件组合

表达对象之间还可以通过关键字 and、or、not 进行连接,组成功能更强大的表达式。

  • or:表示或操作
  • and:表示与操作
  • not:表示非操作

在这里插入图片描述

netfilter 过滤的包 tcpdump是否可以抓的到

关于这个问题,得分接收和发送过程分别来看。

在网络包接收的过程中,由于 tcpdump 近水楼台,所以完全可以捕获到命中 netfilter 过滤规则的包。

在这里插入图片描述

但是在发送的过程中,恰恰相反。网络包先经过协议层,这时候被 netfilter 过滤掉的话,底层工作的 tcpdump 还没等看见就啥也没了。
在这里插入图片描述

在这里插入图片描述

小小工匠
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
luci-app-tcpdump:LuCI 应用程序捕获实时 TCP 流量以进行分析
07-10
luci-app-tcpdump LuCI 应用程序捕获实时 TCP 流量以进行分析。
【安全牛学习笔记】tcpdump抓包实战
edu_aqniu的博客
10-19 769
抓包实战 1. feixiangdejg@feixiangdejg:~$ sudo tcpdump -i wlp4s0 -nn -X 'port 53' -c 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wlp4s0, link-type EN10MB
tcpdump抓包命令
sunshine716的专栏
11-06 1440
           tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。    tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设...
一天一个命令之-tcpdump
qq_34208467的博客
11-06 167
tcpdump是一个用来抓包的命令。老哥也是在无意间发现,自己的机器被别人攻击了! 1、抓取所有经过网卡1,目的地为172.18.253.199的包。 [root@c74 ~]# tcpdump -i ens33 host 172.18.253.199 2、抓取所有经过网卡1,端口为80的包。 [root@c74 ~]# tcpdump -i ens33 dst port 80 ...
TCPdump抓包命令详解1
weixin_34242819的博客
08-26 180
TCPdump抓包命令tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和***者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普...
Linux】一步一步学Linux——tcpdump命令(185)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师---欢迎大家一起交流(私信添加博主微信)
08-26 1361
00. 目录 文章目录00. 目录01. 命令概述02. 命令格式03. 常用选项04. 参考示例05. 附录 01. 命令概述 tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件中,方便以后分析。 02. 命令格式 格式:tcpdump [选项] [参数] 03. 常用选项 -a:尝试将网络和广播地址转换成名称 -c&l...
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 2万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump笔记
iqifenxia的博客
11-10 2073
Preface 本文章是在看完tcpdump的资料后作的笔记。 本文章的命令测试平台如下: # MacOS 11.1 Big Sur # tcpdump: sh-3.2# tcpdump --version tcpdump version tcpdump version 4.9.3 -- Apple version 100 libpcap version 1.9.1 LibreSSL 2.8.3 # Linux等其他平台略有不同,但是大部分是通用的 在有关网络协议文档中,有个单词叫做Octet,
超详细的网络抓包神器 tcpdump 使用指南
因上努力,果上随缘。但行好事,莫问前程。
08-08 5067
本文主要介绍了 tcpdump 的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的 man 手册。...
tcpdump-tcpdump-4.9.2.zip
11-19
tcpdump-tcpdump-4.9.2.zip
compile-tcpdump.tar.gz
11-12
交叉编译tcpdump脚本及源文件,需要的下!没积分的私信发。文章:https://blog.csdn.net/u012587637/article/details/109637319
scrub-tcpdump: an anonymizer for libpcap-开源
04-25
开发的第一步是编写一个工具,以匿名化使用libpcap捕获的数据包捕获文件。 之后,我们将其与tcpdump集成在一起以实时匿名化,并分析并寻找其对不同IDS的影响。
抓包工具-tcpdump
07-14
两个字--值得保留,直接在liunx 下随意使用,使用方法简单易学
tcpdump常用指令
Artisan_w
08-15 479
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为’Berkeley网络’的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包)打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包。打印所有源地址或目标地址是本地主机的IP数据包。监视所有送到主机hostname的数据包。监视指定主机和端口的数据包。
Linux——web服务配置
最新发布
Xinan_____的博客
04-23 739
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux】解决切换用户出现bash-4.2$问题
weixin_44628581的博客
04-23 182
etc/skel/.bashrc /etc/skel/.bash_profile 传过去后显示登录成功。cp /etc/skel/.bash_profile /opt/孙悟空。cp /etc/skel/.bash_profile /opt/沙悟净。cp /etc/skel/.bash_profile /opt/猪八戒。cp /etc/skel/.bash_profile /opt/唐僧。cp /etc/skel/.bashrc /opt/猪八戒。切换用户出现 bash 4.2 问题。
Linux操作系统
nuts66的博客
04-18 1709
Docker是一个开源的应用容器引擎,可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux机器上,也可实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,并且容器性能开销极低。传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统。而Docker容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核,因此比传统虚拟机更轻便。JDK是Java的开发工具包,因为tomcat是用Java开发的,所以需要先安装好JDK。3.部署网站war包。
linux18:进程等待
m0_73919066的博客
04-20 987
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 555
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
rqm -q tcpdump
03-05
rqm -q tcpdump是一个命令行工具,用于查询和管理Rational Quality Manager(RQM)中的测试用例。它提供了一种简单的方式来执行和监视测试用例,并生成相应的报告。 使用rqm -q tcpdump命令,您可以执行以下操作: 1. 查询测试用例:您可以使用不同的过滤条件来查询RQM中的测试用例,例如按名称、状态、标签等进行过滤。 2. 执行测试用例:您可以选择执行特定的测试用例,以验证软件的功能和性能。 3. 监视测试进度:您可以实时监视测试用例的执行进度,并查看执行结果。 4. 生成报告:您可以生成测试用例的执行报告,以便进行分析和共享。 请注意,rqm -q tcpdump是一个示例命令,具体的命令和参数可能会因为不同的环境和使用情况而有所不同。建议您查阅相关文档或使用rqm -q tcpdump --help命令获取更详细的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小工匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值