tcpdump cheat sheet

最新推荐文章于 2021-11-06 09:50:28 发布
最新推荐文章于 2021-11-06 09:50:28 发布
阅读量228 收藏
点赞数
分类专栏: linux network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yk_wing4/article/details/90082126
版权

tcpdump

tcpdump/libpcap的包过滤规则也支持更多通用分组表达式,在这些表达式中,包中的任意字节范围都可以使用关系或二进制操作符进行检查。
对于字节范围表达,你可以使用以下格式:

proto [ expr : size ]

“proto”可以是熟知的协议之一(如ip,arp,tcp,udp,icmp,ipv6),
“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags,也有取值常量如tcp-syn,tcp-ack或者tcp-fin。
“size”是可选的,表示从字节偏移量开始检查的字节数量。

一般

# 关闭解释
tcpdump -nn

# 显示 mac 地址。需要指定网口
tcpdump -E 

# 显示 报文内容 
tcpdump -X

# Print absolute, rather than relative, TCP sequence numbers.
tcpdump -S

# Don't print a timestamp on each dump line.
tcpdump -t 
    
# Print an unformatted timestamp on each dump line.
tcpdump -tt    

# Print a delta (micro-second resolution) between current and previous line on each dump line.
tcpdump -ttt   

# Print a timestamp in default format proceeded by date on each dump line.
tcpdump -tttt  

# Print a delta (micro-second resolution) between current and first line on each dump line.
tcpdump -ttttt 

# read from file
tcpdump -r <file_read>

# write to file
tcpdump -w <file_writed>

网口

# 任意网口
tcpdump -i any

# 多个网口
tcpdump -i <interface_1> -i <interface_2>

ip

# ip
host <ip_address>

# 源ip
src <ip_address>

# 目的ip
dst <ip_address>

网段

# 网段
net <net_address>/<net_mask>

# 源网段
src net <net_address>/<net_mask>

# 目的网段
dst net <net_address>/<net_mask>

端口

# 端口
port <port>

# 源端口
src port <port>

# 目的端口
dst port <port>

# 端口范围
tcpdump -i <interface_1> portrange <port_lower>-<port_upper>

# 表达式

```bash
"<expression>" := "<expression>" && "<expression>"
"<expression>" := "<expression>" || "<expression>"
"<expression>" := !"<expression>"

TCP FLAGS

显示只有`SYN`的报文:
tcpdump -i <interface> "tcp[tcpflags]==tcp-syn)"

显示只有`SYN+ACK`的报文:
tcpdump -i <interface> "tcp[tcpflags]==(tcp-syn|tcp-ack)"

显示只有`ACK`的报文:
tcpdump -i <interface> "tcp[tcpflags]==tcp-ack)"

显示只有`FIN`的报文:
tcpdump -i <interface> "tcp[tcpflags]==tcp-fin)"

显示只有`FIN+ACK`的报文:
tcpdump -i <interface> "tcp[tcpflags]==(tcp-fin|tcp-ack)"

显示只有`RST`的报文:
tcpdump -i <interface> "tcp[tcpflags]==(tcp-rst)"

显示包含`SYN`的报文:
tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"

显示包含有`FIN`的报文:
tcpdump -i <interface> "tcp[tcpflags] & (tcp-fin) !=0"

显示包含有`PUSH`的报文:
tcpdump -i <interface> "tcp[tcpflags] & (tcp-push) !=0"

显示包含有`ACK`的报文:
tcpdump -i <interface> "tcp[tcpflags] & (tcp-ack) !=0"

ref:

Andrew Yang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump使用方法
linux_tcpdump的博客
01-11 1153
Tcpdump is a CLI tool to capture raw network packets. This is useful for various forms of network troubleshooting. This cheat sheet covers all the basic and advanced options for tcpdump. Tcpdump cheat sheet how-to-use-tcpdump Tcpdump command is a famous ne
telnet-server 安装和问题解决
Andrew Yang's Note
06-04 7599
1. 安装telnet-server yum install telnet-server 2. 修改telnet服务配置文件 文件路径: vim /etc/xinetd.d/telnet 文件内容: 主要是 disable = no。 service telnet { disable = no flags = REUSE socket_type = stream wait = no u...
Web开发各种常用的 Cheat Sheet 速查手册大全(转)
pucxin
11-10 1044
网络上关于各种语言和应用软件的速查手册和快速参考指南有很多很多,不幸的是当我们需要的时候,总是很难找到,所以我决定花点时间尽可能的收集更多的资源并分享给大家,记得推荐一下哦  索引 CSS HTML Javascript PHP MySQL Color/Fonts/SEO CMS Softwares Browsers &amp; OS Others/Misce...
tcpdump cheatsheet
10-26
一份简单的tcpdump说明,清洗一目了然。
Linux commands cheat sheet
linux_tcpdump的博客
11-06 300
SYSTEM $ uname –a => Display linux system information $ uname –r => Display kernel release information (refer uname command in detail) $ cat /etc/redhat_release => Show which version of redhat i.
tcpdump源码分享
04-21
tcpdump是一款广泛使用的开源网络数据包分析工具,它允许用户实时捕获并分析网络上的数据包。这个资源包含了tcpdump的4.0和3.9两个版本的源代码,对于理解网络协议、学习网络监控以及进行网络调试具有极高的价值。 ...
tcpdump离线安装
03-03
TCPDump是一款强大的网络封包分析软件,主要用于在网络层截取并分析网络数据包。它在IT行业中被广泛用于网络故障排查、性能优化、安全审计等多个领域。TCPDump的名字由TCP(Transmission Control Protocol)和Dump...
tcpdump离线.rar
10-27
tcpdump是一款广泛使用的网络数据包分析工具,它允许系统管理员或网络工程师实时捕获和分析网络上的数据包。这个“tcpdump离线.rar”压缩包包含两个RPM(Red Hat Package Manager)格式的软件包:libpcap-1.5.3-12....
linux离线安装tcpdump
11-02
里面附有安装文档(亲测可用)
numa_NUMA_学习笔记
Andrew Yang's Note
02-16 8374
NUMA 笔记 基础概念 socket、core、processor 的概念 在 NUMA 架构下,CPU 的概念从大到小依次是:socket、core、processor。 socket(CPU插槽) 将多个CPU核封装在一起,该封装称为socket。即我们平常肉眼所见的CPU插槽所对应的物理CPU封装芯片。 工具: 命令lscpu输出结果中的 Socket(s)字段,可以看到socket的个...
自编译内核 invalid signature 问题解决
Andrew Yang's Note
11-14 6568
自编译内核 invalid signature 问题解决 使用自己编译的内核出现如下问题: error: /vmlinuz-3.10.0 has invalid signature error: you need to load the kernel first 按 F1 进入 BIOS,关闭 Secure Boot BIOS +-> Security +-> Secure Bo...
llvm, clang 和 scan-build 的安装和使用
Andrew Yang's Note
08-17 5322
使用 clang 编译 简单使用 clang 编译 clang 的 选项是 和 gcc 兼容的。所以最简单的用法就是: clang main.c 在 Makefile 中使用 clang 编译。 使用 $(CC) 或者 $(CXX) 可以通过 环境变量来选择 编译器。 这样可以方便的指定编译器。 main.c 内容: 用于测试 的 C 程序。 #include <stdio.h&gt...
DPDK RSS 基础
Andrew Yang's Note
09-24 5286
1 rss 的作用 rss 是网卡提供的分流机制。用来将报表分流到不同的收包队列,以提高收包性能。 引用 Intel 82599 10 GbE Controller Datasheet 其中的 Section 7.1.2.8.1, RSS Hash Function 一节。 The receive packet is parsed into the header fields used by ...
使用usb串口线作为console
Andrew Yang's Note
11-16 4072
1 检查是否支持 USB 串口线 dmesg | grep tty > usb 1-5: pl2303 converter now attached to ttyUSB0 > console [ttyUSB0] enabled 2 修改/etc/default/grub配置文件 修改文件: /etc/default/grub 修改前: GRUB_CMDLINE_LINUX="cras...
代码混淆工具 Stunnix-CXX-Obfus 的使用
Andrew Yang's Note
08-13 3825
代码混淆工具 Stunnix-CXX-Obfus 的使用 下载和安装工具 mkdir -p /home/cxx_obfus/ wget http://stunnix.com/pad/trial-nomail/cxxo/Stunnix-CXX-Obfus-4.7-Linux-trial.zip unzip Stunnix-CXX-Obfus-4.7-Linux-trial.zip 经过解压后: /...
hugepage_note_大页内存笔记
Andrew Yang's Note
03-02 3621
1. HugePages内核支持 内核需要打开以下编译开关。重新编译。 CONFIG_HUGETLBFS = y CONFIG_HUGETLB_PAGE = y 2. HugePages内核启动参数 HugePages内存页是不会被系统交换出去(swapped out)的。 由于HugePages需要更大的连续物理内存,所以在系统启动时更容易获得更多的HugePages内存,并且...
DPDK offload应用笔记
Andrew Yang's Note
11-05 3162
查看网卡 offload 功能 使用 ethtool 使用 ethtool 可以看一般的 网卡。 ethtool -k <link_name> dpdk 的做法 在 dpdk 中可以使用以下函数来查看是否支持 offload 功能。 ixgbe_dev_info_get(struct rte_eth_dev *dev, struct rte_eth_dev_info *dev...
防火墙的桥和端口聚合
Andrew Yang's Note
11-06 3106
防火墙的桥和端口聚合 防火墙有的时候,会放置到 两个 做了端口聚合的交换机之中。 以下的测试,是比较 防火墙做成多桥,和聚合之后再做桥的区别。 测试 1 防火墙单桥 拓扑 +--------+ a1 b1 +--------+ c1 d1 +--------+ | |-----------...
Linux tcpdump命令深度解析
"Linux tcpdump命令详解文档详细介绍了如何使用tcpdump这个强大的网络数据包捕获工具。tcpdump能够截取网络中的数据包并提供分析,支持基于网络层、协议、主机、网络或端口的过滤,允许使用逻辑语句进行筛选。本文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值