不使用图形化纯字符下的抓包——tcpdump 使用方法

最新推荐文章于 2022-07-05 08:38:52 发布
最新推荐文章于 2022-07-05 08:38:52 发布
阅读量364 收藏
点赞数
文章标签: tcpdump linux wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdzzdz123123/article/details/104206193
版权

当我们在服务器端时,因为没有图形化界面,虽然wireshark也可以工作在命令行界面,但是也是需要下载
这时我们要考虑另一种抓包方法

tcpdump

在这里插入图片描述

tcpdump -i eth0 -s 0 -w file.pcap     //i表示抓哪个接口的数据包   s表示抓数据包的大小 0表示包有多大抓多大   w 表示将抓到的数据包保存到哪里

输入命令后,开始抓包
在这里插入图片描述

之后输入命令读取数据包tcpdump -r file.pcap
在这里插入图片描述
也可以以ascll形式来显示数据包的内容 tcpdump -A -r file.pcap
或者以16进制来显示 tcpdump -X -r file.cap
—十六进制显示
在这里插入图片描述

抓包筛选器(只抓要的包)

tcpdump -i eth0 port 22   /只抓取22端口的数据包

主机A运行tcpdump -i eth0 port 22
主机B 运行nc -nv 192.168.31.213 22
在这里插入图片描述
可以得到主机B尝试连接主机A被拒绝的数据包
并且如果主机B尝试连接主机A的其他端口时,主机A是抓不到包的

显示筛选器(包都抓,但只显示要的包)

tcpdump -n -r aa.cap//参数n意为不会对抓到的包中的域名进行解析,只会以ip地址的形式显示出来

-效果图-
在这里插入图片描述
再加入管道命令 tcpdump -n - r aa.cap | awk ‘{print $3}’
让它只显示包中的第三列 (以空格为列的分隔符)
如图
在这里插入图片描述
再加入命令去除重复

tcpdump -n - r aa.cap | awk '{print $3}' |sort -u
//sort -u 为不显示重复的ip地址

如图
在这里插入图片描述
以上用的是系统自带的筛选方法
接下来介绍tcpdump的显示筛选方法

tcpdump -n src host 192.168.31.113 -r aa.cap//只显示 源ip为192.168.31.113 的包

在这里插入图片描述
同样的还能以端口号 port 进行筛选

tcpdump高级筛选

在这里插入图片描述
如图所示:这是一个tcp的包头 其中8个位为一个字节 源和目的端口分别占2个字节 序列号占4个字节 确认号占4个字节 数据偏移值占 1个字节 保留位占 1个字节
我们的flag标签位 占一个字节
当我们想要抓取ack和pst为1的数据包时 转换为2进制 就是 00011000 转换为十进制就是 24 所以我们输入以下指令

tcpdump  -A -n 'tcp [13] = 24 ' -r  aa.cap  //tcp方框中表示的是字节的序号,我们要的标签位是第13个字节(从零开始数) 并且该标签位等于24

如图
在这里插入图片描述

xialuoxialuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump抓包重复的问题
认知 行动 坚持
11-04 7269
       背景不多说,来看看三次握手的tcpdump抓包: 11:56:59.825162 IP 127.0.0.1.51085 > 127.0.0.1.8080: Flags [S], seq 1973376034, win 65535, options [mss 16344,nop,wscale 5,nop,nop,TS val 783922422 ecr 0,sackOK,eo...
Tcpdump抓包工具免安装版v4.5.1
04-26
Tcpdump 4.5.1版本,解压后是一个二进制可执行文件,不需要任何编译和安装,可以直接执行,上传Linux环境解压即可使用: root@admin:/tmp# ./tcpdump -help tcpdump version 4.5.1 libpcap version 1.5.3 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ -P in|out|inout ] [ -r file ] [ -s snaplen ] [ -T type ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z command ] [ -Z user ] [ expression ]
Linux使用tcpdump抓取网络数据包示例
热门推荐
kobejayandy的专栏
12-08 6万+
tcpdumplinux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04。 tcpdump的命令格式 tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数: tcpdump [-i 网卡] -nnAX '表达式' 各参数说明如下: -i:interface 监听的
使用xplot图形显示tcpdump+tcptrace结果
weixin_34203832的博客
05-12 198
这个工作流可以表示为tcpdump=>tcptrace=>xplot,即tcpdump产生的数据为16位数据,需要经过tcptrace解读成人可读或者xplot可表示的数据(xplot所需数据文件后缀名为xpl)。 tcpdump截取数据的用法网上很多,请你自己google。 然后就是用tcptrace加选项,来产生xplot可显示的数据。 每种图形在tcptrace中所需的选项...
Linux网络工具之tcpdump
SunMy的博客
04-20 572
tcpdump 实现网络抓包 [23:27:16 rooter@C8-3-55 ~]#whatis tcpdump tcpdump (8) - dump traffic on a network [23:27:35 rooter@C8-3-55 ~]#rpm -qi tcpdump Name : tcpdump Epoch : 14 Version : 4.9.2 Release : 5.el8 Architecture: x86_64 Insta
Linux使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
linux系统下使用tcpdump进行抓包方法
09-15
本文将深入探讨如何使用TCPDump进行抓包,包括基本命令、过滤器和高级技巧。 首先,让我们来看一下TCPDump的基本用法。在命令行中,我们通常以以下格式启动TCPDump: ```bash tcpdump [参数] [过滤表达式] ``` 1....
Android下使用TCPDUMP实现数据抓包教程
01-20
对于非root的Android设备,还有一些替代方法,例如使用特殊的抓包应用或通过系统级别的网络代理来捕获数据包。 总的来说,理解如何在Android设备上使用TCPDUMPWireshark是网络诊断和应用程序调试的重要技能,它...
Tcpdump的详细用法
weixin_33691700的博客
07-05 401
1. TCPDump介绍 TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeB...
tcpdump得到重复的包
IT架构师
01-19 1168
tcpdump得到重复的包 参考 https://access.redhat.com/solutions/3568351
linux抓取tcp为3302的数据包,tcpdump在bond环境下抓到重复报文的问题说明
weixin_28880179的博客
05-12 1166
文章目录[隐藏]环境说明网络结构问题说明分析处理总结近期在排查问题时, 使用 tcpdump 抓包发现一个很奇怪的现象, 所有抓到的包都有重复的一份, 使用 wireshark 查看则表现为 tcp out of order, tcp dup ack 以及 tcp retransmission 这三种提示特别多, 如下图所示:我们在 centos 6 和 centos 7 系统中验证都有这样的问题...
TCP Dump 抓包工具详解
12-04 476
tcpdump使用技巧 作者: 潜水大叔 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。 一、基本语法 1.1、过滤主机 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 tcpdump -i eth1 host 192.168.1.1 指定...
Linux网络抓包分析工具
settng style
07-05 1569
介绍了Linux的网络的抓包分析工具TCPdumpwireshark,并详细解释了他们在黑屏操作中如何使用,以及wiresharkLinux白屏中如何安装和使用
wiresharktcpdump常用命令--去重、抓包、过滤
buzhaodi2的博客
12-15 3285
1、tcpdump抓包去重 editcap -d 123.pcap filter.pcap 其中 123.pcap是要去重的包,filter.pcap是输出的去重之后的包 2、过滤sip消息 1、过滤所有invite的响应消息 tshark -r quchong.pcap -Y "sip.CSeq.method eq INVITE" -w gliu.pcap 2、过滤所有sip消息 tshark -r quchong.pcap -Y "sip" -w gliu.pcap 3、查看所有rt
tcpdump抓包却抓到两个相同包的奇葩问题
认知 行动 坚持
06-17 1万+
去年, 在某次调测中, 用发包工具发包, 结果抓到两个包, 每次都是这样, 但log却显示只有一次。 这就纳闷了, 按道理说, tcpdump肯定比业务log更可信啊。        后来, 请教某哥, 原来他也遇到过这个问题, 权当是tcpdump在此特殊场景下的bug吧。        最近, 某GG又遇到了一次        就这样, 先说这么多。
利用分析函数删除重复数据
zhaoyangjian724的专栏
03-19 1341
delete from dupes where rowid in (select rowid from (select a.*,row_number() over(partition by name order by name) as rn from dupes a) where rn>1);
centos7 安装cacti_Linux tcpdump抓包命令详解(含安装教程)
weixin_39797393的博客
10-22 496
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. 前言对网络工程师和系统工程师而言,如何使用tcpdump命令分析网络流量是一个必须熟悉掌握的任务。tcpdump 是一个运行在命令行下的强大嗅探工具,我们一般俗称抓包工具或者软件。如果你对Windows上的wireshark软件熟悉,那么你可以很快对tcpdump上手,区别在于Win...
服务器上使用wireshark图形化操作——排坑
qq_42815081的博客
01-22 1710
服务器上使用wireshark图形化操作——排坑 因为我是使用的centos系统,所以之后的所有的安装命令采用yum命令,其他利用apt原理同样 第一步: 安装wireshark排坑 问题现象:在使用yum install wireshark后明明安装了运行wireshark缺失找不到执行文件。如下代码。 yum install wireshark bash: wireshark: command...
使用shell抓包tcpdump
最新发布
01-31
以下是两种使用tcpdump抓包的示例: 1. 捕获指定目标端口号的数据包 ```shell tcpdump dst port 22 ``` 这个命令将捕获所有目标端口号为22的数据包。 2. 捕获指定网络接口的所有数据包 ```shell tcpdump -i eth0 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值