linux抓包工具tcpdump

最新推荐文章于 2023-05-05 12:16:32 发布
最新推荐文章于 2023-05-05 12:16:32 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: 工具 命令 网络 linux必备知识 文章标签: tcpdump
工具 同时被 3 个专栏收录
130 篇文章 1 订阅
订阅专栏
命令
74 篇文章 1 订阅
订阅专栏
网络
55 篇文章 3 订阅
订阅专栏

tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息

tcpdump抓的包可以保存成后缀为pcap的文件,使用wireshark等软件进行查看

1. 针对特定网口(-i)

# tcpdump -i eth0

2. 抓取指定数目(-c)

# tcpdump -i eth1 -c 2
18:36:32.012254 IP localhost.ssh > localhost.56622: Flags [P.], seq 2097153123:2097153319, ack 2140086774, 
win 167, length 196
18:36:32.012532 IP localhost.40562 > localhost.domain: 7522+ PTR? 247.40.168.192.
in-addr.arpa. (45)

3. 抓到包写入文件(-w)

# tcpdump -i eth1 -w tmp.pcap

4. 读取tcpdump保存文件(-r)

# tcpdump -r tmp 
18:25:05.383176 IP localhost.34143 > 117.78.24.10.https: Flags [S], seq 1566333953, 
win 14600, options [mss 1460,sackOK,TS val 1098325899 ecr 0,nop,wscale 7], length 0

5. 增加抓包时间戳(-tttt)

# tcpdump -i eth1 -tttt
2015-12-22 18:42:13.124678 IP localhost.34150 > 117.78.24.10.https: Flags [S], 
seq 228138319, win 14600, options [mss 1460,sackOK,TS val 1099353640 ecr 0,nop,wscale 7], length 0

6. 指定抓包端口

# tcpdump -i eth1 port 443
18:46:32.045119 IP localhost.34153 > 117.78.24.10.https: Flags [S], seq 3477177793, 
win 14600, options [mss 1460,sackOK,TS val 1099612561 ecr 0,nop,wscale 7], length 0

7. 抓取特定ip

# tcpdump -i eth1 dst 117.78.24.10
18:51:26.337375 IP localhost.34165 > 117.78.24.10.https: Flags [S], seq 1561820168, 
win 14600, options [mss 1460,sackOK,TS val 1099906853 ecr 0,nop,wscale 7], length 0

# tcpdump -i eth1 host 192.168.40.157 and 117.78.24.10
18:47:55.776518 IP localhost.34157 > 117.78.24.10.https: Flags [S], seq 1999366796,
win 14600, options [mss 1460,sackOK,TS val 1099696292 ecr 0,nop,wscale 7], length 0
18:47:55.780307 IP 117.78.24.10.https > localhost.34157: Flags [S.], seq 1636741313,
ack 1999366797, win 5792, options [mss 1460,sackOK,TS val 676770270 ecr 1099696292,nop,wscale 7], length 0

8. 抓取特定端口

//src
# tcpdump -i eth1 src port 443                                        
18:58:43.339368 IP 117.78.24.10.https > localhost.34181: Flags [S.], seq 3480165730, 
ack 2569376925, win 5792, options [mss 1460,sackOK,TS val 678114226 ecr 1100343852,nop,wscale 7], length 0

//dst
# tcpdump -i eth1 dst port 443    
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

18:59:44.073262 IP localhost.34183 > 117.78.24.10.https: Flags [S], seq 408796353, 
win 14600, options [mss 1460,sackOK,TS val 1100404589 ecr 0,nop,wscale 7], length 0

9. 抓取详细信息(-vv)

# tcpdump -i eth0 -v
192.168.1.106.53458 > 192.168.1.10.ftp: Flags [S], cksum 0x0056 (correct), seq 2898677069, 
win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
06:46:49.599097 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)

10. 抓取报文(-x)

# tcpdump -i eth0 -x
06:48:05.205316 IP 192.168.1.106.53459 > 192.168.1.10.ftp: Flags [S], seq 4037915061, 
win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
        0x0000:  4500 0034 2730 4000 8006 4fcf c0a8 016a
        0x0010:  c0a8 010a d0d3 0015 f0ad b1b5 0000 0000
        0x0020:  8002 2000 5805 0000 0204 05b4 0103 0302
        0x0030:  0101 0402

11. 链路层头(-e)

# tcpdump -e
21:51:18.401466 00:0c:29:12:ee:b1 (oui Unknown) > 00:e0:4c:07:a8:0b (oui Unknown), ethertype IPv4 (0x0800), length 170: ubuntu.local.ssh > 192.168.1.107.49825: Flags [P.], seq 1109847835:1109847951, ack 1806812279, win 1123, length 116

可以打印出源和目的地址, 以及包的长度

12. arp报文(-n)

# tcpdump -n arp
21:56:40.235632 ARP, Request who-has 192.168.1.111 tell 192.168.1.1, length 46

13. 其他参数

# tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 -w ./tmp.pcap
tcp:tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
-t:不显示时间戳 
-s 0:抓取数据包时默认抓取长度为68字节。加上-s 0后可以抓到完整的数据包 
dst port ! 22:不抓取目标端口是22的数据包
thomas_blog
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcp 协议小结
chenpuo的博客
08-23 1258
转载https://luoguochun.cn/post/2016-09-23-tcp-fuck/ tcp协议是一个比较复杂的协议,对tcp协议深入理解的,真的非常少非常少;对tcp协议误理解或理解片面的,真的非常多非常多。当然这也包括自己在内,当然也可能包括这篇小结在内。 P.S.: 《TCP/IP详解卷1:协议》是介绍TCP/IP协议栈最经典的著作(神级已故人物W.Richard Stevens经典书籍之一),然而个人觉得这个“详解”对于tcp的介绍有点简略或者理解起来印象非深,读了一次,一次又一次.
使用tcpdump网络故障排查抓包
HelloWorld搬运工
09-22 3065
个人博客请访问http://www.x0100.top 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。 1.1 Pull Docker 镜像 $sudodockerpullalpine:3.8 1.2 运行容器 $sudodockerrun-d--namectn-1a...
TCP Dump 抓包工具详解
12-04 469
tcpdump使用技巧 作者: 潜水大叔 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。 一、基本语法 1.1、过滤主机 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 tcpdump -i eth1 host 192.168.1.1 指定...
tcpdump参数解析及使用详解
weixin_46048542的博客
12-05 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有一定的认识。 tcpdump命令格式及常用参数 Tcpdump的大概形式如下: 例:tcpdump –i eth0 'por
TCP报文中的sackOK含义和作用
疯狂老司机的博客
04-08 4771
一般TCP的ACK过程       在TCP的交互过程中,除了第一个SYN请求报文的ACK标志未置1外,其他的报文的ACK标志都是置1的。当客户端与服务器在交互的过程中,某些数据报被丢弃时,其ACK确认和后续数据交互的过程如下图所示:在上图所示的交互过程中,我们可以清楚的发现,在交互中由于某些未知的不可控的原因导致包含data-2的数据报文丢失。虽然仅有包含data-2的报文丢失,客户端已经收到其...
linux 嵌入式抓包工具tcpdump
11-10
linux 嵌入式抓包工具tcpdump,配套源码,只需更改编译链重新编译即可方便使用
linux抓包工具tcpdump的依赖m4,flex,flex++,bison,yacc,libpcap,tcpdump
11-17
安装tcpdump抓包工具 ./configure make make install 设置软链接 ln -sf /usr/local/bin/m4 /usr/bin/m4 ln -sf /usr/local/bin/flex /usr/bin/flex ln -sf /usr/local/bin/flex++ /usr/bin/flex++ ln -sf /...
arm平台下抓包工具tcpdump
08-24
arm下抓包工具 Linux version 4.14
Linux抓包工具tcpdump使用介绍.docx
09-26
Linux抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
Linux抓包工具tcpdump的Makefile(基于cmake)
05-25
抓包选项: -c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。 -i interface:指定tcpdump需要监听的接口。若未...
TCP协议原理(二)TCP数据传输
Big_Tree712的专栏
05-05 811
本文归纳介绍TCP协议在数据传输方面的处理方案。首先明确了TCP协议是基于字节流的传输,发送接受端都有缓冲池。之后介绍了TCP协议传输两种数据,一种是要及时响应的交互数据流,一种是延迟响应的大文件传输。最后介绍TCP协议的异常处理机制,以及进行拥塞控制的四种算法。
tcpdump使用
pinghuqiuyue9的博客
12-04 298
tcpdump介绍 tcpdump是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有一定的认识。 tcpdump命令格式及常用参数 Tcpdump的大概形式如下: 例:tcpdump –i et.
Tcpdump的用法及使用案例
hijk139的专栏
11-26 1万+
Tcpdump工具是Unix和linux系统抓网络数据库包最有效的工具,windows上类似的工具是wireshark。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。另外tcpdump可以导入的文件中,可以进一步使用wireshark和java代码进一步统计过滤分析。
linux tcp 丢包命令_Linux服务器丢包故障的解决思路及引申的TCP/IP协议栈理论
weixin_39826089的博客
12-29 443
我们使用Linux作为服务器操作系统时,为了达到高并发处理能力,充分利用机器性能,经常会进行一些内核参数的调整优化,但不合理的调整常常也会引起意想不到的其他问题,本文就一次Linux服务器丢包故障的处理过程,结合Linux内核参数说明和TCP/IP协议栈相关的理论,介绍一些常见的丢包故障定位方法和解决思路。问题现象本次故障的反馈现象是:从办公网访问公网服务器不稳定,服务器某些端口访问经常超时,但P...
Linux服务器收到SYN请求包没有回应ACK导致客户端无法建立TCP连接
热门推荐
dvlinker的技术专栏
05-18 2万+
问题描述: 最近测试同事反馈一个很奇怪的问题,电子白板客户端加入白板会议后,经常出现下载同步文件失败的问题。下载同步文件使用的是https请求,经抓包得知,在试图建立TCP连接时,客户端发送三次握手申请的SYN包,但是服务器没有回应ACK,然后客户端触发了TCP的丢包重转,重发SYN包,但服务器始终没回ACK,导致无法完成建立TCP连接,所以无法下载同步文件。SYN包从本端网卡发出...
tcpdump 详解(干货)
weixin_33695082的博客
03-24 344
2019独角兽企业重金招聘Python工程师标准>>> ...
TCPDUMP 简单使用
dpf3977013的专栏
12-09 523
tcpdump -i eth0 -s0 -A port 80 -nn > dump.ef.log 参数 作用 -i 指定网卡,如果是local,则是lo -nn 不进行端口名称的转换。11:10:50.148051 IP report.api.youku.com.http变成11:18:34.315665 IP 10.10.73.120.80 -s 修改每个报文中
mss 为什么是1460?
zhaoyangjian724的专栏
02-27 3870
mss 为什么是1460? 23:01:42.648017 IP node1.45042 > node2.discard: Flags [S], seq 1415506235, win 14600, options [mss 1460,sackOK,TS val 106943326 ecr 0,nop,wscale 6], length 0 23:01:42.648017 IP node...
linux抓包命令tcpdump安装
最新发布
07-27
- *1* *3* [Linux网络抓包工具tcpdump](https://blog.csdn.net/qq_35745940/article/details/119089894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值