Tcpdump非常实用的抓包12实例

最新推荐文章于 2024-08-26 02:43:19 发布
最新推荐文章于 2024-08-26 02:43:19 发布
阅读量192 收藏 2
点赞数
原文链接:https://www.cnblogs.com/oskb/p/5667874.html
版权

1.过滤主机
----------------------------------------------------------------

1

2

3

4

5

6

- 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据

# tcpdump -i eth1 host 192.168.1.1

- 源地址

# tcpdump -i eth1 src host 192.168.1.1

- 目的地址

# tcpdump -i eth1 dst host 192.168.1.1

2.过滤端口
----------------------------------------------------------------

1

2

3

4

5

6

- 抓取所有经过 eth1,目的或源端口是 25 的网络数据

# tcpdump -i eth1 port 25

- 源端口

# tcpdump -i eth1 src port 25

- 目的端口

# tcpdump -i eth1 dst port 25

3,网络过滤
----------------------------------------------------------------

1

2

3

# tcpdump -i eth1 net 192.168

# tcpdump -i eth1 src net 192.168

# tcpdump -i eth1 dst net 192.168  

4.协议过滤
----------------------------------------------------------------

1

2

3

4

5

# tcpdump -i eth1 arp

# tcpdump -i eth1 ip

# tcpdump -i eth1 tcp

# tcpdump -i eth1 udp

# tcpdump -i eth1 icmp  

5.常用表达式
----------------------------------------------------------------

1

2

3

4

5

6

7

8

9

10

11

非 : ! or "not" (去掉双引号)

且 : && or "and"

或 : || or "or"

 

- 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host

192.168.1.200)))'

- 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

- 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

6.只抓 SYN 包
----------------------------------------------------------------

1

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

7.抓 SYN, ACK
----------------------------------------------------------------

1

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'  

8.抓 SMTP 数据

----------------------------------------------------------------

1

2

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓取数据区开始为"MAIL"的包,"MAIL"的十六进制为 0x4d41494c。

9.抓 HTTP GET 数据
----------------------------------------------------------------

1

2

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

"GET "的十六进制是 47455420

10.抓 SSH 返回
----------------------------------------------------------------

1

2

3

4

5

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

"SSH-"的十六进制是 0x5353482D

 

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]

= 0x312E)'抓老版本的 SSH 返回信息,如"SSH-1.99.."

11.抓 DNS 请求数据
----------------------------------------------------------------

1

# tcpdump -i eth1 udp dst port 53

12.实时抓取端口号8000的GET包,然后写入GET.log
----------------------------------------------------------------

1

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

其他
----------------------------------------------------------------
-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是
抓的太多,于是可以用-c 参数指定抓多少个包。

1

2

# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null

上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。

zhaojie0708
关注
tcpdump 抓包示例
oLiuLianDeWeiDao的博客
09-15 202
下面的例子全是以抓取eth0接口为例,如果不加”-ieth0”是表示抓取所有的接口包括lo。 首先安装tcpdump包:yuminstall-ytcpdump 1、抓取包含10.14.7.122的数据包 #tcpdump-ieth0-vnnhost10.14.7.122 2、抓取包含10.14.7.0/24网段的数据包 #tcpdump-ieth0-vnnnet10.14.7.0/24 3、抓取包含端口22的数据包 #tcpdump-ieth0-vnnpo...
(23条消息) tcpdump非常实用抓包实例_nanyun2010的专栏-CSDN博客_tcpdump抓包.html
09-07
(23条消息) tcpdump非常实用抓包实例_nanyun2010的专栏-CSDN博客_tcpdump抓包.html
tcpdump非常实用抓包实例
热门推荐
nanyun2010的专栏
04-11 18万+
基本语法 ======== 过滤主机 -------- - 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump -i eth1 src host 192.168.1.1 - 目的地址 # tcpdump -i eth1 dst host 192.168.1
tcpdump详解&实战
lza20001103的博客
08-15 2178
tcpdump详解&实战
tcpdump抓包实例
十年磨一剑,霜刃未曾试!
08-13 1197
//IP过滤 tcpdump -i eth1 host 192.168.1.1 tcpdump -i eth1 src host 192.168.1.1 tcpdump -i eth1 dst host 192.168.1.1 //端口过滤 tcpdump -i eth1 port 25 tcpdump -i eth1 src port 25 tcpdump -i eth1 ds
tcpdump抓包示例
huangmr的专栏
08-31 695
抓包tcpdump -i eth1 -s0 src host 10.10.10.66 and dst host 10.10.10.67 and port \( 8183 or 8184 \) -w atcplink.cap -vv 读取抓到的包: strings atcplink.cap
使用tcpdump抓包实例
dhissfn3643的博客
08-12 214
tcpdump通过调用网卡驱动进行网络抓包,在网络诊断,数据包分析的时候,特别有用。例子如下: tcpdump -i eno16777728 host 192.168.52.1 #抓取本机到192.168.52.1主机的数据包 tcpdump -i eno16777728 -nnn host 192.168.52.1 and tcp port 25 #...
Linux基础学习之利用tcpdump抓包实例代码
01-09
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 网络数据包截获分析工具。支持针对网络层、协议、主机、网络...
python调用tcpdump抓包过滤的方法
12-25
本文实例为大家分享了python调用tcpdump抓包过滤的具体代码,供大家参考,具体内容如下 之前在linux用python脚本写一个抓包分析小工具,实在不想用什么libpcap、pypcap所以,简单来了个tcpdump加grep搞定。基本思路...
linux系统下使用tcpdump进行抓包方法
01-20
我先看下实例代码: 1.常见参数 tcpdump -i eth0 -nn -s0 -v port 80 -i 选择监控的网卡 -nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度 -s0 捕获长度无限制 -v 增加输出中显示的详细信息量 port...
Linux 网络:tcpdump 抓包示例
JiMoKuangXiangQu的专栏
10-05 1542
Linux, tcpdump,三握四挥抓包
linux下抓包命令--tcpdump的使用
01-04
linux下抓包命令--tcpdump的使用
使用tcpdump命令进行抓包+详细示例
sunrj_niu的博客
03-14 1万+
A: 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据-c count: tcpdump将在接受到count个数据包后退出-d: 以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpdump停止-dd: 以C语言的形式打印出包匹配码-ddd: 以十进制数的形式打印出包匹配码-e: 每行的打印输出中将包括数据包的数据链路层头部信息: 指定tcpdump 需要监听的接口-s snaplen。
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 2万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
【linux】tcpdump抓包
alexliu2360的专栏
12-10 2万+
tcpdump命令需要在root权限下运行。 1、指定端口Port抓包 示例:12500端口上抓包。 命令如下: tcpdump -n -X -i any port 12500 将会把抓包结果打印到控制台界面上。 命令如下: tcpdump -n -X -i any port 12500 > 1.txt 将会把抓包结果保存到当前路径下的1.txt中。 注意:指定端口抓包时,显示的抓包结果最大为1472字节的数据。udp大包的情况,一个4KB的包分成多个片,其他数据片的显示打印不出来。
【数据库测试】tcpdump抓包
test_dog的博客
11-04 4178
tcpdump是一个常用的网络包分析工具,可以通过网络传输到本系统的TCP/IP以及其他网络的数据包。tcpdump使用libpcap库来抓取网络包,可以将网络中传输的数据包的头部完全截获进行分析,它支持针对网络层、协议层、主机、网络或端口的过滤,并提供and、or、not等逻辑语句进行过滤。
tcpdump 抓包
赴前尘
06-05 695
tcpdump 抓包
tcpdump,一个强大的Linux抓包分析工具
04-08 548
更多精彩内容在公众号。tcpdump是一个强大的命令行网络分析工具,它能够捕获网络上的数据包,并提供详细的分析信息。它支持多种网络协议,包括但不限于TCP、UDP、ICMP等,允许用户根据特定的过滤条件来筛选和分析数据包。tcpdump广泛应用于网络故障排查、网络安全分析、性能调优等领域。
Tcpdump 详解(抓包
最新发布
weixin_40874499的博客
08-26 704
一、TCPDUMP抓包工具介绍登录后复制 tcpdump 支持功能: 1、linux平台将网络中传输的数据包全部捕获过来的进行分析 2、支持网络、传输层协议等吸引捕获过滤 3、数据发送和接收的主机、网卡、端口等各种过滤捕获数据规则 4、提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息 5、结合wire...
tcpdump 抓包命令实例
05-29
Tcpdump是一款常用的网络抓包工具,它可以截获经过网络接口的数据包并将其显示出来,可以用来分析网络问题,查找网络故障等。下面是Tcpdump的一个实例: 假设我们要抓取本机网卡en0的所有TCP协议的数据包,并将抓包结果输出到文件/tmp/tcpdump.log中,可以使用如下命令: ``` sudo tcpdump -i en0 tcp -w /tmp/tcpdump.log ``` 其中,-i选项指定要抓取的网卡接口,tcp表示只抓取TCP协议的数据包,-w选项指定抓包结果输出到指定文件中。 另外,Tcpdump还支持很多其他的选项和过滤器,可以根据实际需要进行选择和配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值