Tcpdump实践

最新推荐文章于 2024-04-26 16:36:41 发布
最新推荐文章于 2024-04-26 16:36:41 发布
阅读量2k 收藏 2
点赞数 3
分类专栏: 网络故障分析 文章标签: 网络 网络协议 linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhen1819/article/details/112465062
版权

一、tcpdump与iptables的关系

telnet、ftp等应用程序,会通过完整的Linux网络协议栈收发网络数据。应用程序只需要对应用层数据进行读写,数据的封装和解封装由Linux操作系统完成。
tcpdump这一类程序则依赖libpcap。libpcap使用的是一种称为设备层的包接口技术,这种技术使得应用程序可以直接读写内核驱动层面的数据,而不经过Linux网络协议栈。
iptables依赖的Netfilter模块工作在Linux网络协议栈中,tcpdump直接从网络驱动层面抓取数据,不经过任何Linux网络协议栈。因此iptables的入栈策略不会影响到tcpdump抓取数据。
应用程序对外发送的数据包会先经过Linux网络协议栈,再到达网络驱动设备。因此,iptables的出栈策略会影响数据包发送到网络驱动设备层面,影响tcpdump抓取数据。

二、tcpdump常用参数和过滤器

2.1、常用的5个参数

  • -i参数: 指定需要抓包的网卡。如果未指定,tcpdump会根据搜索到的系统中状态为UP的最小数字的网卡,如eth0;
  • -nnn参数: 禁止tcpdump展示时,将IP转换为域名,端口号转换为协议名称;
  • -s参数: 指定抓取的数据包的大小。使用“-s 0”指定数据包大小为262144字节,可以使得抓到的数据包不被截断,从而完整反映数据包的内容;
  • -c参数: 指定抓取的数据包的数量;
  • -w参数: 将抓取的数据包保存到相应的文件,文件通常以.pcap.pcapng等结尾。

2.2、常用的过滤器

  • host x.x.x.x:指定抓取本机与主机“x.x.x.x”通信数据包;
  • tcp port x:指定抓取源端口号或目的端口号为“x”的TCP协议数据包;
  • icmp:仅抓取ICMP协议数据包;
  • !:反向匹配。例如:tcp port ! 22,抓取非22端口的TCP协议数据包;
  • host x.x.x.x and tcp port x:指定抓取本机与主机“x.x.x.x”之间,源端口号或目的端口号为“x”的TCP协议数据包;
  • tcp port x or icmp:指定抓取源端口号或目的端口号为“x”的TCP协议数据包或ICMP协议数据包;

例如,通过wget请求www.example.com,使用tcpdump抓取通信过程中的数据包,如下:

# tcpdump -nnn -i ens33 host www.example.com -s 0 -w example.pcap

三、抓包环境

  • 本机环境:直接抓取本机网卡进出流量;
  • 集线器环境:所有主机处于一个冲突域,集线器不对数据包的MAC地址做检查,理论上可以抓取所有主机相互通信的数据包;
  • 交换机环境:仅能抓取网络上其它主机与本机通信的数据包。

四、更多实例

  • 抓取网络上所有经过本地指定网卡的数据包:
# tcpdump -i ens33
  • 抓取网络上所有与192.168.18.131通信的数据包:
# tcpdump -i ens33 host 192.168.18.131
  • 抓取主机192.168.18.131与主机192.168.18.130或192.168.18.132之间通信的数据包:
# tcpdump -i ens33 host 192.168.18.131 and \(192.168.18.130 or 192.168.18.132\)
  • 抓取主机192.168.18.131与192.168.18.130之外的主机通信的数据包:
# tcpdump -i ens33 host 192.168.18.131 and ! 192.168.18.130
  • 抓取网络上所有源地址是192.168.18.131的数据包:
# tcpdump -i ens33 src host 192.168.18.131
  • 抓取网络上所有目的地址是192.168.18.131的数据包:
# tcpdump -i ens33 dst host 192.168.18.131
  • 抓取网络上所有经过主机192.168.18.131并且目的端口号是22的数据包:
# tcpdump -i ens33 host 192.168.18.131 and tcp dst port 22
  • 抓取网络上所有目的地址是192.168.18.131或192.168.18.132,并且源/目的端口号是22的所有TCP协议数据包:
# tcpdump -nnn -i ens33 tcp port 22 and \(dst host 192.168.18.131 or dst host 192.168.18.132\)
  • 抓取网络上所有SYN或ACK数据包:
# tcpdump -nnn -i ens33 'tcp[tcpflags]=tcp-syn' or 'tcp[tcpflags]=tcp-ack'
「已注销」
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
tcpdump详解&实战
my的博客
05-03 2021
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
Tcpdump的使用实践
weixin_33691817的博客
12-16 76
摘要本文介绍在时间Linux运维过程中用到tcpdump的实际经验分享。正文tcpdump -i bond0:1 "port 67 and src 10.142.24.25"监听bond0:1上的67端口,67是DHCP服务器上的监听端口。 转载于:https://blog.51cto.com/haohaozhang/1725175...
tcpdump入门实践
FlySky
05-21 385
tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。 一、概述 顾名思义,tcpdu
tcpdump 使用实践
weixin_30300523的博客
10-06 90
tcpdump常用配置指导 参考:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 1. 指定端口抓包 -i 说明: 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 2. 只抓10个包 tcpdump -i ens33 -c 10 举例: 3. 显示报...
tcpdump实战详解
qfzhaohan的博客
11-18 528
tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强大。 相对于其它 Linux 工具而言,tcpdump是复杂的。当然我也不推荐你去学习它的全部,学以致用,能够解决工作中的问题才是关键。 本文会从应用场景和基础原理出发,提供丰富的实践案例,让你快速的掌握tcpdump的核心使用方法,足以应对日常工作的需求。 应用场景 在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决: 1.相信大多数同学都遇到过 SSH 连接服务器缓慢,...
tcpdump源码分享
04-21
tcpdump是一款广泛使用的开源网络数据包...同时,这也是一种实践面向底层编程、理解操作系统网络子系统的良好方式。对于有兴趣进一步开发类似工具或增强现有网络监控能力的人来说,tcpdump源码是一个宝贵的教育资源。
tcpdump.zip
06-03
tcpdump是一款广泛使用的网络封包分析软件,它能够实时捕获网络上的数据包,并进行解析,帮助用户了解网络通信的情况。...这对于提升个人技能,特别是在移动应用开发和网络安全领域,都是极其重要的实践经验。
TCPDUMP详解
12-05
### TCPDUMP详解 #### 一、概述 TCPDUMP是一款功能强大的网络数据包捕获与分析工具,广泛应用于Linux操作系统之中。它能够捕获网络中传输的数据包...通过对TCPDUMP的深入学习和实践,可以更好地理解和诊断网络问题。
tcpdump 源代码安装包
10-14
tcpdump是一款广泛使用的网络数据包分析工具,它允许系统管理员或网络工程师实时捕获网络上的数据包,并进行分析。...在安装和使用tcpdump时,确保遵循最佳实践和安全指南,以保护网络的安全和隐私。
tcpdump源码
04-07
源码中可能会包含线程安全的编程实践,如锁和条件变量,以确保正确处理并发数据包捕获。 7. **网络接口的处理**:源码包含了针对不同操作系统的网络接口处理代码,因为不同的系统可能有不同的API来访问网络接口。这...
Linux tcpdump命令实战
恐龙弟旺仔的博客
05-02 1014
前言: 网络这块知识点一直都是笔者的薄弱之处。虽然也一直在学习理论知识,但是总觉得学完就忘,一直在重复学习。 究其原因,应该还是理论没有与实践结合在一起。而想学习具象的网络知识,那么工具就是必不可少的。 目前的工具有两类:wireshark(可视化工具)、tcpdump(命令)。本文我们就来学习下tcpdump命令的使用 1.tcpdump作用 tcpdump是一款强大的网络抓包工具。通过tcpdump命令的使用可以帮助我们分析、调试网络数据 2.tcpdump语法 同样我们通过man
Tcpdump 的用法
weixin_34019144的博客
07-23 64
作者: jeffyan 出处:CU  ( 9 ) 砖 ( 21 ) 好 评论 ( 0 ) 条  进入论坛 更新时间:2005-12-26 11:55 关 键 词:TCP 阅读提示:第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 2...
tcpdump抓包实战
guoer9973的专栏
07-17 821
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。1,默认启动:tcpdump普通情况下,直接启动tcpdump将监视第一
tcpdump 用法详解
热门推荐
zg_hover的专栏
07-04 1万+
tcpdump 用法详解
2024最新版聚合支付彩虹易支付PHP源码(1)
最新发布
2301_77110907的博客
04-26 827
通过这个平台,您可以方便地接入多种支付方式,包括支付宝当面付、QQ钱包、财付通、微信扫码支付和个体商户聚合收款码等。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?15、讲述一下LVS三种模式的工作过程?
tcpdump基本使用和实战分析
瞧,那小子真帅
05-31 1949
文章目录1. tcpdump基本命令2. tcpdump过滤3. 实战1)客户端代码2) 服务端代码3)抓包和运行4) 分析 1. tcpdump基本命令 tcpdump -n 将主机名转换为IP地址 tcpdump -v 信息增多 tcpdump -i lo 指定网络接口,eth或者lo这类的 tcpdump -w ./tcpdata.pcap 将信息保存为tcp
tcpdump
我的专栏
08-18 1063
今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具 -- Tcpdump,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 由于我本人更习惯使用命令行的方式进行抓包,因此今天先跳过 wireshark,直接给大家介绍这个 tcpdump 神器。 这篇文章,我肝了好几天,借助于Linux 的 man 帮助命令,我把 tcpdump 的用法全部研究了个遍,才形成了本文。 不夸张的说,应该可
【计算机网络】 0、各网络命令 + tcpdump + Wireshark、抓包实战、TCP 握手挥手、防火墙、保活、MTU
呆呆的猫的博客
11-26 7922
tcpdump + Wireshark 抓包实战、TCP 握手挥手、防火墙、保活、MTU
tcpdump抓包实例
十年磨一剑,霜刃未曾试!
08-13 1156
//IP过滤 tcpdump -i eth1 host 192.168.1.1 tcpdump -i eth1 src host 192.168.1.1 tcpdump -i eth1 dst host 192.168.1.1 //端口过滤 tcpdump -i eth1 port 25 tcpdump -i eth1 src port 25 tcpdump -i eth1 ds
aarch 安装tcpdump
05-14
在安装tcpdump之前,首先需要确保你的系统中已经安装了AArch64架构的操作系统,并且你有root权限。...请注意,由于tcpdump是一个强大的网络工具,仅在必要时使用,并遵循与使用类似工具相关的最佳安全实践和指南。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值