tcp dump必知必会

最新推荐文章于 2024-08-18 21:24:04 发布
最新推荐文章于 2024-08-18 21:24:04 发布
阅读量157 收藏
点赞数
文章标签: tcp/ip 网络 网络协议
原文链接:https://mp.weixin.qq.com/s?__biz=MzI0NDE0MDgyNg==&mid=2649602576&idx=3&sn=846b5ce3ede3ff462022a23e0d60f1b0&chksm=f0f44dbeb46c6257d6a6cd3110ef1be6c8a4adbf85486197bec046c3279f250b85876ebcbc65&scene=126&sessionid=0
版权

287548737720c2effcebb2470c6f38a7.gif

  1. 1. tcpdump原理 & 在tcp协议栈的位置

  2.     2. tcpdump用法

  • • 基于协议、主机、端口过滤

  • • 使用and or逻辑运算符做复杂的过滤操作

  • • tcpdump Flags

1. tcpdump原理

linux中非常有用的网络工具,运行在用户态

b6ca208563958f4c2f38484a5902e80b.png

数据包到达网卡,经过数据包过滤器bpf筛选后,拷贝至用户态的tcpdump程序。

tcpdump抓包

“抓” 这个动作是由数据包过滤器bpf完成, bpf的主要作用就是根据用户输入的过滤规则,只将用户关心的数据包拷贝至tcpdump,注意是拷贝,不是剪切。

面试题:某些数据包被iptables封禁,是否可通过tcpdump抓包?  

linux中netfilter是工作在tcp协议栈阶段, tcpdump的过滤器bpf是工作在更底层,所以当然是可以抓到包。

2. tcpdump常规用法

抓包上帝视角:

  • • 可将tcpdump当做网络请求的对端。

  • • tcpdump 支持网络层协议、主机、ip或端口的过滤,并提供and、or、not等逻辑语句来帮助过滤。

2.1抓包前置参数:

  • • -D:提供可以捕获流量的设备列表

  • • -c n:捕获n个包后终止

  • • -n: tcpdump默认会对(ip:port)转换为主机名,影响抓包效率,-n可设置不做转换,直接显示ip地址;

  • • -s 0 : 设置抓取(已经筛选出的数据包的)长度,0 意味着tcpdump自动选择合适的长度抓包;

  • • -w:将抓取的内容输出到文件

  • • -r :跟-w 是对应的,从文件读取抓包文件并输出到终端

  • • -vvv :输出详细的最高级别

2.2 抓包筛选参数:

  • • host:过滤特定主机的流量,可填hostname或者ip;

注意:命令中的hostname会被解析成ip地址,如果解析出来的是vip(可能会作用到多个实际的业务Host),会抓取到非预期的数据包。

可以使用 src host 或者 dst host来抓取特定方向的流量。

tcpdump -n -i eth0 host janus.qa.xxxx.com -vvv -tttt

2023-11-08 14:37:48.478256 IP (tos 0x0, ttl 64, id 47134, offset 0, flags [DF], proto TCP (6), length 554)
    10.178.75.56.44054 > 10.98.21.3.http: Flags [P.], cksum 0x776b (incorrect -> 0x1251), seq 514:1028, ack 186, win 589, length 514: HTTP, length: 514
    POST /janus-api/api/agent/tasks HTTP/1.1
    Host: janus.qa.****.com
    User-Agent: Go-http-client/1.1
    Content-Length: 366
    Accept-Encoding: gzip

    {"groupId":"63fefa20b1e3c135612005c9","ip":"10.178.75.56","env":"qa","idc":"officeidc_hd2","tags":["10.178.75.56","officeidc_hd2","machine"],"lastTaskId":"202303210000000017","versionInfo":{"staticConfigVersionId":"v2023.03.20.004","autoConfigVersionId":"v2023.03.20.004","configVersionId":"0","status":true,"ipTime":"2019-12-04 01:06:06"},"lastTasks":{"status":[]}}[!http]
2023-11-08 14:37:48.520706 IP (tos 0x0, ttl 52, id 64787, offset 0, flags [DF], proto TCP (6), length 40)
    10.98.21.3.http > 10.178.75.56.44054: Flags [.], cksum 0xa1f6 (correct), seq 186, ack 1028, win 150, length 0
2023-11-08 14:37:48.523697 IP (tos 0x0, ttl 52, id 64788, offset 0, flags [DF], proto TCP (6), length 225)
    10.98.21.3.http > 10.178.75.56.44054: Flags [P.], cksum 0xb2f6 (correct), seq 186:371, ack 1028, win 150, length 185: HTTP, length: 185
    HTTP/1.1 200 OK
    Content-Type: application/json; charset=utf-8
    Content-Length: 38
    Connection: keep-alive
    Date: Wed, 08 Nov 2023 06:37:48 GMT

2023-11-08 14:37:48.523718 IP (tos 0x0, ttl 64, id 47135, offset 0, flags [DF], proto TCP (6), length 40)
    10.178.75.56.44054 > 10.98.21.3.http: Flags [.], cksum 0x7569 (incorrect -> 0x9f7e), seq 1028, ack 371, win 597, length 0

  • • port :指定抓取某个X端口的网络数据包。

  • • and or not逻辑运算符 :tcpdump -i eth0 “host redhat.com and (port 80 or port 443)”

  • • tcp/udp:过滤tcp/udp流量: tcpdump -i eth0 host janus.t.17usoft.com and tcp

2.3 tcpdump [Flags]
7bec6668e8b94a11c288148a89cc9372.png

  • https://www.zhihu.com/question/41710052/answer/2945109424

  • https://docs.netgate.com/pfsense/en/latest/diagnostics/packetcapture/tcpdump.html

  • https://amits-notes.readthedocs.io/en/latest/networking/tcpdump.html

a3e92a9852f85492505ec00ae2177204.png最后啰嗦一句:全文原创,希望得到各位反馈,欢迎斧正交流, 若有更多进展,会实时更新到

-

技术群:添加小编微信并备注进群

小编微信:mm1552923   

公众号:dotNet编程大全    

zls365365
关注
tcpdump详解&实战
my的博客
05-03 2133
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IPTCP、UDP和ICMP协议相关的统计数据...
【Linux】网络故障排查必备—tcpdump如何优雅地捕获并分析数据包
墩墩分墩
07-17 1266
tcpdump还能与其他图形工具一起配合分析,比如 wireshark、Snort 等。tcpdump不指定任何参数,监听第一块网卡上经过的数据包。指定查看eth0 网卡 的所有包 然后写入文件。(这里的eth0网卡是有数据流量)(这里的eth0网卡是有数据流量)捕获源IP或目标IP的数据包。捕获源IP和目标IP的数据包。第二行显示网卡的网络信息。将捕获的数据包保存到文件。捕获并显示更详细的信息。第一部分的第一行显示。捕获所有接口的数据包。捕获特定接口的数据包。捕获指定数量的数据包。
Tcpdump 详解(抓包)
最新发布
明日之星
08-18 1万+
一、TCPDUMP抓包工具介绍。
TCP Dump
06-17
TCP/IP Dump
Tcpdump的用法及使用案例
Echo_Blingbling的博客
11-09 1832
转载自此 Tcpdump工具是Unix和linux系统抓网络数据库包最有效的工具,windows上类似的工具是wireshark。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。另外tcpdump可以导入的文件中,可以进一步使用wireshark和java代码进一步统计过滤分析。该命令需要root权限,命令会自动把网卡设置为混杂(promiscuous)状态 1,Tcpdump
tcpdump
睨噷蹇蜣的博客
12-12 273
NIDS 网络嗅探器 linux: tcpdump,wireshark windows: sniffer tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息 #tcpdump -i eth0 -nn tcpdump [ -eflnNOpqStvx ] [ -c 数量 ] [...
服务端tcpdump.zip
08-05
默认情况下,`tcpdump`会监听所有网络接口。若要指定某个接口,如`eth0`,可以使用`-i`选项: ```bash sudo tcpdump -i eth0 ``` 3. **过滤条件**: `tcpdump`支持丰富的过滤条件,例如捕获特定IP或端口的流量...
网络——Wireshark简单介绍及其TCP抓包分析
cckluv的博客
02-02 1953
网络——TCP抓包详解序言分析过滤器封包列表封包详细信息TCP抓包分析**三次握手建立连接:****三次握手后,客户端给的服务端发送的信息:****紧接着,服务端ACK确认发来的数据接收无误:****确认无误后,服务端给客户端发送消息:** 序言 工具:Wireshark Linux下抓包方法: 切换root用户 输入命令行tcpdump -i any port 端口号 -s 0 -w 生成文件名进行抓包 如图所示: “captured”的计数指的是应用层捕获到的数据, “received by
Android逆向之Dump内存
chengzi_wj_的博客
03-26 3138
Android逆向之Dump内存准备工作模拟器准备:adb连接网易MuMu模拟器:导入 android_server转发端口:打开应用的调试模式IDA attach功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTe...
IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 8847
最近研究SO文件调试和dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
分布式面试必会(2022最新版)
weixin_70730532的博客
08-29 163
在Quorum 机制下,当某次更新操作wi 一旦在所有N 个副本中的W 个副本上都成 功,则就称 该更新操作为“成功提交的更新操作”,称对应的数据为“成功提交的数 据”。令R>N-W,由于更新 操作wi 仅在W 个副本上成功,所以在读取数据时,最 多需要读取R 个副本则一定能读到wi 更新后 的数据vi。如果某次更新wi 在W 个副本 上成功,由于W+R>N,任意R 个副本组成的集合一定与 成功的W个副本组成的集合有交集,所以读取R 个副本一定能读到wi 更新后的数据vi。...
TCP连接过程(tcpdump
weixin_45587086的博客
05-11 863
连接和断开 16:46:13.098117 IP x.47398 > 39.156.66.18.http: Flags [S], seq 3833285689, win 64240, options [mss 1460,sackOK,TS val 577056687 ecr 0,nop,wscale 7], length 0 16:46:13.122892 IP 39.156.66.18.http > x.47398: Flags [S.], seq 1625161224, ack 3...
TCP dump使用
qq_33163046的博客
01-30 1万+
抓包工具在分析通信网络传输故障时发挥着重要作用,不仅可以用wireshark 进行抓包,也可以用Linux的tcpdump做抓包。 下面是tcpdump的基本使用方法:   1 基本语法 过滤主机 - 抓取所有经过 eth1,目的或源地址是192.168.1.1 的网络数据 # tcpdump -i eth1 host 192.168.1.1 - 源地址 # tcpdump
tcpdump详解
热门推荐
weixin_33465519的博客
03-20 2万+
原文地址:全网最详细的 tcpdump 使用指南 - 王一白 - 博客园 今天要给大家介绍的一个 Unix 下的一个网络数据采集分析工具,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 可以用wireshark 读取tcpdump 生成的pcap文件,用wireshark的图形化界面分析tcpdump 结果数据。 在讲解之前,有两点需要声明: 第三节到第六节里的 tcpdump 命令示例,.
tcpdump介绍
grandgrandpa的博客
07-31 657
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 下载地址:http://www.tcpdump.org/#l...
tcpdump的一些使用说明
07-29 309
<br /><br /> tcpdump采用命令行方式,它的命令格式为: <br />   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] <br />           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] <br />           [ -T 类型 ] [ -w 文件名 ] [表达式 ] <br /><br />   1. tcpdump的选项介绍 <br />    -a    将网络
tcp dump port numbers reused
09-08
TCP协议是一种面向连接的网络协议,在进行网络通信时会使用端口号来标识应用程序或服务。当TCP连接关闭时,这些端口号就可以被其他应用程序或服务重新使用。因此,在TCP协议中,端口号是可以被重用的。 TCP端口号的重用有以下几个场景: 1. 客户端短暂连接重用端口:在客户端与服务器进行通信时,客户端会选择一个临时端口号与服务器建立连接。当连接关闭后,客户端会释放该端口号,以备下次连接时重用。这样可以节省使用新端口号的资源开销。 2. 服务器端连接重用端口:服务器端在建立与客户端的连接时,会使用一个可用的未被占用的端口号。当连接关闭后,服务器端可以重新使用该端口号与其他客户端建立连接。这种端口重用可以提高服务器的性能和服务的吞吐量。 3. 端口状态TIME_WAIT:当TCP连接关闭时,在主动关闭连接的一方会保持部分连接状态,称为TIME_WAIT状态。这个状态会持续一段时间来保证网络中所有的数据包都被接收和处理。在TIME_WAIT状态下,端口号被暂时占用,但随着时间的推移,会被释放供其他连接重用。 总之,TCP协议中的端口号是可被重用的。这种重用可以提高网络资源的利用率和性能效能。然而,在开发网络应用程序时,需要注意端口号的使用,以避免端口冲突和网络混乱。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值