tcpdump报文截取和分析

最新推荐文章于 2024-05-14 17:36:58 发布
最新推荐文章于 2024-05-14 17:36:58 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: tcpdump wireshark linux 文章标签: 网络 操作系统 大数据
linux 同时被 3 个专栏收录
16 篇文章 1 订阅
订阅专栏
tcpdump
1 篇文章 0 订阅
订阅专栏
wireshark
1 篇文章 0 订阅
订阅专栏


简介
Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。

安装tcpdump
本文以redhat as 5作为基础环境安装说明,内核:
Linux hadoop00 2.6.18-8.el5 #1 SMP Fri Jan 26 14:15:21 EST 2007 i686 i686 i386 GNU/Linux

下载对应的RPM版本,下载地址:http://www.tcpdump.org
# wget http://www.tcpdump.org/release/tcpdump-4.0.0.tar.gz

# tar -xzvf tcpdump-4.0.0.tar.gz
# ./configure
# make
# make install

# tcpdump -?
tcpdump version 4.0.0
libpcap version 1.1.1
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
                [ -i interface ] [ -M secret ] [ -r file ]
                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
                [ -y datalinktype ] [ -z command ] [ -Z user ]
                [ expression ]


Tcpdump常用命令

打印参数
-A:以ASCⅡ编码打印除了链路层报文头外的报文内容。用于捕捉web请求。
-B:设置抓取报文的缓存大小。
-c:收到多少包后退出程序
-dd:dump报文存储格式为C程序格式。
-e:打印链路层报文头
-X:不包括数据链路层的报文,并且以ASCⅡ的编码方式。
-v:详细的输出,也就比普通的多了个TTL和服务类型
-vv:截取显示详细的报文(注意是两个v)
-n:不进行IP地址到主机名的转换
-nn:不进行端口名称的转换
-N:不打印出默认的域名
-O:不进行匹配代码的优化
-t:不打印UNIX时间戳,也就是不显示时间
-tt:打印原始的、未格式化过的时间
-S:Print absolute, rather than relative, TCP sequence numbers.
-w filename : 保存截取的报文到指定的文件。

tcpdump man 文档: http://www.tcpdump.org/tcpdump_man.html

过滤参数
-b 在数据链路层上选择过滤的协议,包括ip,arp,rarp,ipx等
-i 表示指定过滤的网络设备,如网卡标志(eth0,eth1等)。
src、dst、port、host、net、ether、gateway这几个选项又分别包含src、dst 、port、host、net、ehost等附加选项,用于分辨数据包的来源和去向。可以使用and,or和not等进行逻辑组合。
src:数据源(请求);dst 目标;host 主机名或IP;net只网络平面或段;port表示端口号;ether只的是物理地址,即MAC地址;geteway表示网关。
例子:
# tcpdump src host 192.168.1.100 and dst host 192.168.1.101 and port 8080
表示:源为192.168.1.100,目标为192.168.1.101并且端口号为8080的报文。

# tcpdump dst net 192.168.0.0/24
表示目标的网络地址为192.168.0.0/24的子网

我习惯的报文截取和分析
服务器上tcpdump截取报文,本地wireshark分析报文
1.    使用tcpdump在目标服务器上截取报文并保持到文件中。
# # tcpdump -X –w httpdump 'tcp port 8080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
# sz httpdump
2.    下载截取的报文文件到本地,使用wireshark进行分析。
打开wireshark,点击界面中间的open打开下载的dump文件。


 

列表和流式浏览报文




HTTP报文截取例子
1.    源,目标及端口号过滤
# tcpdump –X –w filename src 192.168.91.1 and dst 192.168.91.10 and port 8080
2.通过报文中的协议标志过滤
# tcpdump  -XvvennSs 0 -i eth0 –w filename tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 为"GET"前两个字母"GE"
0x4854 为"HTTP"前两个字母"HT"
3.端口号及报文头标志(官方例子)
# tcpdump -X –w filename 'tcp port 8080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

zp820705
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump
weixin_42753043的博客
04-17 2300
tcpdump (仅作为个人笔记,如有雷同,请联系删除。。) https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html https://www.cnblogs.com/shijiaqi1066/p/3898248.html 1、命令格式:支持and、or、not等逻辑语句,以及协议类型、host等,来过滤抓包信息。 tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [
【linux测试必背| tcpdump】命令行抓包神器 | tcpdump抓取post请求并显示详细参数
weixin_42866036的博客
11-23 3385
tcpdump抓包工具 仅捕捉指定端口80/443接收到的指定来源192.168.10.1的http get/post 请求。今天突然说要转一个补丁版本,将get请求改成post请求,紧急上线,要半小时搞定。捕捉接收到的指定端口的完整http 请求数据(get&post)捕捉接收到的http请求并展示post的请求方式和body。仅捕捉接收到的所有http get或post请求的里的密码。仅捕捉接收到的所有http get或post请求的url。问题定位:抓取tcp请求,可以看到请求包含的详细信息。
linux下使用tcpdump工具分析UDP_tcpdump查看udp接收的数据并打印(1)
最新发布
2401_85014040的博客
05-14 523
UDP数据部分为应用层,而UDP再向下层(OSI七层网络模型)网络层(IP协议)传递时,会被加上IP协议头。通过tcpdump工具获取到了发送或接收到的包,但是如何读取,还需要了解UDP格式。码讲义、实战项目、大纲路线、电子书籍、讲解视频,并且后续会持续更新**UDP协议和TCP协议同位于传输层,介于网络层(IP)和应用层之间。
tcpdump-截获、分析数据包
weixin_33735077的博客
06-27 504
tcpdump(1)定义:tcpdump(dump the traffic on a network):根据使用者的定义对网络上的数据包进行截获、分析的工具。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。(2)特点:tcpdump功能强大,截取策略灵活,是高级的系统管理员分析网络、排查问题等所必备的工具之一。tcp...
如何截取时间_104分析实例
weixin_32643811的博客
01-14 757
在需要分析104的时候我们可以使用104分析软件,但是一般截取数据量都比较大,本说明是根据具体来介绍如何在一堆里面能够快速准确的找到需要分析。下面是现场主站截取的104:S08:45:47 68 04 01 00 72 3AR08:45:47 68 32 BA 6F F2 08 15 08 03 00 01 00 E8 40 00 AE 00 E9 40 00 AD...
tcpdump 抓包与分析
Follow your heart
02-08 1233
tcpdump 抓包与分析   1 tcpdump 与 wireshark     tcpdump抓的包内容可以用wireshark进行解析,如:         $> tcpdump -c1000 -w /tmp/tcpdump.test.cap          $> sz /tmp/tcpdump.test.cap #将抓到的包内容下载到本地     wireshark是开源软
Linux系统之Tcpdump抓包常见举例分析.docx
07-07
Tcpdump 命令参数详解与实践应用 Tcpdump 是一个功能强大且灵活的网络嗅探器,可以嗅探网络流量...通过 Tcpdump 命令的使用,可以实现对网络流量的监控和分析,从而帮助网络管理员和开发者更好地了解和优化网络性能。
tcpdump手册
09-14
* -s:从每个截取 snaplen 字节的数据,而不是缺省的 68(如果是 SunOS 的 NIT,最小值是 96)。 * -T:把通过“expression”挑选出来的解释成指定的 type。目前已知的类型有:rpc(远程过程调用),rtp...
tcpdump manpage
12-14
tcpdump 是一个强大的网络数据包分析工具,用于在网络接口上截取分析数据流,根据用户定义的条件筛选和展示网络通信的信息。它在不同操作系统上可能需要特定的权限才能运行,例如在某些系统上,非root用户可能需要...
Wireshark - 使用WireShark进行分析简明教程
04-23
Wireshark是一款强大的网络封包分析软件,它能够截取并深入分析网络中传输的数据包,展示出其中的详细信息。对于性能测试来说,尤其是在面对B/S架构和C/S架构的项目产品时,Wireshark起到了至关重要的作用。在Web...
截取软件
09-09
通过连接整车CAN,内网CAN或者充电CAN了解数据的实时信息
网络抓取
12-18
好用的网络抓起工具,占用资源很少。可以配置ip port 等过滤选项
计算机网络实验一:应用协议与数据包分析实验(Wireshark)
海棠的博客
05-31 1396
实验步骤 步骤1:在PC 机上运行Wireshark,开始截获; 步骤2:从浏览器上访问Web 界面http://www.163.com/。打开网页,待浏览器的状态栏出现 “完毕”信息后关闭网页。 步骤3:停止截获,将截获的命名为http-学号保存。 分析截获的,回答以下几个问题: 1)综合分析截获的,查看有几种HTTP ? HTTP请求 HTTP响应 2)在截获的HTTP 中,任选一个HTTP 请求和对应的 HTTP 应答,仔细分析它们的格式,填写表1
通过tcpdump分析TCP(1)
Qmeng的博客
05-03 1万+
第一部分,先熟悉一下tcpdump的基本使用并对一个普通的TCP数据进行分析tcpdump的基本使用 常用参数: 参考:https://blog.51cto.com/nickfox/2089655 -i 指定监听的网络接口 -nn IP和端口均以数字形式显示 -c 在收到指定的数量的分组后,tcpdump停止,如果没有这个参数,tcpdump会持续不断的监听直到用户输入 [ctrl]-c...
Tcpdump命令抓包详细分析
萌兔兔MMQ!!
08-19 1万+
1 起因前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。为了更好、更顺手地能够用好这两个工具,特整理本篇章,希望也能给大家带来收获。为大家之后排查问题,添一利器。2 tcpdump与Wireshark介绍。
tcpdump抓包
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行抓取和分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
tcpdump 抓两个地址的数据_网络/命令行抓包工具tcpdump详解
weixin_35097945的博客
01-05 4787
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要roo...
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 2万+
tcpdump是Linux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump分析详解
09-19
tcpdump是一种网络抓包工具,用于分析和监测网络中的传输情况。它可以在Unix和类Unix系统上运行,并且具有强大的抓包能力和丰富的过滤选项。 使用tcpdump可以捕获和显示经过网络接口的数据包内容。它可以用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值