tcpdump抓取TCP协议、GRE协议数据

最新推荐文章于 2025-06-01 16:13:22 发布
原创 最新推荐文章于 2025-06-01 16:13:22 发布 · 7.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcpdump #tcp #gre #数据

本文详细介绍了如何使用tcpdump工具来抓取TCP和GRE协议的数据包。针对TCP协议,通过不同过滤条件展示如何捕获特定类型的数据包,包括按端口、标志位以及数据内容进行过滤。而对于GRE协议,提到了利用'proto gre'参数来捕获相关数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tcpdump抓取tcp数据
1、tcpdump -i eth0 port 11751 and src host 192.168.1.34 -x -s0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:15:42.714678 IP 192.168.1.34.39497 > 192.168.1.21.intrepid-ssl: P 3445320732:3445320750(18) ack 3456192260 win 46 <nop,nop,timestamp 1322201171 1322174386>
        0x0000:  4500 0046 8c5e 4000 4006 2acc c0a8 0122
        0x0010:  c0a8 0115 9a49 2de7 cd5b 6c1c ce01 4f04
        0x0020:  8018 002e bb7b 0000 0101 080a 4ecf 3053
        0x0030:  4ece c7b2 0e00 0000 030f de0d 9402 0000
        0x0040:  0000 0000 0000

2、根据协议二进制字段过滤
1) tcpdump ‘tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net x.x.x.x’
打印TCP会话中的的开始和结束数据包, 并且数据包的源或目的不是本地网络上的主机.(nt: x.x.x.x, 实际使用时要真正替换成本地网络的名字))
2) tcpdump ‘tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’
打印所有源或目的端口是80, 网络层协议为IPv4, 并且含有数据,而不是SYN,FIN以及ACK-only等不含数据的数据包.(ipv6的版本的表达式可做练习)(nt: 可理解为, ip[2:2]表示整个ip数据包的长度, (ip[0]&0xf)<<2)表示ip数据包包头的长度(ip[0]&0xf代表包中的IHL域, 而此域的单位为32bit, 要换算成字节数需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp头的长度, 此域的单位也是32bit, 换算成比特数为 ((tcp[12]&0xf0) >> 4) << 2, 
即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整个ip数据包的长度减去ip头的长度,再减去tcp头的长度不为0, 这就意味着, ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的’Payload Length’ 与 ‘tcp头的长度’的差值, 并且其中表达方式’ip[]’需换成’ip6[]’.)
3) tcpdump ‘gateway snup and ip[2:2] > 576’
打印长度超过576字节, 并且网关地址是snup的IP数据包
4) tcpdump ‘ether[0] & 1 = 0 and ip[16] >= 224’
打印所有IP层广播或多播的数据包, 但不是物理以太网层的广播或多播数据报
5)tcpdump ‘icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply’
打印除’echo request’或者’echo reply’类型以外的ICMP数据包( 比如,需要打印所有非ping 程序产生的数据包时可用到此表达式 .
(nt: ‘echo reuqest’ 与 ‘echo reply’ 这两种类型的ICMP数据包通常由ping程序产生))
3、根据数据部分过滤
1)计算数据的起始位置
ip首部的长度为((ip[0]&0xf)<<2))即ip[0]=0x45,即长度为20,所以IP头部到第二行的0115结束,后面就是具体传送协议的数据了,这里是tcp数据。
tcp首部的长度 ((tcp[12]&0xf0)>>2)),其中tcp[12]=0x80,计算长度为20,所以tcp头部的长度是20,从8018开始数20字节到c7b2结束。
所以tcp数据开始的地方是tcp[12+tcp首部长度]=tcp[20],即从0e00开始。
2)根据数据过滤,比如数据第一个字节tcp[32]==0xe,这样添加过滤条件过滤即可。

[root@IM-SJ01-Server21 ~]# tcpdump -i eth0 port 11751 and tcp[32] == 0xe -x -s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:15:42.714678 IP 192.168.1.34.39497 > 192.168.1.21.intrepid-ssl: P 3445320732:3445320750(18) ack 3456192260 win 46 <nop,nop,timestamp 1322201171 1322174386>
        0x0000:  4500 0046 8c5e 4000 4006 2acc c0a8 0122
        0x0010:  c0a8 0115 9a49 2de7 cd5b 6c1c ce01 4f04
        0x0020:  8018 002e bb7b 0000 0101 080a 4ecf 3053
        0x0030:  4ece c7b2 0e00 0000 030f de0d 9402 0000
        0x0040:  0000 0000 0000

tcpdump抓取GRE协议
协议字段参数:’proto gre’

[root@os-network01 ~]# tcpdump -i eth0 'proto gre' -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:44:37.834041 IP 135.251.218.247 > 135.251.218.249: GREv0, key=0x1, length 110: IP 10.5.5.2 > 10.5.5.1: ICMP echo request, id 12339, seq 48, length 64
13:44:37.834101 IP 135.251.218.249 > 135.251.218.247: GREv0, key=0x1, length 110: IP 10.5.5.1 > 10.5.5.2: ICMP echo reply, id 12339, seq 48, length 64
13:44:37.834722 IP 135.251.218.247 > 135.251.218.249: GREv0, key=0x1, length 174: IP 10.5.5.2.ssh > 10.0.0.9.39707: Flags [P.], seq 43897986:43898082, ack 2815899572, win 106, options [nop,nop,TS val 1088018784 ecr 1220705304], length 96
13:44:37.834766 IP 135.251.218.249 > 135.251.218.247: GREv0, key=0x1, length 78: IP 10.0.0.9.39707 > 10.5.5.2.ssh: Flags [.], ack 96, win 501, options [nop,nop,TS val 1220706287 ecr 1088018784], length 0
tcpdump grpc流量后使用wireshark分析
SHELLCODE_8BIT的博客
09-27 1096
会生成cap包,载入rpc后,会看到如下协议被自动解析为如下内容。使用下列命令抓取流量。
【网管博客 | 01】抓取分析网络数据包?力推默契老搭档——tcpdump&wireshark
木子Linux的博客世界
05-22 1620
tcpdump是一个在linux环境下常用的抓包工具,Wireshark是一个网络封包分析软件,二者结合,其利断金
通过GRE封装前的IP地址tcpdump抓包
守护万家灯火
08-27 635
如下的测试数据包,最外层IP对:172.27.1.66-66.59.109.137,封装了66.59.111.190-172.28.2.3的数据包。需要注意的是偏移位置随着封装报文结构有所不同,可以自行抓一个包看下具体的偏移位置,计算方式跟上述过程一样。GRE封装IP层数据后导致抓包抓的是GRE的包,直接抓包会很大,所以希望通过里层的IP来抓包。找到IP层开始的位置,可以看到在右侧数据0x4500就是IP层开始的位置。ip[36:4]指刚才计算的IP偏移位置,对应源IP。计算下这两之间的距离,36个字节。
tcpdumpGRE keepalive
qq_41297513的博客
03-14 843
1、指定网卡 2、指定proto gre 3、指定进入方向 4、指定ip位。
抓包工具tcpdump介绍
最新发布
bdqnkc50的博客
06-01 667
host ftp.com 就是要抓取本机与ftp.com这台主机之间的数据流量。tcpdump icmp : 抓取 icmp协议数据包。tcpdump tcp抓取tcp协议数据包。tcpdump [选项] [过滤表达式]· dst port 表示目标端口。· src port 表示源端口。dst host 表示目标主机。src host 表示源主机。
Openstack中OVS实现GRE网络的GRE数据包分析
guangjian的专栏
01-02 2439
GRE数据包分析 1. GRE协议封装了原始的ethereal数据包,并在包头加上了8个字节的GRE header,Tunnel两端的路由设备会对GRE包进行封包和解包,在我们的openstack解决方案中,由OVS进行封包和解包工作   2. GRE数据抓取方法 1/. launch tcpdump on network node [root@os-network01 ~]#
GRE协议详解
10-17
GRE (Generic Routing Encapsulation): 是对某些网络层协议(如:IP, IPX, AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel
TCP/IP 网络协议基础入门
weixin_42715287的博客
06-16 2849
文章目录1、TCP/IP简介IP 地址域名MAC 地址端口号封装和分用2、链路层介绍控制帧的传输差错控制反馈重发计时器序号流量控制以太网PPP(点对点协议)SLIP 与 PPPSLIP 协议PPP 协议MTU3、IP网际协议IP 数据报IP 地址分类A 类地址B 类地址C 类地址子网划分IP 路由选择NAT 技术IP 的未来4、网络层其它协议ARP功能原理ARP 代理ARP 欺骗RARPICMPping 程序ping 简介TTL 值Ping 命令判断操作系统traceroute 程序traceroutetr
交叉编译 tcpdump 的流程说明
专注于 IOT 物联网的嵌入式研发
09-11 2517
编译完成后将在本目录下生成 tcpdump 可执行文件(2.8M左右),但是这种情况下,在目标系统上运行 tcpdump 需要依赖 libpcap.so.1(libpcap.so.1.7.4)(在之前编译 libpcap 的目录下可以找到)这条命令会在本地设备上捕获数据,并通过管道将数据传输到 Wireshark 进行实时分析。这条命令会在本地设备上捕获数据,并通过 netcat 将数据传输到远程设备上的指定端口。这条命令会在本地设备上捕获数据,并通过 SSH 将数据传输到远程设备上的指定路径。
协议头分析:深入理解网络通信中的关键要素
weixin_65409651的博客
08-25 1078
协议头(Protocol Header)是指在网络通信过程中,附加在数据包或帧前面的控制信息。它包含了关于通信会话的重要信息,如源地址、目标地址、协议类型、数据长度、校验码等。这些信息用于确保数据在网络中能够正确传输、路由和解析。本文将详细介绍协议头的基础知识、常见协议头的类型与功能,并深入探讨如何使用工具进行协议头分析。通过实际案例研究,本文还将展示协议头分析在网络通信和安全领域的应用,帮助读者全面掌握协议头分析的技术和方法。协议头分析是网络通信和安全研究中的重要技术。
如何在Linux编程中像tcpdump一样过滤报文?——BPF
10-25 2136
在linux下使用tcpdump进行报文抓取是理解和分析网络信息交互过程的重要步骤。相信有不少同学在设计网络程序时有过这样的冲动——能否在代码中也像tcpdump一样过滤获得我想要的报文呢?答案当然是“没问题”。这里介绍的BPF就是编程中使用的工具,当然似乎tcpdump也是利用该工具来实现的。 一、关于BPF BPF(Berkeley Packet Filter)伯克利包过滤器。其最初构想提...
基于博特CPE和华为路由器搭建GRE隧道网络GRE抓包
12-25
本文件为基于博特CPE和华为路由器搭建GRE隧道网络配置文章配套抓包
tcpdump详解(转)
专注后端技术
01-16 1万+
原文地址 ========= 以下是本文档完整版本地址:http://sanyk.is-programmer.com/posts/14645.html (nt: 出现这一提示是为了避免一些网络蜘蛛把文章分成几个页面给查看带来不悦) 中文版本 ========= TCPDUMP(8)
tcpdump抓包二进制tcp协议详细分析
程序狗的成长之路
03-14 1649
过滤表达式大体可以分成三种过滤条件,“类型”、“方向”和“协议”,这三种条件的搭配组合就构成了我们的过滤表达式。 关于类型的关键字,主要包括host,net,port, 例如 host 210.45.114.211,指定主机 210.45.114.211,net 210.11.0.0 指明210.11.0.0是一个网络地址,port 21 指明 端口号是21。如果没有指定类型,缺省的类
tcpdump初识
u010512429的博客
07-08 351
目录 背景 背景 目前所做的项目管理了近36w+的agent,用来接收apiserver集群(存储了任务的相关数据)推送过来的任务信息。当前的流程是agent会和apiserver节点建立grpc双向流式,当apiserver有任务的时候,会push任务信息给agent,并定时发送心跳请求来探活长连接。从现状来看,时不时会出现长连接的问题导致agent接收任务失败。 现状 在机器上执行netstat可以看到,agent和apiserver节点的44401端口建立了长连接,连接状态为ES..
TCP、UDP、TCP_IP
AhahaGe
11-23 348
1. TCP协议 TCP(Transmission Control Protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程:主机A向主机B发出连接请求数据包:“我想给你发数据,可以吗?”,这是第一次对话;主机B向主机A发送同意连接和要求同步(同步就是两台主机一个在发送,一个在接收,协调工作)的数据
GRE技术介绍
bytxl的专栏
07-23 6660
GRE简介 协议简介 GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议。 Tunnel是一个虚拟的点对点的连接,提供了一条
TCPDump:捕获并记录特定协议 / 端口
热门推荐
Defonds 的专栏
09-09 3万+
Q. 如何使用 Linux / UNIX 平台下的 TCPDump 工具捕获特定协议或端口比如 80 (http)?如何使用 TCPDump 将流记录下来,然后(根据记录)查找到问题所在?         A. TCPDump 是一个用于网络监控和数据采集的工具。它可以给我们节约大量的时间,并能用于网络调试或者服务器相关的问题的解决。Tcpdump 会将通过匹配布尔表达式的网络接口的包的内容的描
tcpdump用于抓取tcp数据
weixin_30892037的博客
11-02 855
一、简单使用:-c监听次数、-v打印详情、host后接监听地址 1.1、监听 tcpdump -c 3 -v host www.baidu.com 1.2、访问被监听的网址: 1.3、查看监听的数据: 转载于:https://www.cnblogs.com/zhengchuzhou/p/9896877.html...
tcpdump抓取tcp 协议 8089 端口数据
06-10
如果只想抓取 TCP 协议 8089 端口的数据,可以使用如下命令: ``` sudo tcpdump -i <interface> tcp port 8089 ``` 其中,`<interface>` 是指网络接口的名称,例如 eth0 或 enp0s3。这个命令会在指定的网络接口上抓取所有经过 8089 端口的 TCP 数据包。 如果你想同时捕获其他协议类型的数据包,可以使用如下命令: ``` sudo tcpdump -i <interface> port 8089 ``` 这个命令会在指定的网络接口上抓取所有经过 8089 端口的数据包,包括 TCP、UDP 和其他协议类型的数据包。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值