tcpdump(四)保存、回放、流量

最新推荐文章于 2024-12-04 18:14:38 发布
原创 最新推荐文章于 2024-12-04 18:14:38 发布 · 5.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcpdump

本文详细介绍如何使用tcpdump进行网络流量的保存与回放,包括基本操作、过滤特定协议、源目标主机及端口的方法,是网络分析与故障排查的实用指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

流量保存与回放

做过网络流量分析的朋友,或许都有一个共同的需求,那就是都要做"流量保存"和"流量回放"。

  • 流量保存:把抓到的网络包存储到磁盘上,保存下来,为以后使用。
  • 流量回放:把历史上的某一时刻段的流量,重新模拟回放出来,用于流量分析。

-w 选项:将流量保存到文件中

[root@test ~]# tcpdump -i ens39 -w tcp.txt
tcpdump: listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes
^C97 packets captured
97 packets received by filter
0 packets dropped by kernel

通过例子可以看到,将流量保存到文件tcp.txt中了,tcpdump的-w方式是把 raw packets(原始网络包)直接存储到文件中,也就是存储的都是结构体数据,而非我们在屏幕所看到的文件格式的数据。

-r 选项:读取raw packets文件

[root@test ~]# tcpdump -r tcp.txt 
reading from file tcp.txt, link-type EN10MB (Ethernet)
08:48:59.468322 IP 192.168.146.6.62625 > 192.168.146.131.ssh: Flags [P.], seq 614404439:614404507, ack 3852147140, win 4104, length 68
08:48:59.468478 IP 192.168.146.131.ssh > 192.168.146.6.62625: Flags [.], ack 68, win 274, length 0
08:48:59.469027 IP 192.168.146.131.ssh > 192.168.146.6.62625: Flags [P.], seq 1:85, ack 68, win 274, length 84
08:48:59.508838 IP 192.168.146.6.62625 > 192.168.146.131.ssh: Flags [.], ack 85, win 4104, length 0

过滤流量

只抓udp的包

[root@test ~]# tcpdump -i ens39 -c 1 'udp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes
09:09:25.727094 IP 192.168.146.131.bootpc > 192.168.146.254.bootps: BOOTP/DHCP, Request from 00:0c:29:ea:62:16 (oui Unknown), length 300
1 packet captured
2 packets received by filter
0 packets dropped by kernel

通过例子说明,tcpdump具有根据网络包的协议类型来进行过滤的能力,我们可以查询 ether、ip、ip6、arp、tcp、udp.

这些协议里面没有应用层的协议,理由是应用层协议非基础类网络协议,经常会新增或淘汰,而且往往也没呀固定的数据格式,tcpdump更不会深入到应用层部分去智能解析。

源和目标主机

专门查看源机器和目的机器之间的网络包,只要设置src(source)和dst (destination),而且tcpdump还支持使用and和or来进行搭配组合。

[root@test ~]# tcpdump -i ens39 -c 1 'dst 192.168.146.131'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes
09:23:12.888140 IP 192.168.146.6.62625 > 192.168.146.131.ssh: Flags [P.], seq 614407867:614407935, ack 3852151096, win 4102, length 68
1 packet captured
47 packets received by filter
0 packets dropped by kernel

[root@test ~]# tcpdump -i ens32 -c 1 'dst 8.8.8.8'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens32, link-type EN10MB (Ethernet), capture size 262144 bytes
09:26:19.790385 IP test.44618 > google-public-dns-a.google.com.http: Flags [S], seq 991906839, win 29200, options [mss 1460,sackOK,TS val 3007011 ecr 0,nop,wscale 7], length 0
1 packet captured
3 packets received by filter
0 packets dropped by kernel

我们知道8.8.8.8是Google的开放DNS,所以,输出中可以看出,tcpdump将其展示成了其对应的域名google-public-dns-a.google.com。

只关注特定端口

只想看到目的端口22和80端口,其他的不关注

[root@test ~]# tcpdump -i ens39 -c 2 'dst port 22 or dst port 80'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens39, link-type EN10MB (Ethernet), capture size 262144 bytes
09:37:08.183655 IP 192.168.146.6.49672 > test.http: Flags [.], ack 825142687, win 4103, length 0
09:37:09.683676 IP 192.168.146.6.62625 > 192.168.146.131.ssh: Flags [P.], seq 614411047:614411099, ack 3852154800, win 4105, length 52
2 packets captured
11 packets received by filter
0 packets dropped by kernel

tcpdump还支持如下类型:

  1. host:指定主机名或IP地址,例如'host test.cn'或‘host 202.112.18.34’
  2. net:指定网络段,例如'Src net 128.3'或'dst net 128.3'
  3. portrange:指定端口区域,例如'src or dst portrange 6000-6008'

Tcpreplay回放流量遇到的坑
weixin_44275663的博客
08-26 6430
1.Tcpreplay做不到服务端能实时响应的回放 回答 :使用Tcpreplay回放Pcap流量,Tcpreplay只能保证发出去,如果想要服务端响应的话,需要使用tcpliveplay(使用tcpreplay回放tcp的时候,不能同步TCP里面Syn/Ack的编号)。 2.在Tcpreplay服务端只能抓到单方向的流量 问题描述:在服务端通过nc -l 1234监听1234端口,在客户端连接服务端通过: nc -nvv server_ip 1234 命令,客户端向服务端发送数据。 与此同时在客户端抓取
深入解析:Linux tcpdump命令在网络流量分析中的实战应用
最新发布
rm -rf /*
07-01 1583
tcpdump是一个强大的命令行工具,用于捕获和分析TCP、UDP、ICMP等协议的网络流量
网络流量回放工具
12-04
局域网内网络流量记录仪,并可以回放之前监控的网络流量数据。
tcpdump抓包并保存成cap文件
xiaoxiaoabc_123
03-08 4040
首选介绍一下tcpdump的常用参数 tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]           [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选项介绍
Tcpcopy tcpdump 流量离线回放
忆网
04-05 8688
简单来说,就是用tcpdump记录线上请求,用tcpcopy来重放,如下图所示: 上篇叙述了流量拷贝,在此不再赘述(TcpCopy复制流量) 一、分别在服务端和客户端安装 tcpcopy intercept 注:根据新旧框架,自行使用具体框架应用几台机器 安装过程中如遇到问题:“can't find pcap.h”(网卡流量监控软件),需要安装libpcap-devel ...
tcpreplay回放tcpdump保存流量
taejaysc的博客
08-20 604
tcpreplay、tcpdump安装使用参数及命令修改网卡mtutcpdump安装使用 安装 yum -y install tcpreplay 如果安装报错,试着安装epel-release yum -y install epel-release 使用 参数及命令 -i 网卡 -M 设置回放速度,单位Mbps -l 循环次数 tcpreplay -i 网卡 -M Mbps pcap文件 修改网卡mtu 如果tcpdump内含有长度较大的包,则需要修改网卡mtu大小,否则会出现报错 ifconfig
tcpdump dump 网络流量
weixin_30847271的博客
12-06 267
tcpdump dump 网络流量 描述: Tcpdump 打印一个包的内容的描述在一个网络接口 匹配布尔值表达式 它也可以运行使用-w flag, 这样会保存包的数据到一个文件用于后面分析, 使用-r flag 可以从保存的packet 文件而不是从网络接口读取 在所有的例子,只有packets 匹配表达式才会被tcpdump处理 Tcpdump 如果不带-c 运行, 会...
抓包工具-tcpdump
07-14
4. **回放捕获数据**:使用 `-r` 参数可以读取之前保存的pcap文件并重新分析,例如 `tcpdump -r capture.pcap`。 5. **其他选项**:`-n` 选项避免DNS解析,保持原始IP和端口号;`-vvv` 提供详细输出;`-c count` 在...
局域网监控:网络流量数据回放工具
例如,在回放流量时可能需要降低网络负载,或者在特定的测试环境中进行。此外,还需要注意数据安全和隐私问题,因为捕获的流量可能包含敏感信息。在进行回放之前,应确保合法性和合规性,并采取措施保护这些数据。 ...
流量回放平台(支持http+grpc,支持pb格式)
qq_35233587的博客
11-06 2667
流量回放平台(支持http+grpc,支持pb格式) 背景 目前开源的工具例如tcpcopy、goreplay大多只支持http协议的流量回放,而且不支持pb,所以采用自研的方式。 架构图 一、整体架构: 二、压测引擎 三、流量录制推送 重点实现 1、流量录制: 流量录制使用tcpdump流量保存到本地/mq中 2、流量解析: 因为有pb格式的数据。所以借助了python的 dpkt包对流量进行了解析组装,根据请求的url不同进行区分,然后放到消息队列中 3、请求引擎: http:正常使用各种htt
pcap包回放的简要说明
09-09
PCAP 文件可以通过 tcpdump 等工具来捕获和保存。 在 PCAP 包回放中,需要对 PCAP 文件进行处理,以区分客户端和服务器的流量。tcpprep 工具可以用来处理 PCAP 文件,区分客户端和服务器的流量。命令为:`tcpprep -...
tcpDump 抓包保存
u011244446的专栏
08-04 1380
首选介绍一下tcpdump的常用参数 tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]           [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选
tcpdump(tcpdump抓包并保存成cap文件)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-11 3437
linux上用tcpdump抓包的问题 (管理员,给人家解释一下嘛,何必呢。)。。。你确定满意答案了,搞的我只能这样回答你了,具体可以看看man tcpdump 这里-nn 是不把地址转换为域名,不把端口转换为端口名,你不加.tcpdump在抓第一个包的时候就要把地址转换成域名,端口转换成端口名,如果你的DNS没有配置好...
包嗅探和包回放简介-tcpdump,tcpreplay
weixin_30556959的博客
11-28 509
一. 嗅探 1.1 嗅探技术简介 1.1.1 目标 嗅探的目标:获取在网络上传输的各种有价值信息:账号、密码、非公开协议 1.1.2 原理 嗅探的原理:大多数嗅探都是在以太网内,利用数据链路层技术进行的嗅探,依照嗅探器部署的位置不同,它们为达到这个目的所采用的技术也不尽相同 1.1.3 类型 1.1.3.1 共享以太网中的嗅探 共享以太网中的通信的方式:要传送的...
Linux使用tcpdump命令抓包保存pcap文件wireshark分析
紫蝶侠的博客
04-09 4274
1.安装tcpdump yum install tcpdump 2.保存tcpdump抓包结果 tcpdump -i eth0 -w dump.pcap -i #是指定要抓取的网卡 -w #指定结果保存的位置 3.在wireshark中打开 下载安转wireshark: 链接:https://pan.baidu.com/s/1dU-mYwGHS5BRLKbdjANzlA 提取码:b3hp 使用wireshark 直接打开dump.pcap文件即可 ...
tcpdump抓包保存cap文件
胡迪_tester的博客
10-25 9356
1、tcpdump是对网络上的数据包进行截获的包分析工具; 2、安装:yum install tcpdump(yum安装即可),安装完成之后创建一个文件夹,专门存放抓取数据保存的文件,执行tcpdump相关命令在该文件下执行就可以了; 3、例子:抓取网卡eht0 及192.168.168.18ip和8081端口; 命令:tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081; ...
tcpdump抓包保存cap文件(实用)
热门推荐
“花花”公子_龙的博客
10-16 5万+
1、tcpdump是对网络上的数据包进行截获的包分析工具; 2、安装:yum install tcpdump(yum安装即可),安装完成之后创建一个文件夹,专门存放抓取数据保存的文件,执行tcpdump相关命令在该文件下执行就可以了; 3、例子:抓取网卡eht0  及192.168.168.18ip和8081端口;                  命令:tcpdump -i eht0  -...
tcpreplay/tcpdump-重放网络流量/捕获、过滤和分析数据包
captain
12-04 719
是一个网络数据包分析工具,通过捕获并显示网络接口上传输的数据包,帮助用户分析网络流量。是一个用于重放网络流量的工具,它从 pcap 文件读取数据包并将其重新发送到网络接口。原理:基于 libpcap 库,直接访问操作系统的网络接口以获取数据包信息。通过模拟真实流量,帮助进行网络测试、设备验证和安全审计。核心功能包括:按指定速率或顺序重放数据包。核心功能包括:捕获、过滤和分析数据包。
tcpdump命令以及简单使用
super_m@n的博客
09-11 1237
0*00首先给出参数: root@kali:~# tcpdump -h tcpdump version 4.9.2 libpcap version 1.9.0 (with TPACKET_V3) OpenSSL 1.1.1c 28 May 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值