tcpdump 使用介绍

最新推荐文章于 2024-10-14 21:36:08 发布
最新推荐文章于 2024-10-14 21:36:08 发布
阅读量387 收藏
点赞数
分类专栏: Linux http Mysql 文章标签: linux tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenlvzhou/article/details/106978709
版权

介绍

tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

常用选项

-n  表示不要解析域名,直接显示 ip。
-nn**  不要解析域名和端口。
-X  同时用 hex 和 ascii 显示报文的内容。
-XX  同 -X,但同时显示以太网头部。
-S  显示绝对的序列号(sequence number),而不是相对编号。
-i  监听的网卡。
-v, -vv, -vvv  显示更多的详细信息。
-c number  截取 number 个报文,然后结束。
-A  只使用 ascii 打印报文的全部数据,不要和 -X 一起使用。
-D  列出所有可以监控的网卡。
-s 指定每条报文的最大字节数,默认为262144,如果值为0时,表示不截断,抓取完整的数据包

过滤器

机器上的网络报文数量异常的多,很多时候我们只关系和具体问题有关的数据报(比如访问某个网站的数据,或者 icmp 超时的报文等等),而这些数据只占到很小的一部分。把所有的数据截取下来,从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报,简化分析的工作量。这些选择数据包的语句就是过滤器(filter)!

过滤器也可以简单地分为三类:type, dir 和 proto。

Type 让你区分报文的类型,主要由 host(主机), net(网络) 和 port(端口) 组成。src(源地址) 和 dst(目的地址) 也可以用来过滤报文的源地址和目的地址。

过滤的真正强大之处在于你可以随意组合它们,而连接它们的逻辑就是常用的 与/AND/&& 、 或/OR/|| 和 非/not/!。

用例

1.监听所有端口,直接显示 ip 地址
	tcpdump -nS
	
2.显示更详细的数据报文,包括 tos, ttl, checksum 等
	tcpdump -nnvvS
	
3.显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出
	tcpdump -nnvvXS
	
4.监控一个指定的网络接口
	tcpdump -i eth0
	
5.基于IP查找流量
	tcpdump host 114.114.114.114 
	
6.根据来源和目标进行筛选
	tcpdump src 1.1.1.1 (源地址)
	tcpdump dst 1.0.0.1 (目的地址)
	tcpdump not src  1.1.1.1 (过滤源地址)
	tcpdump not dst   1.0.0.1 (过滤目的地址)
	
7.查看某一网段或者子网的进出流量
	tcpdump net 1.2.3.0/24
	
8.使用十六进制输出
	tcpdump -c 1 -X icmp
	
9.显示特定端口的流量
	tcpdump port 3389 
	tcpdump src port 1025
	tcpdump dst port 1026
	
10.显示特定协议的流量
	tcpdump icmp
	tcpdump udp
	tcpdump tcp
	
11.查看某一范围内的所有端口的流量
	tcpdump portrange 21-23
	
12.将包存在文件中
	tcpdump port 80 -w capture_file
	
13.从文件中读取
	tcpdump -r capture_file
	
14.来自特定的IP,发往特定的端口
	tcpdump -nnvvS src 139.5.6.4 and dst port 3389
	
15.从某个网段来,到某个网段去
	tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
	
16.到某个IP的非ICMP流量
	tcpdump dst 192.168.0.2 and src net and not icmp
	tcpdump -vv src mars and not dst port 22
	
17.GET请求
	tcpdump -vvAls0 | grep 'GET'
	tcpdump -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
	
18.POST请求
	tcpdump -vvAls0 | grep 'Host:'
	tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

输出

10:35:25.648675 IP chenlvzhoudembp.54018 > 192.168.1.1.domain: 18464+ PTR? 1.1.168.192.in-addr.arpa. (42)
10:35:25.650092 IP 192.168.1.1.domain > chenlvzhoudembp.54018: 18464* 1/0/0 PTR 192.168.1.1. (67)
10:35:25.895269 IP chenlvzhoudembp.58063 > 117.34.61.133.http: Flags [F.], seq 706908684, ack 3609747502, win 4096, length 0
10:35:25.896315 IP chenlvzhoudembp.52148 > 192.168.1.1.domain: 8596+ PTR? 133.61.34.117.in-addr.arpa. (44)
10:35:26.739836 IP chenlvzhoudembp.57928 > 14.215.177.39.https: Flags [F.], seq 907035098, ack 3372296595, win 4096, length 0
10:35:26.790594 IP 192.168.1.1.domain > chenlvzhoudembp.52148: 8596 NXDomain 0/1/0 (106)

第一列:时分秒毫秒
第二列:网络协议
第三列:发送方的ip地址+端口号(或者协议)
第四列:>
第五列:接收方的ip地址+端口号(或者协议)
第六列:冒号
第七列:Flag标识符:
[S]:建立连接的标识SYN
[P]:发送数据的标识
[F]:结束连接的标识FIN
[.]:没有标识

tcpdump--详解
JonSnow
07-04 1883
1. tcpdump介绍 1.1 官方man手册 帮助手册 1.2 维基百科 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump 适用于大多数的类Unix系统 操作系统:包括Linux、Solaris、BSD、Mac OS X、HP-UX和AIX 等等。在这些系统中,tcpdump 需要使用libpcap这个捕捉数据的库。其在Windows下的版本...
tcpdump使用介绍
三思的博客
07-12 475
文章目录基本语法tcpdum常用参数函数输出详解 tcpdump是一款常用的网络抓包工具,利用tcpdump工具我们可以根据一些条件过滤,只抓取我们关注的数据包信息。 基本语法 tcpdump [option] [proto] [dir] [type] [not|or|and] ... - option : 可选参数 [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secre
tcpdump
@毛宏斌
01-01 1481
tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 一、Ref Man-Page:http://www.tcpdump.org/tcpdump_man.html tcpdump:https://github.com/the-tcpdump-group/tcpdump.git libp
tcpdump 命令使用
aaqq123456654321的博客
09-03 878
tcpdump 命令使用 tcpdump -i any (-s 0 不限制展示包大小,可省略)-n -tttt (-A 以文本形式输出内容,可省略) tcp port 3001
TCPDUMP使用方法
编程资料大全
04-19 167
tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]           [ -T 类型 ] [ -w 文件名 ] [表达式 ]   1. tcpdump的选项介绍    -a    将网络地址和广播地址转变成...
Tcpdump命令介绍
haoyuxuanyuan的博客
03-04 8466
TCPdump是一种在Unix/Linux系统下运行的命令行网络抓包工具。它能够截获数据包并将其以文本形式输出,用户可以使用各种过滤器对数据包进行筛选,从而实现对网络流量的监控、分析和故障排除等功能。TCPdump常用命令:1、tcpdump -i:指定抓取的网络接口。2、tcpdump -c:指定抓取的数据包数量。3、tcpdump -n:不解析IP和端口号。4、tcpdump -s:设置抓包的数据包大小。5、tcpdump -X:以十六进制和ASCII码形式输出数据包内容。
Linux下抓包工具tcpdump使用介绍.docx
09-26
Linux 下抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
linux服务器udp抓包工具,Linux下抓包工具tcpdump使用介绍
ぃ妖气ぅ的博客
05-04 1078
点评:在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一,本文将介绍Linux下抓包工具tcpdump使用,需要的朋友可以参考下在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。 匹配ether广播包。ether广播包的特征是mac全1.故如下即可匹配:tcp...
Linux常用命令】tcpdump使用讲解
L李钟意的博客
08-25 336
tcpdump 用简单的语言概括就是dump the traffic on a network,是linux环境下抓包工具,可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕,也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题。
tcpdump使用说明
08-31
通过上述介绍,可以看出`tcpdump`是一个非常强大且灵活的工具,能够满足不同场景下的网络数据捕获和分析需求。熟练掌握其基本用法和高级技巧,对于提高网络故障排查效率、理解网络协议行为等方面都有着重要的意义。...
tcpdump使用
u011029104的专栏
11-02 5481
tcpdump-s指定抓包的大小,0表示不限制大小-i表示连接的接口,any代表所有的接口-w表示抓的包写到指定path中。文件为.pcap 开启:tcpdump-s0-iany-vv-wPATH& 关闭:killalltcpdump ...
tcpdump 命令详解
冬的博客
01-22 2953
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 关键字说明  第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是...
详解tcpdump
小诸葛的博客
10-14 1643
tcpdump是一个功能强大的网络抓包工具,提供了丰富的参数和选项,使得网络流量分析变得灵活高效。了解并熟练使用这些参数可以帮助你有效地抓包和分析网络流量,特别是在调试网络问题和性能瓶颈时。
Linuxtcpdump命令用法详解
manonghouyiming的博客
04-14 507
LinuxLinux tcpdump是最重要的技术之一,今天就带大家学习一下Linux tcpdump的表达式、Linux tcpdump的输出结果等方面。tcpdump采用命令行方式,它的命令格式为:tcpdump[-adeflnNOpqStvx][-c数量][-F 文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]Linux tcpdump的选...
tcpdump用法详解
05-29 2182
<!-- p {margin-bottom:0.21cm} --> tcpdump采用命令行方式,它的命令格式为:     tcpdump[ -adeflnNOpqStvx ] [ -c数量][ -F文件名]           [-i网络接口][ -r文件名][ -s snaplen ]           [-T类型][ -w文件名][表达式] (1)
tcpdump使用详解
weixin_44390164的博客
09-26 4945
1. tcpdump的语法格式 tcpdump [option] [proto] [dirction] [type] option:可选参数 proto:协议过滤器,可识别的关键词有 http,tcp,udp,icmp,ip,ip6,arp,rarp type:类型过滤器。可识别的关键词 host,net,port,portrange。这些词后面还需要再接参数 directiron:数据流向过滤器,可识别的关键字 src,dst,src or dst 2. 抓包结果
[tcp] 快速掌握tcpdump抓包
qq_23114283的博客
01-28 927
原文链接 一说到抓包,好像有点高深莫测,其实在工作中,大部分是应用发生异常时需要抓包,以此来分析原因,Linux下一般用tcpdump命令抓包,而使用tcpdump其实常用的参数也就那么几个 抓包主要是看数据传输是否都走了正确的TCP协议,比如因为网络或者攻击导致某些包(SYN TIME_WAIT)等特别多,这个时候抓包就很容看出来 因此抓包不必记太多参数,只要能过滤到我们想要的包即可 tcpdump命令常用参数 -i 指定网络接口,例如eth0、lo、pp0等等的界面看一段直接用tcpdu.
tcpdump 技巧
chao3510的博客
05-31 574
tcpdump -s 参数用于指定最大捕获长度,不能精确指定数据包的实际长度,tcpdump 支持protocol[x:x]表达式,用于指定某协议[起始偏移量:数值类型长度], 如指定IP包长度大于100:tcpdump ip[2:2] &gt; 100此命令只会捕获IP包长度大于100字节的包,更方便用于网络检测。...
tcpdump(三)命令行参数讲解(二)
wzj_110的博客
10-08 1859
大写 显示数据包的。案例讲解​​​​​​​。
tcpdump使用
最新发布
03-20
### TCPDump 使用教程 TCPDump 是一种强大的命令行工具,用于捕获和分析网络流量。以下是关于其基本功能以及如何使用的详细介绍。 #### 基本语法 TCPDump 的通用语法如下: ```bash tcpdump [选项] [表达式] ``` 其中 `选项` 控制程序的行为,而 `表达式` 定义要捕获哪些类型的流量。 --- #### 1. 抓取指定网段的流量 可以使用 `-net` 参数来限定特定子网范围内的流量。例如,如果想抓取来自或去往 `192.168.1.0/24` 子网的所有数据包,则可执行以下命令[^1]: ```bash [root@benarchen ~]# tcpdump -ni eth0 net 192.168.1.0/24 ``` 上述命令中的参数含义为: - `-n`: 不解析主机名。 - `-i eth0`: 指定监听的网络接口为 `eth0`。 - `net 192.168.1.0/24`: 表示仅显示涉及该子网的数据流。 --- #### 2. 过滤 SYN 数据包 为了专注于某些特殊类型的数据传输过程(比如建立连接),可以通过设置过滤器捕捉仅有 SYN 标志位被置起始信号的数据帧。下面这个例子展示了怎样实现这一点[^2]: ```bash tcpdump -i xl0 'tcp[tcpflags] & (tcp-syn) != 0' ``` 或者更简洁的形式也可以写成这样: ```bash tcpdump -i xl0 tcp[13] == 2 ``` 这里的关键部分解释如下: - `'tcp[tcpflags]'` 提取出 TCP 头部标志字段的内容; - `(tcp-syn)` 对应于二进制表示下的第 2 位置上的比特值——即 SYN 标记的位置; - 当且仅当这一位有效时才匹配成功并记录下来相应的报文信息。 --- #### 3. 高级过滤条件组合 假设我们需要监测两台具体设备间通过 HTTP 协议交互的情况,并排除掉访问百度网站所产生的通讯行为,则可以用到较为复杂的布尔逻辑运算符构建查询语句[^3]: ```bash tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.baidu.com ``` 这条指令分解来看就是分别设置了目标地址(`dst`)、源地址(`src`)、服务端口号(`port`)还有否定某个域名(`!host`)等多个筛选维度共同作用的结果。 --- #### 4. 自动化控制抓包数量 有时候我们并不希望一直持续运行直到手动终止进程,而是预先设定好想要获取多少条符合条件的日志之后就自动退出。这时就可以利用 `-c` 参数配合具体的数值完成这项需求[^4]. 下面给出的例子说明了如何让系统仅仅收集八个 ICMP 类型的消息后再停止工作: ```bash tcpdump -i eth0 -n -c 8 icmp ``` 在此基础上还可以进一步扩展其他附加特性,像关闭 DNS 反向查找等功能以提高效率(-n),或是调整输出格式等等。 --- ### 总结 以上介绍了几种常见的场景下运用 Tcpdump 工具的方法论及其背后原理剖析。实际操作过程中可以根据具体情况灵活搭配不同的开关项与约束规则达成预期目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值