tcpdump抓包

本文详细介绍TCPdump工具的常用参数及应用场景,包括指定监听接口、抓取特定数量的包、过滤指定端口的数据包等。同时解析了TCP三次握手的过程及各种标志位的意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tcpdump 参数相关

-i:指定监听的网络接口

tcpdump -i eth0 表明监听eth0网络接口的包

tcpdump -i any 表明监听所有网络接口的包

-A: 以ASCII格式打印出所有分组,并将链路层的头最小化。

-c: 收到指定包的数目后,tcpdump会停止

监听通过端口5150的所有tcp包

tcpdump -i any tcp port 5150


红色表明数据的流动

192.168.1.11.49608(客户端)> 192.168.1.198.talarian-tcp(服务器) 数据由客户端发给服务器

1.192.168.1.11向192.168.1.198发送一个syn消息,seq=x

2.192.168.1.198回复192.168.1.11一个syn+ack消息,ack=x+1

3.192.168.1.11向192.168.1.198回复ack

蓝色

1.客户端发送长度为108的数据给服务器。

2.服务器回复一个ack确认已收到数据

flag意义

  • [S] 表示这是一个SYN请求
  • [S.] 表示这是一个SYN+ACK确认包: 
  • [.] 表示这是一个ACK确认包, (client)SYN->(server)SYN->(client)ACT 就是3次握手过程
  • [P] 表示这个是一个数据推送,可以是从服务器端向客户端推送,也可以从客户端向服务器端推
  • [F] 表示这是一个FIN包,是关闭连接操作,client/server都有可能发起
  • [R] 表示这是一个RST包,与F包作用相同,但RST表示连接关闭时,仍然有数据未被处理。可以理解为是强制切断连接
  • win xxx是指滑动窗口大小
  • length xxx指数据包的大小

这个就是tcp可靠的连接,每次通信都需要对方来确认。

tcpdump -i eth0 -vnn dst 192.168.1.11 and src port 5101

抓取目标ip是 192.168.1.11 来源端口是5101的消息包

tcpdump -i eth0 tcp -vnn  dst 192.168.1.11 and ! port 1205

抓取目标ip是 192.168.1.11 且目标端口不是1205的消息包


tcpdump参数相关


转载

http://blog.youkuaiyun.com/chencheng126/article/details/44260799

http://blog.youkuaiyun.com/runboying/article/details/7166378

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值