tcpdump-命令详解

原创 于 2025-01-07 21:07:06 发布 · 2.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcpdump #网络 #服务器 #linux #运维

目录

1.格式:

2.参数 

3.过滤表达式:

4.示例:

  tcpdump 是一款在 Unix 和类 Unix 系统上广泛使用的网络分析工具,它能够捕获网络接口上传输的数据包,并提供多种选项来过滤和展现这些数据包的详细信息。这里是 tcpdump 的一些基本用法和选项的详解.

1.格式:

tcpdump [options] [filter-expression]

2.参数 

    -i : 指定要监听的网卡接口。如果不指定,tcpdump 通常会选择一个默认的接口。
-n: 不解析主机名(即不进行 DNS 反向解析),直接显示 IP 地址。
-nn: 不解析主机名和端口名。
-X: 以十六进制和 ASCII 显示数据包的内容。对于调试或分析非常有用。
-XX: 与 -X 类似,但还会显示以太网头。
-v, -vv, -vvv: 增加输出的详细程度。
-c : 捕获指定数量的数据包后停止。
-s : 设置捕获数据包的长度。默认情况下,tcpdump 只捕获每个数据包的前 68 字节。设置 -s0 可以捕获整个数据包。
-w : 将捕获的数据包写入文件而不是直接显示在屏幕上。
-r : 读取并显示之前用 -w 选项保存的数据包文件。

    3.过滤表达式:

           过滤表达式用于定义捕获数据包时使用的规则,例如根据协议、端口、主机地址等来过滤。一些常用的表达式如下:

    host : 只捕获所有发送到或从指定主机传出的 IP 数据包。
src : 只捕获从指定源主机传出的数据包。
dst : 只捕获发送到指定目的主机的数据包。
port : 只捕获指定端口的数据包。
src port : 只捕获指定源端口的数据包。
dst port : 只捕获指定目的端口的数据包。
net : 只捕获特定网络上的数据包。
proto : 只捕获指定协议的数据包,如 icmp、udp、tcp 等。

      4.示例:

      #捕获所有经过eth0网卡,源或目的端口443,源或目的IP为192.168.1.1的数据包
tcpdump -i eth0 -nn -X -vv tcp port 443 and ip host 192.168.1.1
      #捕获所有经过 eth0 接口的 TCP 数据包
tcpdump -i eth0 tcp

#捕获所有到达或离开主机 192.168.1.1 的数据包,且不进行主机名解析
tcpdump -n host 192.168.1.1

#捕获指定网络上的所有数据包,并显示更多的协议信息
tcpdump net 192.168.1.0/24 -vv

#实时查看经过 eth0 端口,来源或目的为 192.168.1.1 端口 22 的数据包内容
tcpdump -i eth0 -X 'host 192.168.1.1 and port 22'
    
#捕获所有目标或源端口为 80 的数据包,并将其保存到文件中
tcpdump port 80 -w capture_file.pcap
    
#读取并显示保存的数据包文件内容
tcpdump -r capture_file.pcap
      tcpdump命令详解
      鸿鹄和荒的博客
      08-13 4168
      TcpDumpLinux中强大的网络数据采集分析工具之一。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。它支持针对网络层、协议、主机、网络或端口的过滤,并提供not、and、or等逻辑语句来帮助你去掉无用的信息。普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。tcpdump的总的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数。
      tcpdump 使用详解
      最新发布
      cozil的专栏
      09-26 1204
      `tcpdump` 是 Linux/Unix 系统中最强大、最常用的**网络抓包和分析工具**,它可以捕获经过网络接口的数据包,并以可读格式显示,用于网络调试、安全分析、性能排查等。
      tcpdump 抓包工具详细图文教程(上)
      GG Bond 的博客
      06-01 1万+
      tcpdump 抓包工具详细图文教程!!!
      tcpdump抓包命令
      sunshine716的专栏
      11-06 1764
                 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。    tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设...
      tcpdump抓包规则命令大全
      牛角书生的专栏
      11-27 1248
      原文地址 说是大全其实我列取得只是一些常用的命令与大家分享。 下面的例子全是以抓取eth0接口为例,如果不加”-i eth0”是表示抓取所有的接口包括lo。 1、抓取包含10.10.10.122的数据包  # tcpdump -i eth0 -vnn host 10.10.10.122 2、抓取包含10.10.10.0/24网段的数据包 # tcpdump
      tcpdump--详解
      JonSnow
      07-04 1922
      1. tcpdump介绍 1.1 官方man手册 帮助手册 1.2 维基百科 tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 tcpdump 适用于大多数的类Unix系统 操作系统:包括Linux、Solaris、BSD、Mac OS X、HP-UX和AIX 等等。在这些系统中,tcpdump 需要使用libpcap这个捕捉数据的库。其在Windows下的版本...
      从零开始掌握tcpdump:参数详解
      zgt_certificate的博客
      06-27 4016
      把编译过的过滤包编译转换成十进制数字的格式,并倾倒到标准输出。把编译过的过滤包编译转换成C语言的格式,并倾倒到标准输出。:过滤条件,捕获TCP协议的80端口数据包(HTTP请求)。把编译过的过滤包编译转换成可读的格式,并倾倒到标准输出。强制将表达方式所指的类型的数据信息转换成该数据包类型。在每列倾倒资料上显示未经过格式化的时间戳记。在每列倾倒的资料上显示连线层级的文件头。以C语言格式显示编译过的过滤表达式。以十进制格式显示编译过的过滤表达式。接口上的数据包解释为RPC数据包。
      Linuxtcpdump命令解析及使用详解
      01-09
      默认情况下,执行`tcpdump`命令将监听第一个网络接口(通常是eth0)上的所有数据包。如果想监听特定接口,如eth1,可以使用`tcpdump -i eth1`。 **主机过滤** - `tcpdump host sundown`:将显示所有进出sundown主机...
      Linuxtcpdump命令实例详解
      01-20
      下面这篇文章将给大家详细介绍关于Linuxtcpdump命令的相关内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍吧。 一、命令格式 tcpdump [ -AbdDefhlLnNOpqRStuUvxX ] [ -B buffer_size
      Linux系统 tcpdump 抓包命令
      qq_28807077的博客
      03-08 2241
      原文链接:https://zhuanlan.zhihu.com/p/74812069   tcpdumpLinux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   本教程对tcpdump命令使用进行讲解说明,通过本教程您可以学会linux系统下使用tcpdump命令进行网络抓包,实现对数据包进行捕获分析。 tcpdump 命令格式介绍   首先我们对Linux系统下tcp
      Linux tcpdump命令详解
      weixin_34008784的博客
      01-14 1971
        史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
      tcpdump 命令详解
      weixin_33827590的博客
      06-03 212
      日常使用tcpdump-ieth0src192.168.7.44andport80tcpdump -i eth1 -s 0 tcp port 7508 -w 97.cap抓取vrrp协议的数据包tcpdump -i em2 vrrp监听memcache端口7019是否有连接tcpdump -i eth1 port 7019(1). tcpdump的选项-a...
      tcpdump命令以及简单使用
      super_m@n的博客
      09-11 1275
      0*00首先给出参数: root@kali:~# tcpdump -h tcpdump version 4.9.2 libpcap version 1.9.0 (with TPACKET_V3) OpenSSL 1.1.1c 28 May 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] ...
      tcpdump抓包规则命令大全_tcpdump抓包命令
      2401_87555402的博客
      10-23 3197
      tcpdump采用命令行方式,它的命令格式为:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]-a    将网络地址和广播地址转变成名字;-d     将匹配信息包的代码以人们能够理解的汇编格式给出;-dd    将匹配信息包的代码以c语言程序段的格式给出;-ddd   将匹配信息包的代码以十进制的形式给出;
      tcpdump命令使用详解
      热门推荐
      lza20001103的博客
      10-30 2万+
      tcpdump命令使用详解
      tcpdump常用命令详解
      08-16
      tcpdump是一个常用的命令网络分析工具,它可以捕获网络接口上的数据包,用于网络故障排查、数据包分析和安全监控等。以下是tcpdump的一些常用命令和参数: 1. 基本捕获命令: ``` tcpdump -i eth0 ``` 这个命令会捕获指定接口(在这个例子中是eth0)上的所有数据包。 2. 捕获特定数量的数据包: ``` tcpdump -c 10 -i eth0 ``` 这个命令会在捕获10个数据包后停止。 3. 捕获指定协议的数据包: ``` tcpdump -i eth0 tcp ``` 这个命令会捕获所有TCP协议的数据包。 4. 捕获特定端口的数据包: ``` tcpdump -i eth0 port 80 ``` 这个命令会捕获所有目标或源端口是80(通常HTTP服务)的数据包。 5. 捕获特定IP地址的数据包: ``` tcpdump -i eth0 src 192.168.1.1 or dst 192.168.1.1 ``` 这个命令会捕获源或目标IP地址是192.168.1.1的数据包。 6. 保存捕获的数据包到文件: ``` tcpdump -w capture.pcap -i eth0 ``` 这个命令会将捕获的数据包保存到文件capture.pcap中,而不会在终端中显示。 7. 读取已保存的pcap文件: ``` tcpdump -r capture.pcap ``` 这个命令会读取并显示pcap文件中的数据包内容。 8. 使用过滤器: ``` tcpdump 'tcp port 80 and (src 192.168.1.1 or dst 192.168.1.1)' ``` 这个命令使用了更复杂的过滤条件,只捕获源或目标IP为192.168.1.1且目标或源端口为80的数据包。
      评论
      添加红包

      请填写红包祝福语或标题

      红包个数最小为10个

      红包金额最低5元

      当前余额3.43前往充值 >
      需支付:10.00
      成就一亿技术人!
      领取后你会自动成为博主和红包主的粉丝 规则
      hope_wisdom
      发出的红包
      实付
      使用余额支付
      点击重新获取
      扫码支付
      钱包余额 0

      抵扣说明:

      1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
      2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

      余额充值