Tcpdump 命令

最新推荐文章于 2024-04-03 08:39:04 发布
原创 最新推荐文章于 2024-04-03 08:39:04 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #正则表达式 #internet #socket #汇编 #dst

    tcpdump命令是一个网络的抓包的命令行,他能指定具体的设备,也能制定具体的五元组进行捕获链路上的数据包。它可以再终端上打印出来也可以将捕获到得数据写入到一个文件,文件的格式是二进制形式,所以,我在打开该文件的时候才用的工具是UltraEdit.

 

    tcpdump的命令格式和参数说明:

    tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
      [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
      [ -T 类型 ] [ -w 文件名 ] [表达式 ]

     选型介绍:
         -a     将网络地址和广播地址转变成名字;
   -d     将匹配信息包的代码以人们能够理解的汇编格式给出;
   -dd   将匹配信息包的代码以c语言程序段的格式给出;
   -ddd   将匹配信息包的代码以十进制的形式给出;
   -e     将捕获的包数显示出来 
   -f    将外部的Internet地址以数字的形式打印出来;
   -l    使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t     在输出的每一行不打印时间戳;
   -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
   -vv     输出详细的报文信息;
   -c    在收到指定的包的数目后,tcpdump就会停止;
   -F    从指定的文件中读取表达式,忽略其它的表达式;
   -i     指定监听的网络接口;
   -r    从指定的文件中读取包(这些包一般通过-w选项产生);
   -w   直接将包写入文件中,并不分析和打印出来;
   -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程
调用)和snmp(简单网络管理协议;)

    在使用该命令的时候,我主要使用的主要选项是:  -i [接口名]  -w [文件名]  -v -vv  -c -X -e

    例如:

    我在从eth0捕获100个数据包的时候,并将数据写入到capture.cap文件中,命令格式为:

    tcpdump -i eth0 -w capture.cap -v -vv -c 100 -X -e

    抓取一个一个ip段之间的数据包:

    tcpdump –s 0 –w socket host 10.1.3.9 and host 10.1.3.84

    如果从eth0且通信协议口为22,目标IP为192.168.1.100获取数据: 

    tcpdump -i eth0 port 22 and src host 192.168.1.100

    此外还有其他的一些关键词:host,(主机) , net( 网关), port(端口) , src(源IP) , dst(目的IP), 正则表达式:and , or

tcpdump 命令
weixin_41565755的博客
03-04 571
tcpdump
java解析五元组_抓包分析提取五元组
weixin_28883533的博客
02-25 1162
标签:网络中每个通信实体的socket是用一个三元组标识的。三元组往往称为半相关三元组指的是:协议族(地址族),网络地址、和传输层端口(Ipv4)。通信双方的一个连接是用网络五元组来标识的,它是由双方相同协议族的两个本地三元组合成的。五元组往往称为全相关。网络五元组指的是:协议族(地址族)、本地网络地址、本地端口、远程网络地址和远程端口。套接口分为若干类型,常用的是SOCK_STREAM...
使用tcpdump命令进行抓包+详细示例
sunrj_niu的博客
03-14 2万+
A: 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据-c count: tcpdump将在接受到count个数据包后退出-d: 以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpdump停止-dd: 以C语言的形式打印出包匹配码-ddd: 以十进制数的形式打印出包匹配码-e: 每行的打印输出中将包括数据包的数据链路层头部信息: 指定tcpdump 需要监听的接口-s snaplen。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5384
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Linux命令tcpdump解析(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-03 6581
硅特嵌入式,专注于嵌入式软、硬件知识分享tcpdumptcpdump 是一个在 Unix/Linux 系统上常用的网络抓包工具,用于捕获网络数据包并将其显示或保存到文件中。(Wireshare也是一个抓包工具,但是是图形化工具,常用于Windows上)数据包:数据包是在网络上传输的基本单位,包含了网络通信的信息,如源地址、目标地址、协议类型、数据内容等。1语法- tcpdump命令本身。- [options]:用于指定 `tcpdump` 的选项和参数,如捕获控制参数、显示控制参数、过滤参数等。
tcpdump简明实用教程
安得情怀似旧时
11-10 2048
文章目录网络包的五元组包输入包过滤1、IP过滤2、端口过滤3、IP和端口组合过滤与或非4、协议过滤包输出1、保存包到文件2、指定包的数量3、显示IP和端口号4、显示时间戳5、以ASCII码打印6、以ASCII和二进制同时打印谈谈如何记忆参数的使用 网络包的五元组 在网络中,一个五元组确定一种网络包,五元组包括: 协议,tcp或者udp等等 源IP 目的IP 源端口 目的端口 那么tcpdump...
Linux操作系统进阶
haoge1998的博客
04-02 2830
Linux操作系统进阶 一、TCPDump流量监控工具 基本数据:五元组 源ip 源端口 目的ip 目的端口 协议 1、安装 yum install tcpdump libpcap:linux上标准的流量监控库 Windows上比较知名的是wincap和npcap 目前市面上主流的各种流量设备,底层都基于以上库 2、使用 # 监控ens33上的流量,并输出到屏幕上 tcpdump -i ens33 # 监控当前服务器80端口的流量 tcpdump and dst port 80 -i ens33 #
Linux下tcpdump命令解析及使用详解
01-09
默认情况下,执行`tcpdump`命令将监听第一个网络接口(通常是eth0)上的所有数据包。如果想监听特定接口,如eth1,可以使用`tcpdump -i eth1`。 **主机过滤** - `tcpdump host sundown`:将显示所有进出sundown主机...
Linux tcpdump命令用法详解
01-09
Linux tcpdump命令 Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 语法tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd][-F]...
tcpdump命令使用文档
06-06
内容概要:本文档详细介绍了tcpdump命令的使用方法及其主要参数。tcpdump是一个强大的网络抓包工具,允许用户监听网络接口并捕获符合条件的数据包。文档首先列举了基本参数,如-i(指定监听的网络接口)、-e(打印...
Linux-tcpdump命令详细讲解(1).doc
最新发布
07-28
Linux tcpdump命令是一个强大的网络数据包分析工具,它能够捕获网络接口上流过的数据包信息,并提供给用户进行分析。该命令网络安全和网络故障排查具有非常重要的作用,能够帮助网络管理员和网络工程师捕获和分析...
网络基础 (深信服)
qq_51574973的博客
09-12 6504
一 走进网络世界 二 二层交换机 三 路由转发 四 IPv6基础知识 五 NAT技术 六 Wireshark 及 Tcpdump工具 七 NetworkMonitor 及 Httpwatch 工具
tcpdump命令详解
热门推荐
wj31932的博客
06-05 13万+
本文介绍tcpdump命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
解析pcap文件并提取其中五元组
qq_35862309的博客
03-15 5999
解析pcap文件并提取其中五元组 最近在学习分析pcap文件中的数据包,其中数据包的五元组(源IP,目的IP,源端口,目的端口,协议类型,共13个字节)可以用来作为数据流的标识。我们可以将五元组提取出来,以便日后进行进一步的分析。 首先,我们需要对pcap文件进行解析,然后将五元组数据提取出来并写入二进制文件。这里不再赘述,直接上代码: #include<stdio.h> #inclu...
深信服X计划-系统基础总结
Pluto1215777的博客
06-26 1476
深信服X计划-系统基础总结
网络小知识】之TCP IP 五元组(five-tuple/5-tuple)
巨魔战将
08-31 5万+
为什么要分享TCP IP 5元组(five-tuple/5-tuple的知识?   最近在进行深度分析过程中,听到某些资深人士提到了5元组这个概念,觉得很高大尚,去搜索了一圈,发现都是些非常浅显的知识,而且没有提及到五元组的英文怎么拼写,因此饶了一圈。费了一番功夫,最终了解了4元组,5元组,7元组,觉得很有意思,因此分享出来,希望能帮到大家。 什么是5元组?   如今互联网大部分请求都承载与tcp/ip之上,IP属于网络层协议,TCP属于传输层协议,每个请求主要通过ip数据包来进行传输和交互。在ip数据包头
centos 防火墙_记录深信服AF防火墙抓包排错
weixin_39634052的博客
11-21 965
问题描述如下图(逻辑拓扑)所示,某日下午,办公网的大部分电脑突然无法访问服务器(centos)上的业务网站。经测试可以ping通服务器,但是telnet80端口不通。逻辑拓扑排错思路怀疑1:由于当时业务网站的开发人员在调试网站,而并没有人在修改网络设备。优先怀疑服务器或网站自身问题。结果1:服务器上端口监听正常,服务器自身能够正常访问网站netstat -ant | grep 80 curl 10...
深信服实习面经11_02
MJ813的专栏
11-08 1330
电面的技巧 linux 虚拟化相关 vmware QEMU kvm 常用操作 软件的安装 虚拟化软件使用 netstat icmp curl tcp weget 一面 开发环境主要是linux,语言C,脚本语言python。 平时做自己的测试学习linux用的多? linux一般用什么系统呢? 平时在自己的PC机安装Centos还是有什么其他的方法?个人做些实验的
tcpdump命令
03-08
### 使用 `tcpdump` 命令进行网络流量捕获与分析 #### 安装 `tcpdump` 为了能够在 Linux 上使用 `tcpdump` 工具,需要先确保该工具已安装。对于不同的发行版,安装方法有所不同: - 对于 CentOS 系统: ```bash yum install -y tcpdump ``` - 对于 Ubuntu 系统: ```bash apt-get install -y tcpdump ``` 这些命令会自动下载并安装最新版本的 `tcpdump` 到系统中[^3]。 #### 捕获特定协议的流量 一旦安装完成,可以通过指定不同参数来捕获各种类型的网络流量。例如,要分别捕获 TCP、UDP 和 ICMP 流量,可执行如下命令: - 捕获 TCP 协议流量: ```bash sudo tcpdump -i eth0 tcp ``` - 捕获 UDP 协议流量: ```bash sudo tcpdump -i eth0 udp ``` - 捕获 ICMP 协议流量: ```bash sudo tcpdump -i eth0 icmp ``` 上述命令中的 `-i eth0` 参数指定了监听哪个网卡接口上的流量;如果不确定具体使用的网卡名称,则可以用 `any` 来代替,表示监控所有可用接口上的流量[^2]。 #### 数据包保存至文件 有时可能希望将捕获到的数据包保存下来以便后续处理或者分享给他人审查。这时可以利用 `-w` 参数把数据流导出成 `.pcap` 文件格式: ```bash sudo tcpdump -i eth0 -w capture.pcap ``` 这条指令会让 `tcpdump` 将从 `eth0` 接收到的所有数据包记录在一个名为 `capture.pcap` 的二进制文件里。之后还可以借助 Wireshark 或其他兼容的应用程序打开此文件来进行更深入的研究[^4]。 #### 高级特性与过滤条件设置 除了基本的功能外,`tcpdump` 还具备强大的过滤能力,允许用户定义复杂的查询表达式以筛选感兴趣的内容。比如只关注某个 IP 地址之间的通信情况或是限定端口号范围内的交互行为等。常见的逻辑运算符有 `and`, `or`, `not`,它们能组合起来形成更加精确的选择标准。 #### 实际应用场景举例 假设现在想要诊断服务器间是否存在连接超时现象,那么就可以尝试运行下面这段脚本,专门查找那些三次握手失败的情况: ```bash sudo tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src host localhost' -n | grep -v "SYN,ACK" ``` 这里运用到了一些高级技巧,包括但不限于位掩码匹配以及排除本地回环地址的影响等等[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值