tcpdump抓包

最新推荐文章于 2025-05-09 16:24:16 发布
最新推荐文章于 2025-05-09 16:24:16 发布
阅读量902 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: cisco-网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/n_u_l_l_/article/details/107940046

它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump -n -i bond0 -s 0 host 192.168.1.101 -w /opt/tcpdump.txt

过滤与192.168.1.101所有通信并保存在/opt/tcpdump.txt,分析则建议使用第三方
工具。

常用参数

-i 指定tcpdump监听的网络接口   eth0  bond0等等
-s 指定要监听数据包的长度
-c指定要监听的数据包数量,达到指定数量后自动停止抓包
-w 指定将监听到的数据包写入文件中保存
-A 指定将每个监听到的数据包以ACSII可见字符打印
-n 指定将每个监听到数据包中的域名转换成IP地址后显示
-nn 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-e 指定将监听到的数据包链路层的信息打印出来,包括源mac和目的mac,以及网络层的协议
-p 将网卡设置为非混杂模式,不能与host或broadcast一起使用
-r 指定从某个文件中读取数据包
-S 指定打印每个监听到的数据包的TCP绝对序列号而非相对序列号
-c 抓的包个数  数字
-T 强制tcpdump按type指定的协议所描述的包结构来分析收到的数据包.  目前已知的type 可取的协议为:cnfp,tftp,rtcp等



host  指定主机
src host hostname 抓从hostname发出的包
dst host hostname 抓发送到hostname的包

例子:
查看保存文件中的信息

[root@localhost ~]# tcpdump -r /opt/tcpdump.txt

reading from file /root/tcpdump.txt, link-type EN10MB (Ethernet)
05:23:14.619795 ARP, Request who-has 192.168.1.101 tell 192.168.1.189, length 46
05:23:14.620419 ARP, Reply 192.168.1.101 is-at 00:0c:29:c8:4d:d7 (oui Unknown), length 46
05:23:14.620421 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [P.], seq 1999336158:1999336206, ack 2066103778, win 4102, length 48
05:23:14.621003 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 1:49, ack 48, win 343, length 48
05:23:14.621601 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 49:129, ack 48, win 343, length 80
05:23:14.621602 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 129, win 4102, length 0
05:23:14.621705 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 1, length 64
05:23:14.621744 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 1, length 64
05:23:14.622178 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 129:225, ack 48, win 343, length 96
05:23:14.661730 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 225, win 4101, length 0
05:23:15.623242 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 2, length 64
05:23:15.623328 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 2, length 64
05:23:15.624356 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 225:289, ack 48, win 343, length 64
05:23:15.666697 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 289, win 4101, length 0
05:23:16.625243 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 3, length 64
05:23:16.625330 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 3, length 64
05:23:16.626290 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 289:353, ack 48, win 343, length 64
05:23:16.678962 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 353, win 4101, length 0
05:23:17.626748 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 4, length 64
05:23:17.626836 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 4, length 64
05:23:17.628329 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 353:417, ack 48, win 343, length 64
05:23:17.671273 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 417, win 4101, length 0
05:23:18.628098 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 5, length 64
05:23:18.628294 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 5, length 64
05:23:18.629769 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 417:481, ack 48, win 343, length 64
05:23:18.670439 IP 192.168.1.189.63059 > 192.168.1.101.ssh: Flags [.], ack 481, win 4100, length 0
05:23:19.630090 IP 192.168.1.101 > localhost.localdomain: ICMP echo request, id 2226, seq 6, length 64
05:23:19.630179 IP localhost.localdomain > 192.168.1.101: ICMP echo reply, id 2226, seq 6, length 64
05:23:19.631200 IP 192.168.1.101.ssh > 192.168.1.189.63059: Flags [P.], seq 481:545, ack 48, win 343, length 64
05:23:19.634857 ARP, Request who-has 192.168.1.101 tell localhost.localdomain, length 28

如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

对本机的udp 123 端口进行监视 123 为ntp的服务端口

tcpdump udp port 123

wireshark windows的抓包工具,可以用tcpdump抓包,然后再wireshark里分析。

参考:
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

tcpdump 抓包
赴前尘
06-05 871
tcpdump 抓包
也谈tcpdump抓包
sxd2001的博客
12-02 815
本文不关心tcpdump的具体使用,主要针对tcpdump和bridge、promisc以及loopback设备的一些技术细节进行了展开,还对数据包的进出方向进行了分析。
tcpdump抓包分析
07-10
tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析
tcpdump 的用法
最新发布
qq_35223473的博客
05-09 637
是一款强大的命令行网络抓包工具,用于捕获和分析网络流量。说明:匹配 HTTP GET 请求(十六进制。对应 "GET ")
tcpdump抓包工具详解
热门推荐
m0_64496909的博客
05-15 1万+
tcpdump简单介绍及常用参数命令
Tcpdump 详细的用法
琴子小白的博客
09-30 404
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n    第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如...
tcpdump 抓包工具详细图文教程(下)
GG Bond 的博客
06-01 7472
tcpdump 抓包工具详细图文教程
tcpdump抓包工具离线安装包
10-13
在Linux系统中,tcpdump通常作为命令行工具使用,通过指定网络接口、过滤条件以及输出格式来控制抓包行为。 在离线安装tcpdump时,首先你需要下载与系统架构相匹配的安装包。这个压缩包可能包含了编译好的二进制...
Linux下使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdump是Linux下面的一个开源的抓包工具,和Windows下面的...
夜神模拟器tcpdump抓包教程
06-14
### 夜神模拟器tcpdump抓包教程 #### 一、前言 随着移动互联网的发展,Android设备在我们的生活中扮演着越来越重要的角色。对于开发者来说,掌握如何在Android环境中进行网络调试是一项非常实用且必要的技能。本文...
TCPdump抓包
zdl244的博客
11-30 385
TCPdump抓包 [root@Centos7 ~]#yum install tcpdump -y [root@Centos7 ~]# tcpdump -i ens37      #抓取网卡ens37的所有数据包 [root@Centos7 ~]# tcpdump -i ens37 -n     &nbs...
tcpdump 命令祥解
robator的专栏
10-27 705
NAME tcpdump - 转储网络上的数据流 总览 (SYNOPSIS) tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ expression ] 一、描述 (DESCRIPTION) Tcpdump 打...
为什么 tcpdump 里面只有进来的数据?
int0x03的博客
12-31 345
网络抓包遇到只有单个方向的网络数据, 是抓包参数写错了? 还是有什么高级的网络过滤技术?抓住细节, 找出魔鬼
网络排错大杀器 ---tcpdump
Jiawen的博客
07-28 397
dump traffic on a network 1.抓取经过本机指定端口的包(进方向和出方向tcpdump -i ens33 2.指定主机间的数据包 tcpdump -i ens33 host web1.xiejiawen.com and \(web2.xiejiawen.com or web3.xiejiawen.com\) 3.排除主机 tcpdump -i ens33 host web3.xiejiawen.com and not web2.xiejiawen.com 4.指定目的主机
tcpdump中文详细手册
xnix相关的收藏
08-25 1034
名称(NAME)tcpdump-转储网络上的数据流总览(SYNOPSIS)tcpdump[-adeflnNOpqStvx][-ccount][-Ffile][-iinterface][-rfile][-ssnaplen][-Ttype][-wfile][expression]描述(DESCRIPTION)Tcpdump打印出在某个网络界面上,匹配布尔表达式expression的报头.对于SunOS
tcpdump命令的基本用法:
一直在努力学习的菜鸟
12-21 555
tcpdump是网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump命令的基本用法: -i interface:抓取指定接口,interface表示接口名称 -nn:不把协议和端口号等转换为名称 tcpdump表达式: (1).type:指定ID的类型。 可以给定的值有host/net/port/portrange。默认的type为host。 (2).dir:指定ID的方向。 可以给定的值包括src/ds
抓包工具-tcpdump
Mr_zxy的博客
04-27 689
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、帮助文档二、常用操作1.仅抓取入网卡报文2.抓取入网卡100个报文3.抓取指定IP双向报文4.抓取指定源IP报文总结 前言 tcpdump作为linux系统自带工具,小巧方便,是强大的网络数据采集分析工具之一。tcpdump支持针对网络层、协议、主机、网络或端口的过滤,并提供相应的逻辑语句 一、帮助文档 获取tcpdump帮助指令:tcpdump -h;man tcpdump tcpdump version 4.9.0.
Linux抓包工具tcpdump使用小结
qq_40741808的博客
03-08 1119
简介及安装 tcpdump 是一款用于截取网络分组,并过滤输出分组内容的工具。tcpdump 凭借强大的功能和灵活的截取策略,使其成为类 UNIX 系统下用于网络分析和问题排查的首选工具。 tcpdump 提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump 存在于基本的 Linux 系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备 root 权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的
Android手机使用tcpdump抓包教程
标题:"tcpdump抓包" tcpdump是网络管理员和安全研究人员常用的网络抓包工具,它能够抓取经过网络接口的数据包并进行分析。tcpdump在多种操作系统上都有实现,最常用的是在Linux和BSD系列操作系统上。它基于libpcap...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值