tcpdump过滤特定IP的数据包,结果不对?

最新推荐文章于 2025-03-10 15:27:50 发布
最新推荐文章于 2025-03-10 15:27:50 发布
阅读量1w 收藏 1
点赞数
分类专栏: 个人总结 文章标签: tcpdump wireshark pcap-filte 数据包过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuzhimang/article/details/54178598
版权
在项目中,使用tcpdump过滤特定IP的数据包时遇到问题,过滤后的结果包含了ARP数据包。尽管使用了正确的过滤表达式,但发现过滤后的pcap文件与Wireshark显示的不一致。问题在于tcpdump默认会捕获ARP协议的数据包。解决方案是修改tcpdump过滤表达式,明确排除ARP和RARP协议,以确保只过滤IP层的特定IP数据包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目中自己需要写个程序通过pcap-filter表达式过滤数据包,测试时发现过滤结果不对!现将问题简化如下(以tcpdump举例)

问题描述

  1. 通过 tcpdump 过滤出173_20170107_180747_p5p2.pcap 文件中IP为 10.10.88.173的数据包,并保存为result.pcap
  2. 过滤命令 tcpdump -r 173_20170107_180747_p5p2.pcap -w result.pcap "host 10.10.88.173"
  3. 原始数据包用wireshark打开,设置过滤表达式为ip.addr==10.10.88.173,发现IP为 10.10.88.173的数据包个数为7150
  4. 但用wireshark打开tcpdump过滤出的result.pcap文件,发现其数据包个数为7152,如下图!(此时如果知道原因就不用往下看了)
    image_1b5sh1esi12fhcde4ln8id1k1r1c.png-97.6kB
最低0.47元/天 解锁文章
tcpdump显示udp包_Tcpdump过滤数据包实例
weixin_29385641的博客
12-23 1138
Tcpdump过滤数据包实例笔者维护的一台邮件服务器,发现老是有人上来连接25端口,用了几种软件,如iptraf及wireshark,etherape发现效果均不理想,还是Tcpdump更直观方便,如命令tcpdump tcp port 25 and host 211.147.1.11 > awstat.txt,即可生成一份详细的连接报告。感觉tcpdump还是很实用的,下面举出例子说明下它...
tcpdump 指定ip_tcpdump的使用以及参数详解
weixin_39783156的博客
01-26 5144
平时分析客户端和服务器网络交互的问题时,很多情况下需要在客户端和服务器抓包分析报文。一般Win下抓包使用WireShark即可,但是Linux下就需要用到tcpdump了,下面是一些对于tcpdump的使用说明。tcpdump可以将网络传送的数据包的"头"截获下来提供分析。它支持针对网络层,协议,主机,网络或端口的过滤,并提供and,or,not等逻辑语句帮助你过滤无用信息。一. 基本使...
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
tcpdump 使用
weixin_34261415的博客
06-14 565
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host. 第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, ...
网络安全之tcpdump工具
最新发布
2401_88326437的博客
03-10 1598
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
使用tcpdump查看原始数据包
程序员小乐
11-21 2771
点击上方 "后端架构师"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!关注订阅号「后端架构师」,收看更多精彩内容每日英文Nothing can't be...
tcpdump 不显示指定ip_ifconfig不显示IP
weixin_39949413的博客
11-30 381
ifconfig不显示IPsu root 进入管理员用户cd /etc/sysconfig/network-scripts/vi ifcfg-ens33将ifcfg-ens33中的ONBoot=no 的值改为 yes ;;之后 reboot 重启即可ifcfg-ens33文件中参数的解释:DEVICE 接口名(设备,网卡)USERCTL [yes|no](非root用户是否可以控制该设备)BOOT...
tcpdump获取指定IP的记录
Lee的博客
12-17 6074
抓取源IP或目标IP是192.168.1.1的记录 tcpdump host 192.168.1.1
如何解析tcpdump捕获的网络数据包内容?
11-03
2. **捕获数据包**:使用`tcpdump`或`tshark`命令,根据需要指定过滤条件(如IP地址、端口、协议等),开始抓取网络数据包。 ```bash tcpdump -i interface_name -s 0 -w packet_capture.pcap host ip_address or...
tcpdump同时抓取AVB和特定ip数据包
07-20
要使用tcpdump同时抓取AVB(Audio Video Bridging)和特定IP数据包,可以使用以下命令: ``` tcpdump -i <interface> -s 0 -w output.pcap '(ether proto 0x22F0) or (host <IP>)' ``` - `<interface>`:指定要...
tcpdump 数据抓包,排查网络故障问题(转载)
一个老菜鸟的学习分享
03-04 5635
转载链接https://linux.cn/article-10191-1.html tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服
tcpdump无法抓包
10-14 1991
tcpdump 不指定网卡接口得时候,系统默认找编号最小的网卡进行监听 想要查询网卡接口列表ifconfig 找到对应ip的网卡接口 tcpdump -i ens192 port 80 -w a.cap
tcpdump 不显示指定ip_wordpress首页不显示指定分类文章的方法
weixin_39843215的博客
12-12 153
NO.1前言物联网的信息文周一到周五每日一更,但是作为一个独立博客而言,显得优先太繁杂了首页一眼看上去就像是放了无数小广告一样,没有深度长文,因为wordpress和公众号不一样,公众号属于移动端的订阅信息流,wordpress属于搜索向的内容.所以需要把首页的某个分类下的文章都给剔除掉,不显示,除非点击到分类标签,才可以看到(或者从搜索引擎搜索也可以访问到)NO.2查看分类ID如本文要...
tcpdump抓包通过IP或端口过滤抓包方法
热门推荐
抱富的博客
10-21 1万+
1.通过ip过滤抓包方法 tcpdump -i any -s 0 -w 100.pcap net 172.16.1.139 or 172.16.1.159 2.通过端口过滤抓包方法 tcpdump sctp or udp port 2123 or udp portrange 10000-11000 -i any -s 0 -w 01.pcap
tcpdump使用技巧
专心扫地
10-09 3232
参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工CTRL+C还是抓的太多,甚至导致服务器宕机,于是可以用。a. 比较第一字节的值是否大于01000101,这可以判断IPv4带IP选项的数据和IPv6的数据。TTL字段在第九字节,并且正好是完整的一个字节,TTL最大值是255,二进制为11111111。proto[x:y] & z = 0 : proto[x:y]和z的与操作为0。proto[x:y] & z = z : proto[x:y]和z的与操作为z。
tcpdump命令详解
沉默的鹏先生
10-30 9668
tcpdump将网络接口设置成混杂模式以便捕获到达的每一个数据包.下面给出TCPdump的部分常用选项:   -i &lt;interface&gt; 指定监听的网络接口 -t  不显示时间戳 -c 限制抓取数据包个数 -w 保存文件 -v 指定详细模式输出详细的报文信息 -vv 指定更详细模式输出更详细的报文信息 -x 指定以16进制数格式显示数据包( 解析和打印时,作为打印每一...
wiresharktcpdump 实用过滤表达式(针对ip、协议、端口、长度和内容)
frucik的博客
12-18 5554
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。   一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:...
tcpdump 抓包和记录、tshark 过滤抓包
05-21 3347
tcpdump
tcpdump
gzwu的博客
12-19 425
tcpdump -Xnns 2048 host 192.168.109.2 and tcp port 80 or port 443 -w /aclog/zwj.pcap -n不转换主机地址为主机名,这样可以避免DNS查找 -nn 在上面的基础上不进行端口名字别名的转换 -S打印绝对的TCP时序数字(sequence number) -X以16进制和ASCII两种方式打印抓...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值