tcpdump,端口镜像 过滤 DNS流量 协议。traffic 。dump

最新推荐文章于 2025-07-06 22:03:38 发布
原创 最新推荐文章于 2025-07-06 22:03:38 发布 · 4.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用tcpdump工具监听和捕获特定端口的数据流量,特别是通过`port domain`过滤器来专注于DNS查询和响应。示例展示了如何查看DNS通信过程,包括查询和应答报文的详细解析,以及tcpdump命令的不同实用实例,如抓取特定端口、HTTP、SMTP和SSH数据包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tcpdump监听数据

为了看清楚DNS通信的过程,下面我们将从主机1:192.168.0.141上运行host命令以查询主机www.jd.com对应的IP地址,并使用tcpdump抓取这一过程中LAN上传输的以太网帧。
具体的操作过程如下:

# tcpdump -i eth0 -nt -s 500 port domain

然后在新开一个命令行窗口,另外一个终端中输入下面的命令:

#host-t A www.jd.com

下图是host-t A www.jd.com输出的数据:



下图是tcpdump监听到的数据:


这一次执行tcpdump抓包时,我们使用“port domain”来过滤数据包,表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。tcpdump的输出如下:

IP 192.168.0.141.53511 > 192.168.0.1.53: 65362+ A? www.jd.com. (28)
IP 192.168.0.1.53 > 192.168.0.141.53511: 65362 2/0/0 CNAME www.jdcdn.com., A 14.152.71.1 (68)

这两个数据包开始的“IP”指出,它们后面的内容描述的是IP数据报。tcpdump以“IP地址.端口号”的形式来描述通信的某一端;以“>”表示数据传输的方向,“>”前面是源端,后面是目的端。可见,第一个数据包是测试主机1(IP地址是192.168.0.141)向其首选DNS服务器(IP地址是192.168.0.1.53)发送的DNS查询报文(目标端口53是

最低0.47元/天 解锁文章

200万优质内容无限畅学
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
tcpdump使用方法
neo的博客
01-11 1724
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实例 默认启动 tc
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
tcpdump过滤dns协议
yzx99的专栏
09-09 1691
tcpdump arp 或 tcpdump icmp 这些就可以。 但要过滤 dns 协议,这样写不行: tcpdump dns 提示:tcpdump: syntax error 要写成:tcpdump port 53 估计是 dns 协议是到了服务层或应用层的协议了,tcpdump 只负责到第三层。 ...
从入门到精通:TCPdump抓包实战秘籍
最新发布
大雨的博客
07-06 761
TCPdump是一款基于命令行的网络数据包分析工具,能够捕获和分析网络接口传输的数据包。本文全面介绍了TCPdump的使用方法:从Linux/MacOS系统的安装配置,到基础抓包操作;详细解析了过滤器语法和输出内容结构,包括Flags标识符(SYN/ACK等)的深层含义;展示了高级选项(-s/-X/-w等)和典型应用场景(故障排查、安全审计等);最后提供了权限不足、抓包失败等常见问题的解决方案。作为轻量级工具,TCPdump在服务器环境、自动化脚本等方面具有独特优势
tcpdump 识别成dns_tcpdump dns流量监控
weixin_29011993的博客
01-17 243
tcpdump监听数据为了看清楚DNS通信的过程,下面我们将从主机1:192.168.0.141上运行host命令以查询主机www.jd.com对应的IP地址,并使用tcpdump抓取这一过程中LAN上传输的以太网帧。具体的操作过程如下:# tcpdump -i eth0 -nt -s 500 port domain然后在另外一个终端中输入下面的命令:#host-t A www.jd.com下图是...
使用tcpdump查看DNS信息
weixin_34122548的博客
10-11 2829
tcpdump观察域名解析过程。首先,在终端输入:tcpdump port 53 ,过滤DNS端口的报文。然后另外打开一个终端:ping 一个网站,我ping的是: ping www.17173.comtcpdump抓包如下:09:17:59.658394 IP datou97-Lenovo.local.55968 > es.sia.a...
tcpdump抓镜像口流量时,根据业务情况使用vlan参数
Liv2005的专栏
10-16 2622
昨天在服务器上用tcpdump抓包学习了两个新知识。 太长不看: 1、镜像口的流量使用tcpdump抓包时,尝试使用vlan参数。 2、不指定网卡,而使用tcpdump -ni any的时候,可能会无法使用vlan参数,需要指定具体网卡。     具体的情况: 首先,我这台服务器有三个网卡,其中两个网卡接了交换机的镜像流量,一个网卡是服务器的ip用于登录。 然后,从61.xx.xx...
tcpdump - 数据包进行截获的包分析工具
墨鱼菜鸡
07-11 1502
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 30 分钟掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm Androidtcpdump下载:https://www.androidt...
Linux tcpdump命令详解
a746742897的博客
09-21 2297
Linux tcpdump命令详解 简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpmirror:将一个端口上的TCP流量镜像到多个端口
02-18
TCP镜像 tcpmirror将在一个端口上接收到的TCP通信复制到多个目标端口。 目的地之一是主服务器(端口),它响应传入的TCP通信。 其他流是重复流,并且来自各个服务器的任何响应都将被丢弃。 为什么 这在以下情况下很有用: 要使用与主生产服务器相同的请求,流量和负载来测试Dev / QA /辅助服务器。 针对现有生产服务器对候选服务器进行性能测试。 要用另一种语言重写服务器,并确保新服务器对相同请求的响应与现有服务器相​​同。 安装 从发布页面下载 从发布页面下载预构建的二进制文件。 使用go get 如果安装了golang工具,则可以按照以下步骤在本地下载和构建源代码: $ go get github.com/codeexpress/tcpmirror tcpmirror二进制文件现在在$GOPATH/bin目录中可用 从源编译 $ git clone https://g
【Linux】tcpdump P1 - 网络过滤选项
aichaoxy的博客
04-10 723
`tcpdump` 实用程序用于捕获和分析网络流量。系统管理员可以使用它来查看实时流量或将输出保存到文件中稍后分析。本文将演示在日常使用`tcpdump`时可能想要使用的几种常见选项。
wireshark中tcpdump过滤方法详解
Forrest_ad的阳台
04-07 2184
Wireshark中对数据包收集、过滤、分析等用法比较详细的说明。
华为DNS过滤
qq_47529104的博客
04-19 1584
上图是URL过滤以及DNS过滤的两个流程图, 其实都差不多,主要是URL的涉及到的东西比较多。比如外部恶意URL引入,白名单嵌入。但是大体上其实都是类似的,先从本地的预置库中读取,然后当有相关流量触发了DNS的检查那么就进行DNS的匹对,如果查不到就查询远端服务器,URL过滤使用的远端服务器和DNS过滤使用的远端服务器是一样的。 它们的配置也差不多, 主要区别在下面: 在URL中还涉及了URL缓存,URL缓存中有几种区别信誉URL以及恶意URL还有预置库中的URL,但是在配置中并没有体现出来..
wireshark、tcpdump 实用过滤表达式(针对ip、协议、端口、长度和内容)
frucik的博客
12-18 5667
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。   一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:...
wireShark tcpdump 抓包 ,检测dns
IT_Octopus的博客
08-19 409
将 生成的 clirent.pcap使用wireshark 分析。过滤目标ip or 域名。
tcpdump高级过滤
任我行的博客
06-22 1937
一:查看帮助选项 tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ]
tcpdump 过滤条件抓包
zengliguang的专栏
06-30 1907
例如,如果您想查看特定主机与特定端口之间的 TCP 流量,可以使用。又如,如果您要监测某个网段内的所有 UDP 流量,可以使用。
tcpdump抓包过滤端口
07-02
<think>我们正在讨论tcpdump的端口过滤功能。根据引用[2]的内容,tcpdump可以通过端口过滤规则来抓取特定端口的数据包。用户的问题:使用tcpdump抓包时如何过滤指定端口?根据引用[2]提供的信息,我们可以这样回答:1.抓取目标或源端口为指定端口(如80)的数据包:`tcpdumpport80`2.抓取源端口为指定端口(如22)的数据包:`tcpdumpsrc port22`3.抓取目标端口为指定端口(如443)的数据包:`tcpdump dstport443`另外,我们还可以结合其他条件进行过滤,比如指定网络接口、IP地址等。因此,我们可以给出如下示例:示例1:抓取所有经过eth0网卡的80端口(HTTP)的数据包命令:`tcpdump -i eth0 port80`示例2:抓取目标端口为443(HTTPS)的数据包命令:`tcpdump dstport443`示例3:抓取源端口为22(SSH)的数据包命令:`tcpdumpsrc port22`同时,我们也可以使用逻辑运算符组合条件,例如抓取端口22或80的数据包:命令:`tcpdump port22or port80`注意:tcpdump需要使用root权限运行(使用sudo)。此外,引用[3]提到了tshark(Wireshark的命令行工具)也可以进行过滤,但用户的问题是针对tcpdump的,所以我们主要介绍tcpdump。引用[4]展示了一个tcpdump抓包结果的例子,其中包含了端口信息(ssh和syam-webserver),这可以帮助用户理解抓包输出。因此,我们可以这样组织回答:</think>### 使用 tcpdump 过滤指定端口的抓包方法 根据引用[1][2]的内容,tcpdump 可以通过灵活的过滤规则实现端口过滤抓包。以下是具体操作方法和示例: #### 📌 基础过滤语法 ```bash tcpdump [选项] [过滤表达式] ``` #### 🔍 常用端口过滤规则 1. **抓取特定端口的所有流量** ```bash tcpdump port 80 # HTTP流量 tcpdump port 443 # HTTPS流量 tcpdump port 22 # SSH流量 ``` 2. **区分源端口和目标端口** ```bash tcpdump src port 53 # 源端口为53(DNS查询) tcpdump dst port 3306 # 目标端口为3306(MySQL) ``` 3. **组合端口过滤** ```bash tcpdump port 80 or port 443 # 同时抓HTTP+HTTPS tcpdump portrange 8000-8080 # 端口范围过滤 ``` 4. **结合协议过滤** ```bash tcpdump tcp port 22 # 只抓TCP协议的SSH流量 tcpdump udp port 53 # 只抓UDP协议DNS流量 ``` #### ⚙️ 实用命令示例 1. **抓取指定网卡的HTTP流量** ```bash tcpdump -i eth0 port 80 -w http.pcap ``` 2. **实时显示目标端口为443的流量** ```bash tcpdump -nn -v dst port 443 ``` 3. **抓取非标准端口的数据库流量** ```bash tcpdump port 5432 -s0 -c 100 -n ``` #### 📊 输出解析技巧 如引用[4]所示,抓包结果包含关键信息: ``` 11:16:50.531142 IP mao.ssh > 111.18.35.56.syam-webserver: Flags [P.], ... ``` - `src.port > dst.port` 表示通信方向 - `Flags` 显示TCP状态([S]=SYN, [P]=PSH, [F]=FIN) #### 🔧 高级组合过滤 ```bash # 抓取源IP为192.168.1.100且目标端口为80的流量 tcpdump src host 192.168.1.100 and dst port 80 # 排除SSH流量后抓所有22端口外的流量 tcpdump not port 22 ``` #### 💡 最佳实践建议 1. 使用 `-w` 保存抓包文件后用 Wireshark 分析(引用[1][3]) 2. 关键参数: - `-n`:禁用主机名解析(加速显示) - `-s0`:抓取完整数据包 - `-c 50`:限制抓包数量 3. 复杂过滤建议先用 `-v` 验证规则 > 完整过滤语法参考:`man pcap-filter`[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yue31313

感谢打赏,继续分享,给您帮忙。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值