linux过滤端口抓包_Linux抓包工具tcpdump使用总结,WireShark的过滤用法
tcpdump与WireShark是Linux下的两个常用,功能强大的抓包工具,下面列出这两个工具的简单用法。
tcpdump用法
tcpdump用法:
sudo tcpdump -i ens33 src 192.168.0.19 port 80 -xx -Xs 0 -w test.cap
sudo tcpdump -i ens33 src port 80 -xx -Xs 0 -w test.cap
参数说明:
-i: 指定网卡
src: 指明包的来源
port: 指明端口号
-xx: 指抓到的包以16进制显示
-X: 指以ASCII码显示
-s 0: 指明抓整个包
-w: 写到文件中
WireShark过虑用法
【WireShark中的逻辑运算】
与: and 或 &&
或: or 或 ||
非: not 或!
WireShark中的判断语句
等于: eq 或 ==
大于: gt 或 >
小于: lt 或 <
大于等于: ge 或 >=
小于等于: le 或 <=
不等于: ne 或 !=
组合符(小括号)
()
包含与正由表达式匹配运算符
contains
matches
注意:matches 后的关键字是不区分大小写的,contains后面的关键字区分大小写。
【协议过滤】
在表达式输入框中输入协议名称即可。
注意:协议名称为小写,大写会报错
http
udp
tcp
arp
icmp
smtp
pop
dns
ip
ssl
ftp
telnet
ssh
rdp
rip
ospf
捕获多种协议,只需要对协议进行逻辑组合
http or udp
排除某种协议的数据包
not arp not tcp
【http域名与url过滤】
按内容长度过滤
http.content_length <= 100
http.content_length_header <= 100
针对数据包内容的过滤
匹配http请求中含有/api/member/health/check 的请求信息
http.request.uri matches "/api/member/health/check"
查询url中包含/api/member/home/test.html? 字符串的信息
http.request.uri contains "/api/member/home/test.html?"
按域名过滤
http.host == "jd.com" #精确过滤
http.host contains "jd.com" #模糊过虑
过滤请求的uri,取值是域名后的部分
http.request.uri=="/online/setpoint"
过滤完整的url
http.request.full_uri=="https://passport.jd.com/uc/login"
按http响应的状态过虑
http.response.code==302
http.response.code==401
过滤所有的http响应包
http.request==1
http.response==1
过滤所有请求方式为POST或GET的http请求包,注意POST或GET为大写
http.request.method==GET
http.request.method==POST
过滤含有指定cookie的http数据包
http.cookie contains userid
过滤http头中server字段含有nginx字符的数据包
http.server contains "nginx"
过滤content_type是text/html的http响应
http.content_type == "text/html"
过滤content_type是application/json的http响应
http.content_type == "application/json"
过滤content_encoding是gzip的http包
http.content_encoding == "gzip"
过滤所有含有http头中含有server字段的数据包
http.server
过滤HTTP/1.1版本的http包,包括请求和响应
http.request.version == "HTTP/1.1"
过滤http响应中的phrase
http.response.phrase == "OK"
【ip与端口过滤】
按目标地址过滤
ip.dst==192.168.0.19
按源地址过滤
ip.src==192.168.0.26
按目标地址或源地址过滤
ip.addr==192.168.0.19
按目标端口或源端口过滤
tcp.port==1935
udp.port==2365
按源端口过滤
tcp.srcport==2365
udp.srcport==2365
按目标端口过滤
tcp.dstport==1935
udp.dstport==1935
【数据过滤】
按包长度过滤
tcp.length < 300
udp.length < 300
过滤指定长度的udp数据包
udp.length == 20
过滤指定长度的tcp数据包
tcp.length == 20
过滤data部分长度为8的数据包
data.len==8
过滤指定内容的数据包
data.data == 00:08:30:03:00:00:00:00
【捕获经过指定ip的数据包】
抓取192.168.0.1 收到和发出的所有数据包
host 192.168.0.9
源地址192.168.0.1发出的所有数据包
src host 192.168.0.9
目标地址192.168.0.1收到的所有数据包
dst host 192.168.0.9
根据主机名过滤
src host hostnam
根据MAC地址过滤
ether host 80:05:09:03:E4:35
网络过滤,过滤整个网段
net 192.168.0
src net 192.168
dst net 192
【MAC地址过滤】
过滤目标或源地址是00:11:22:33:44:55的数据包
eth.addr== 00:11:22:33:44:55
过滤源地址是00:11:22:33:44:55的数据包
eth.src== 00:11:22:33:44:55
过滤目标地址是00:11:22:33:44:55的数据包
eth.dst== 00:11:22:33:44:55
【组合过滤】
捕获udp源端口等于3457,源ip等于3457,或者udp目标端口等于1091,目标ip等于192.168.0.10的数据包
(upd.srcport==3457 and ip.src=192.168.0.9) or (upd.dstport==1091 and ip.dst=192.168.0.10)
抓取所有目的网络是192.168,但目的主机不是192.168.0.2 的TCP数据
(tcp) and ((dst net 192.168) and (not dst host 192.168.0.2))
抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据
(icmp) and ((ether dst host 70:03:09:15:F4:12))
icmp && eth.dst==70:03:09:15:F4:12
linux过滤端口抓包_Linux抓包工具tcpdump使用总结,WireShark的过滤用法相关推荐
- linux全端口开放策略_Linux的影子策略,Shadwen发布日期以及更多开放游戏新闻
linux全端口开放策略 您好,开放游戏迷! 在本周的版本中,我们将了解Linux的Shadow Tactics,Shadwen的发布日期以及Linux的新游戏. 2016年4月30日至5月6日开放游 ...
- linux查看某个端口的流量_linux流量查看工具汇总
时时了解服务器的流量占用情况,是运维人员要掌握的一个入门技能.不过查看流量的情况的手段很多,工具也很多.如ifconfig脚本实现法.cacti.pnp4nagios.mrtg绘图查看以及iptraf ...
- linux mysql 端口 查看进程_Linux如何查看端口状态
netstat命令各个参数说明如下: -t : 指明显示TCP端口 -u : 指明显示UDP端口 -l : 仅显示监听套接字(所谓套接字就是使应用程序能够读写与收发通讯协议(protocol)与资料的 ...
- linux 查看端口占用总数_Linux查看某个端口的连接数
一.查看哪些IP连接本机 netstat -an 二.查看TCP连接数 1)统计80端口连接数 netstat -nat | grep -i "80"| wc -l 2)统计htt ...
- linux mint wifi自动重试_Linux高效工作工具之Catfish,优秀桌面文件搜索工具
请关注本头条号,每天坚持更新原创干货技术文章. 如需学习视频,请在微信搜索公众号"智传网优"直接开始自助视频学习 1. 简介 Catfish是一个漂亮的Linux桌面文件搜索图形工 ...
- Linux系统抓包回放,Linux下24小时持续网络抓包(TCPDUMP)
适用于CentOS/REHL/Ubuntu/Debian等,抓出来的包可用Wireshark直接打开分析. 参考文章: 原文的脚本相互调用时,名称有些问题,已修改 1.安装tcpdump 执行(Ubu ...
- linux针对端口进行抓包,tcpdump抓包使用详解
tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark等软件进行查看. 1.针对特定 ...
- linux端口抓包工具下载,linux下的抓包工具tcpdump
linux下的抓包工具. 抓包工具比较好用的有两个,一个是snort,一个是tcpdump,这次不说snort了,觉得这个工具虽然很强大,但是比较复杂,还是tcpdump比较简单.tcpdump wi ...
- Linux抓包工具tcpdump详解
原文链接 tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. ...
最新文章
- JDK8 stream toMap() java.lang.IllegalStateException: Duplicate key异常解决(key重复)
- matlab条件判断配合输出
- /etc/services
- Lombok中@Data注解 @ToString注解 @NoArgsConstructo注解 @AllArgsConstructor注解
- 使用Gradle的简单Spring MVC Web应用程序
- 多线程和单线程 打印数字到100000 的速度对比
- n的阶乘程序python_Python程序对N阶乘的尾随零进行计数
- luogu 4884 多少个1 (BSGS)
- 深度学习网络模型实战
- C++关键字 friend
- 正则表达式那些事儿(一)
- Linux-SHELL基本操作
- win10下安装maven
- 全志平台 ov2718 sensor驱动开发
- mysql 跨库查询_mysql跨库联表查询
- 如何开展分销渠道管理
- win7 命令行开启WiFi
- CSS常用背景属性(背景颜色、背景图片、背景平铺、背景位置、背景附着、背景色半透明、背景属性复合写法)
- 使用gltf-pipeline转换gltf、glb模型文件
- 电子器件系列27:无源蜂鸣片
热门文章
- camel 调用soap_使用Apache Camel通过soap添加WS-Security
- 有关Drools业务规则引擎的完整教程
- Hibernate事实:如何“断言” SQL语句计数
- 提示:通过URL激活并发送参数
- 邪恶的Java技巧使JVM忘记检查异常
- Apache Camel 2.21发布–新增功能
- [MEGA DEAL] Ultimate Java开发和认证指南(59%折扣)
- JavaFX 2.0和Scala,例如牛奶和饼干
- fold函数_Java中使用Map and Fold进行函数式编程
- rabbitmq 传递文件_RabbitMQ:计划邮件传递