tcpdump输出内容分析
我们就针对上图中所抓的这个包来进行分析。
1.“tcpdump: verbose output suppressed, use -v or -vv for full protocol decode”
这是说你命令没有用到-v和-vv,如果你用了这两个选项,输出就会有更多内容。
2.“listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes”
是说监听网卡eth0,类型是以太网EN10MB,抓包大小限制65535字节。包的大小可通过-s选项修改,尽量不要太大,如果你要追求高性能,建议把这个值调低,这样可以有效避免在大流量情况下的丢包现象。
3.“19:48:33.285838 IP 116.255.245.206.47940 > 8.8.8.8.53: 22768+ A? www.baidu.com. (31)”
“19:48:33.285838”,分别对应着这个包被抓到的“时”、“分”、“秒”、“微妙”。
“IP”,表示这个包在网络层是IP包。
“116.255.245.206.47940”,表示这个包的源IP为116.255.245.206,源端口为47940。
“>”,这个大于号表示数据包的传输方向。
“8.8.8.8.53“,表示这个包要发向的目的端IP是8.8.8.8,目标端口为53,也就是我们熟知的DNS服务端口。
“22768+ A? www.baidu.com. (31)“,这是DNS协议的内容,即请求www.baidu.com的A纪录。
4.0x0000: 4500 003b c341 0000 4011 3c93 74ff f5ce E..;.A..@.<.t...
0x0010: 0808 0808 bb44 0035 0027 b457 58f0 0100 .....D.5.'.WX...
0x0020: 0001 0000 0000 0000 0377 7777 0562 6169 .........www.bai
0x0030: 6475 0363 6f6d 0000 0100 01 du.com.....
接下来便是IP包的内容了,是除去了以太网之后剩下的内容,其中左侧红色字体部分是十六进制内容,右侧天蓝色字体部分是相应的ASCII码内容。
下面转自:http://roclinux.cn/?p=2511
在最后的“终结招”中,我们会给大家介绍一些之前没有提到的“小秘籍”,让大家在追查网络问题、进行协议分析时,可以用得上。
[秘籍一]
使用-A选项,则tcpdump只会显示ASCII形式的数据包内容,不会再以十六进制形式显示;
[秘籍二]
使用-XX选项,则tcpdump会从以太网部分就开始显示网络包内容,而不是仅从网络层协议开始显示。
[秘籍三]
使用如下命令,则tcpdump会列出所有可以选择的抓包对象。
# tcpdump -D 1.eth0 2.any (Pseudo-device that captures on all interfaces) 3.lo
[秘籍四]
如果想查看哪些ICMP包中“目标不可达、主机不可达”的包,请使用这样的过滤表达式:
icmp[0:2]==0x0301
[秘籍五]
要提取TCP协议的SYN、ACK、FIN标识字段,语法是:
tcp[tcpflags] & tcp-syn tcp[tcpflags] & tcp-ack tcp[tcpflags] & tcp-fin
[秘籍六]
要提取TCP协议里的SYN-ACK数据包,不但可以使用上面的方法,也可以直接使用最本质的方法:
tcp[13]==18
[秘籍七]
如果要抓取一个区间内的端口,可以使用portrange语法:
tcpdump -i eth0 -nn 'portrange 52-55' -c 1 -XX
原址:http://roclinux.cn/?p=2851
tcpdump输出内容分析相关推荐
- uname -a输出内容分析
虽然很早就会用这条命令了,但一直都不知道输出的各部分表示什么,如下: ----------------------------------------------------------------- ...
- Linux tcpdump命令详解与Wireshark
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的 ...
- Linux抓包工具tcpdump详解
原文链接 tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. ...
- Tcpdump命令的使用与示例——linux下的网络分析
顾名思义,TcpDump可以将网络中传送的数据包的"头"完全截获下来提供分析.它支持针对网络层.协议.主机.网络或端口的过滤,并提供and.or.not等逻辑语句来帮助你去掉无用的 ...
- 《神探tcpdump第一招》-linux命令五分钟系列之三十五
应 @GamerH2o 博友在微博上提的要求,tcpdump专题会写成一个小型系列文章,力求每篇小文中突出重点,讲解清晰,避免长篇累牍,大家必然昏昏欲睡了. 其实tcpdump就好像一个神探,它有着夜 ...
- 肝了三天,万字长文教你玩转 tcpdump,从此抓包不用愁
图源 | 视觉中国 来源|Python编程时光(ID: Cool-Python) 今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具 -- Tcpdump,也就是我们常说的抓包工具. 与 ...
- tcpdump基础教程
Tcpdump是信息安全专业人士最重要的一个网络分析工具.对这个工具有一个深入的理解对于每一个喜欢透彻理解tcp/ip协议栈的人来话都是必须的.但很多人选择一个更高级别的工级,比如Ethereal W ...
- [na]tcpdump非常实用的抓包实例
基本语法篇 常用应用:过滤物理口过滤某个port/ip/mac过滤协议显示ip/mac/port不解析等 过滤mac tcpdump -i eth0 ether host 24:DF:6A:F4:59 ...
- tcpdump的简单选项介绍
tcpdump采用命令行方式,它的命令格式为: tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] ...
- Linux tcpdump命令
一.简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据 ...
最新文章
- 广船国际股份有限公司OA项目
- java 提取内容并排序
- Python编程语言基础入门教程
- C++ Time类重载运算符
- 合并远程仓库到本地_Git工作区、暂存区、本地仓库和远程仓库科普
- Hadoop家族学习路线图
- Java 调用树莓派硬件资源
- k8s pod健康检查(存活、就绪检查):livenessProbe策略配置示例
- http请求中的Query String Parameters、Form Data、Request Payload
- Asp.Net Core 通过中间件防止图片盗链
- spring mvc学习(30):sessionatrribute存储session数据
- ubuntu16.04下安装NS-2.35以及对simple例的理解
- Spring Mvc 数据回显、异常处理、文件上传、json交互、ResTful、拦截器的使用(高级三)
- 关于Gprmax正演模拟结果显示空白的原因分析
- mid、mif文件操作工具类
- 生物信息学服务器 cpu配置,0[生信技能树]生信服务器配置全攻略
- u检验中的查u界值表_u检验和t检验
- 顺丰旗下丰鸟无人机高薪诚聘海内外英才
- CS229与《统计学习方法》的EM算法理解和比较,收敛性证明
- 全球喷气发动机收入预计2028年达到1189.6亿美元
热门文章
- Linux通过windows代理上网配置方式
- oracle create table parallel,使用oracle parallel
- pinia报错, getActivePinia was called with no active Pinia. Did you forget to install pinia?
- 阿里高P谈技术人如何高速成长?
- Spark小文件合并
- 不使用拇指玩安装器安装GPK文件
- 算法-贪心/动态规划-买卖股票的最佳时机
- Effect Modern c++翻译
- suse linux 添加网卡驱动,图文并茂介绍suse linux 11系统安装全过程以及suse系统下安装网卡驱动和刷新固件.doc...
- ArcGIS10.6基本操作——利用DEM给点赋予高程值