tcpdump介绍

tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

tcpdump语法

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

tcpdump参数

-a    将网络地址和广播地址转变成名字;
-d    将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd    将匹配信息包的代码以c语言程序段的格式给出;
-ddd   将匹配信息包的代码以十进制的形式给出;
-e    在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;
-f    将外部的Internet地址以数字的形式打印出来;
-l    使标准输出变为缓冲行形式;
-n    指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字;
-nn:   指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-t    在输出的每一行不打印时间戳;
-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv    输出详细的报文信息;
-c    在收到指定的包的数目后,tcpdump就会停止;
-F    从指定的文件中读取表达式,忽略其它的表达式;
-i    指定监听的网络接口;
-p:    将网卡设置为非混杂模式,不能与host或broadcast一起使用
-r    从指定的文件中读取包(这些包一般通过-w选项产生);
-w    直接将包写入文件中,并不分析和打印出来;
-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-X      告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。

监听所有端口,直接显示 ip 地址

> tcpdump -nS

显示更详细的数据报文,包括 tos, ttl, checksum 等。

> tcpdump -nnvvS

显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出。

> tcpdump -nnvvXS

host: 过滤某个主机的数据报文

> tcpdump host 1.2.3.4

src, dst: 过滤源地址和目的地址

> tcpdump src 1.2.3.4
> tcpdump dst 1.2.3.4

net: 过滤某个网段的数据

> tcpdump net 1.2.3.0/24

过滤某个协议的数据,支持 tcp, udp 和 icmp

> tcpdump icmp

过滤通过某个端口的数据报

> tcpdump port 3306

src/dst, port, protocol: 结合三者

> tcpdump src port 22 and tcp
> tcpdump udp and src port 25

抓取指定范围的端口

> tcpdump portrange 21-23

通过报文大小过滤请求,数据报大小,单位是字节

> tcpdump less 32
> tcpdump greater 128
> tcpdump > 32
> tcpdump <= 128

抓包输出到文件

> tcpdump -w rumenz.pcap port 80

从文件读取报文显示到屏幕

> tcpdump -nXr rumenz.pcap host web

源地址是 192.168.1.110,目的端口是3306的数据报

> tcpdump -nnvS src 192.168.1.110 and dst port 3306

从 192.168 网段到 10 或者 172.31 网段的数据报

> tcpdump -nvX src net 192.168.0.0/16 and dat net 10.0.0.0/8 or 172.31.0.0/16

tcpdump 的输出解读

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64)192.168.1.110.40411 > 192.168.1.123.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 021:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44)192.168.1.123.80 > 192.168.1.110.40411: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 021:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40)192.168.1.110.40411 > 192.168.1.123.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口,上面的例子第一条数据报中,源地址 ip 是192.168.1.110,源端口是 40411,目的地址是 192.168.1.123,目的端口是 80。 > 符号代表数据的方向。

上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文,这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

[S]: SYN(开始连接)
[.]: 没有 Flag
[P]: PSH(推送数据)
[F]: FIN (结束连接)
[R]: RST(重置连接)

而第二条数据的 [S.] 表示 SYN-ACK,就是 SYN 报文的应答报文。

原文链接:https://rumenz.com/rumenbiji/linux-tcpdump.html
微信公众号:入门小站

linux之抓包神器tcpdump相关推荐

  1. 【linux测试必背| tcpdump】命令行抓包神器 | tcpdump抓取post请求并显示详细参数

    命令行抓包神器 | tcpdump抓取post请求并显示详细参数 知识背景(diu ren 经历) 1. tcpdump抓包工具捕捉tcp请求 三次握手和四次挥手 适用场景: 命令格式: 2. tcp ...

  2. linux服务器udp抓包工具,Linux下抓包工具tcpdump使用介绍

    点评:在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一,本文将介绍Linux下抓包工具tcpdump使用,需要的朋友可以参考下 在传统的网络分析和测试技术中,嗅探器 ...

  3. linux下 抓包工具下载,Linux下抓包工具tcpdump使用介绍

    Linux下抓包工具tcpdump使用介绍 发布时间:2012-11-30 17:11:39   作者:佚名   我要评论 在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的 ...

  4. linux 抓包分析qq号,linux下抓包号召--tcpdump的利用.

    linux下抓包号召--tcpdump的利用. (2011-07-24 02:13:00) 标签: 杂谈 例:tcpdump host 172.16.29.40 and port 4600 -X -s ...

  5. Linux下抓包工具tcpdump详解

    简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的 ...

  6. 关于fi dd ler 手机抓包 网卡地址地址_面试官:你给我讲讲抓包神器tcpdump的原理...

    点击上方蓝色字关注我们~ 面试官 你说你会网络编程?你说你熟悉网络知识,那你使用过tcpdump吗?能给我讲下tcpdump是什么,或者你有用过tcpdump解决过实际问题吗? 如果你学过网络,甚至搞 ...

  7. 你不知道的linux抓包神器—— tcpdump

    [好文推荐] 需要多久才能看完linux内核源码? 概述Linux内核驱动之GPIO子系统API接口 一篇长文叙述Linux内核虚拟地址空间的基本概括 tcpdump介绍 tcpdump 是一款强大的 ...

  8. Linux系统抓包命令tcpdump使用实例

    tcpdump是linux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04. tcpdump的命令格式 tcpdump的参数众多,通过man tcpdump ...

  9. 【跨平台网络抓包神器のtcpdump】ubuntu下编译tcpdump开源抓包工具

    1.源码准备: (1)下载tcpdump源码:https://www.tcpdump.org/index.html#latest-releases (2)下载两个文件(tcpdump与libpcap) ...

最新文章

  1. HttpClient连接池设置引发的一次雪崩
  2. OpenGL ES之GLSL自定义着色器编程实现粒子效果
  3. 硬件创业者们,如何避免掉到供应链的大坑里爬不出来
  4. YII2 搭建redis拓展(教程)
  5. Linux系统无法载入nvidia-smi驱动
  6. Codeforces GoodBye2015 New Year and Three Musketeers Codeforces 611E(贪心)
  7. 金蝶计算机会计实验报告总结,会计实训总结(精选5篇)
  8. AWG#线规及其载流能力和电阻值
  9. 知了课堂Day2——微信小程序基础02——wxss
  10. 电机学他励直流发电机matlab,直流发电机综合实验指导书(全文5篇)
  11. 20162327WJH程序设计与数据结构第七周总结
  12. 【UE4】获取13位时间戳
  13. 一文到胃------合并(归并)排序原理
  14. 大屏可视化色彩设计基本知识
  15. Elasticsearch:如何在 Elastic Agents 中配置 Beats 来采集定制日志
  16. 使用Arduino与L298N(红板) 驱动直流电机
  17. Jabber介绍(补充)
  18. 【Uinty3d】常用API
  19. 看看Gin框架是如何实现的
  20. dsplib-cfft

热门文章

  1. 如何手动删除并重新安装 .NET Framework 2.0
  2. 一个通用的Makefile模板-转
  3. java sin函数图像_java中怎样绘制正弦函数图象
  4. 蓝桥杯 ADV-189 算法提高 连接乘积
  5. 蓝桥杯 ADV-88 算法提高 输出正反三角形
  6. 1060. 爱丁顿数(25)-PAT乙级真题
  7. Perl 文件和文件夹操作
  8. 看小白如何解决ajax跨域问题
  9. 基于ansible Role实现批量部署lamp平台
  10. 一组经典测试思想观点