admin管理员组

文章数量:1487745

【最详细】Tcpdump使用实验

【原理】

tcpdump和wireshark一样,是一个抓包工具,基于libpcap开发的,过滤机制使用内核的BPF过滤(伯克利数据包过滤器,Berkeley Packet Filter,工作在操作系统的内核态,由网络转发和数据包过滤两部分组成。感兴趣的同学可以自己看一下),在linux下使用,也可以把tcpdump当成linux的命令。多数linux服务器是不按照图形界面的,在这种情况下,就可以使用tcpdump。

【步骤】

安装

tcpdump一般在linux服务器上是默认安装的,也可以说tcpdump是linux服务器端一个命令,可以用whereis命令看下,他的安装位置;用tcpdump -help看下

切换至su模式

代码语言:javascript代码运行次数:0运行复制
sudo su
2.常用命令选项

跟进不同用户的权限,如果需要sudo的,在命令前面加上sudo

2.1

指定要抓的数据包的数量,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包

代码语言:javascript代码运行次数:0运行复制
tcpdump -c 10
2.2 查看哪些端口可以抓包

tcpdump -D

2.3 指定接口

tcpdump -i eth0 -c 10

2.4 -n和-nn

-n: 对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析 -nn: 把端口显示为数值,否则显示端口服务名 对比下上图tcpdump -i eth0 -c 10红色方框的部分 tcpdump -i eth0 -c 10 -n tcpdump -i eth0 -c 10 -nn

2.5 -x和-xx;-X和-XX,最常用的是-XX
代码语言:javascript代码运行次数:0运行复制
-x:以16进制打印出每个包的数据(不包括连接层的头部)
-xx:以16进制打印出每个包的数据
-X:输出包头部的数据,以16进制和ASCII两种方式同时输出(不包括连接层的头部)
-XX:输出包头部的数据,会以16进制和ASCII两种方式同时输出。
2.6 -v,-vv答应详细输出,一个比一个详细,看一下吧

如果没带-v或者-vv选项的时候,会有如下提示

对比一下带-v和不带-v的(tcpdump -i eth0 -c 10 -nn)区别,会多输出一些信息。

2.7 包保存到指定文件-w,从指定文件读取包答应到屏幕-r

3.常用过滤字段
3.1 过滤指定主机,首先ping下qiyun,看看ip是多少,然后用host过滤,抓到的都是指定host的包
代码语言:javascript代码运行次数:0运行复制
tcpdump host qiyun
3.2 源与目的,src与dst
代码语言:javascript代码运行次数:0运行复制
tcpdump -i eth0 -c 10 -nn src host qiyun tcpdump -i eth0 -c 10 -nn dst host qiyun
代码语言:javascript代码运行次数:0运行复制
tcpdump -i eth0 -c 10 -nn src host 218.30.116.184 tcpdump -i eth0 -c 10 -nn dst host 218.30.116.184
3.3 协议过滤

过滤udp协议,可能服务器上目前没有udp的包,再开一个窗口,自己创造点儿包出来,用curl curl curl tcpdump -i eth0 -c 10 -nn udp

抓ping包 tcpdump -i eth0 -c 10 -nn icmp

3.4 过滤网段

tcpdump -i eth0 -c 10 -nn net 192.168

3.5 过滤端口

tcpdump udp port 53

tcpdump port 2222是我ssh的端口

3.6 协议字段过滤

表达式单元之间可以使用操作符" and / && / or / || / not / ! "进行连接

过滤syn包和fin包

tcpdump -i eth0 -c 10 -nn 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0'

过滤tcp 80端口,ip包长度大于1000的包(ip[2:2]表示整个ip数据包的长度)

tcpdump -i eth0 -c 10 -nn 'tcp port 80 and ip[2:2] > 1000'

过滤icmp的reply包

tcpdump -i eth0 -c 10 -nn 'icmp[icmptype] == icmp-echoreply'

【总结】

tcpdump是linux抓包非常有用的工具

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。 原始发表:2024-10-12,如有侵权请联系 cloudcommunity@tencent 删除协议tcpdump服务器连接数据

本文标签: 最详细Tcpdump使用实验

版权声明:本文标题:【最详细】Tcpdump使用实验 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.betaflare.com/shuma/1754883995a3180822.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。