tcpdump如何抓接口包_TCPDUMP抓包方法
命令行参数
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]
-n: 不把网络地址转换成名字
-a: 将网络地址和广播地址转变成名字;
-e: 在输出行打印出数据链路层的头部信息;
-t: 在输出的每一行不打印时间戳;
-v: 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv:输出详细的报文信息;
-c: 在收到指定的包的数目后,tcpdump就会停止;
-F: 从指定的文件中读取表达式,忽略其它的表达式;
-i: 指定监听的网络接口;
-r: 从指定的文件中读取包(这些包一般通过-w选项产生);
-w: 直接将包写入文件中,并不分析和打印出来;
-s: 指定数据报的大小(默认68个byte)##########################抓包时每次都要设置这个参数,-s 65500 不然wireshark解析的包会太小
表达式
tcpdump利用它作为过滤报文的条件,如果一个报文满足表
达式的条件,则这个报文将会被捕获。如果没有给出任何条件,
则网络上所有的信息包将会被截获。
1. 类型关键字
host: 指定主机
net: 指定网络地址
port: 指定端口号
默认类型为host
2. 方向关键字
src: 指定源
dst: 指定目的
src or dst
src and dst
默认为src or dst
3. 协议关键字
包括fddi,ip ,arp,rarp,tcp,udp等类型
4. 逻辑运算
取非运算是 'not ' '!'
与运算是'and','&&'
或运算 是'or' ,'||';
示例
1. 截获所有135.252.142.150 的主机收到的和发出的所有的数据包
tcpdump host 135.252.142.150 -i eth0
2. 获取主机135.252.33.186除了和主机135.252.142.150之外所有
主机通信的ip包,使用命令
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
3. 获取主机135.252.33.186接收或发出的telnet包
tcpdump tcp port 23 host 135.252.142.150
4. 获取主机135.252.142.121端口5060上的所有数据报
tcpdump port 5060 and host 135.252.142.121
5. 获取主机135.252.142.150所有udp数据报
tcpdump udp and host 135.252.142.150
or:
tcpdump ip proto \\udp and host 135.252.142.150
6. 获取主机和135.252.142.150的源端口为5060, 目的端口为
45413的数据报
tcpdump src port 5060 and dst port 45413 and host 135.252.142.150
7. 打印所有包含数据的数据报, 就是说除了SYN, ACk和Fin的数据报
tcpdump 'tcp port 80 and
(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
8. 打印所有经过网关135.252.33.1长度大于576的数据报
tcpdump 'gateway snup and ip[2:2] > 576'
ip[2:2]: 从第二个byte开始的两个byte.
实现
tcpdump |------------------------------------------ | | | +-------+ | |tcp/udp| | +-------+ | | | +--------+ | |IP stack|+------------+ +--------+| Filter | |+------------+ +------------+ | BPF driver |-------------| eth driver | +------------+ packet recv +------------+
-----------------------------------------------------
note: 如果linux(或unix)没装xwindow, 可以考虑用tcpdump, 如果这个协议tcpdump不支持, 可以使用tcpdump抓包, 使用wireshare(或者ethereal)来看所抓的数据包
tcpdump如何抓接口包_TCPDUMP抓包方法相关推荐
- tcpdump如何抓接口包_tcpdump抓包命令
一. 选项 tcpdump支持相当多的参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写 ...
- tcpdump如何抓接口包_tcpdump抓包简单用法
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的 ...
- tcpdump显示udp包_TCPdump抓包命令详解
TCPdump抓包命令 tcpdump是一个用于截取网络分组,并输出分组内容的工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具. tcpdu ...
- tcpdump抓两个网卡的包_tcpdump 抓包统计 分享助,请问用tcpdump抓包后,如何查看每个包...
如何用tcpdump抓包统计流量 TCPDUMP 抓包 怎么查看 抓的包的内容小编们每天忙忙碌碌,谁还记得小时候那些大大"的梦想.多久,没有停下脚步,哪怕只是单纯的晒晒太阳.现在的人,科技先 ...
- tcpdump 超时包_tcpdump抓包大小限制
默认tcpdump抓包大小限制在96个BYTE(包括以太网帧) 修改参数为 -s 0 0 则忽略包的大小限制,按包的长度实际长度抓取. -------------------------------- ...
- tcpdump显示udp包_TCPDUMP 抓包 , 怎么查看 抓的包的内容呢?
tcpdump -q -X udp port 3333 用了上面的命令,但是得到的结果还是不能够直接看出包的内容. 是不是还要添加什么参数. cpdump: verbose output suppre ...
- tcpdump 抓包实时打印_tcpdump抓包规则常用命令
下面的例子全是以抓取eth0接口为例,如果不加"-i eth0"是表示抓取所有的接口包括lo. 首先安装tcpdump包:yum install -y tcpdump 1.抓取包含 ...
- tcpdump抓包ftp协议_tcpdump抓包使用方法详解
tcpdump抓包分析详解 [root@linux ~]#tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX] [-r 档案] [所欲撷取的数据内容] ...
- tcpdump抓包ftp协议_tcpdump抓包分析详解
简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具. tcpdump可以将网络中传送的数据包的 ...
最新文章
- 同时起两个mysql 起不了_到底是谁!让你在冬天的早晨起不了床?
- vue-textarea 自适应高度
- 对于java的命名规范(标识符)
- 并发工具类(三)控制并发线程数的Semaphore
- JavaScript实现字符串转换成驼峰表示法
- 胡言乱语生成器微信小程序源码在线取名等支持流量主收益
- linux二进制数据16进制数据转换,[轉]16进制字符文本/二进制文件迷你互转器
- 一种提升语音识别准确率的方法与流程
- MySQL使用注意事项(一)
- openwrt源码下载
- java前端开发_Java前端开发学习什么内容
- 人物传记思维导图模板
- 网络安全学习笔记-入侵检测系统IDS
- 下一个大危机,会是什么?
- Cloudreved云盘搭建及配置Aria2离线下载
- oracle bround,【案例】Oracle警告 WARNING:inbound connection timed out (ORA-3136)解决办法
- CCNA 初学(第一课)
- php zend optimizer 解密,PHP反编译工具(Mr.DeZend GUI)下载 v1.0
- 威猛的 90 后,不等领导下班就先走,《2021 年轻人下班报告》公布
- 【R生态】普鲁克分析(Procrustes Analysis)