tcpdump 订阅
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 展开全文
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
信息
属    于
将网络中传送的数据包的“头”
包    含
帮助你去掉无用的信息
外文名
TCPDUMP
针    对
网络层、协议、主机
TCPDUMP简介
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的工具之一。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中,由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。基本上tcpdump的总的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数
收起全文
精华内容
下载资源
问答
  • Tcpdump

    2020-11-09 14:05:39
    TCPdump抓包命令  tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。  tcpdump提供了源代码,公开...
    说是大全其实我列取得只是一些常用的命令与大家分享。
     
    下面的例子全是以抓取eth0接口为例,如果不加”-i eth0”是表示抓取所有的接口包括lo。
     
    1、抓取包含10.10.10.122的数据包 
    # tcpdump -i eth0 -vnn host 10.10.10.122
     
    2、抓取包含10.10.10.0/24网段的数据包
    # tcpdump -i eth0 -vnn net 10.10.10.0/24
     
    3、抓取包含端口22的数据包
    # tcpdump -i eth0 -vnn port 22
     
    4、抓取udp协议的数据包
    # tcpdump -i eth0 -vnn  udp
     
    5、抓取icmp协议的数据包
    # tcpdump -i eth0 -vnn icmp
    6、抓取arp协议的数据包
    # tcpdump -i eth0 -vnn arp
     
    7、抓取ip协议的数据包
    # tcpdump -i eth0 -vnn ip
     
    8、抓取源ip是10.10.10.122数据包。
    # tcpdump -i eth0 -vnn src host 10.10.10.122
     
    9、抓取目的ip是10.10.10.122数据包
    # tcpdump -i eth0 -vnn dst host 10.10.10.122
     
    10、抓取源端口是22的数据包
    # tcpdump -i eth0 -vnn src port 22
     
    11、抓取源ip是10.10.10.253且目的ip是22的数据包
    # tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22
                    
    12、抓取源ip是10.10.10.122或者包含端口是22的数据包
    # tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22
     
    13、抓取源ip是10.10.10.122且端口不是22的数据包
    [root@ ftp]# tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22

    14、抓取源ip是10.10.10.2且目的端口是22,或源ip是10.10.10.65且目的端口是80的数据包。
    # tcpdump -i eth0 -vnn \( src host 10.10.10.2 and dst port 22 \) or   \( src host 10.10.10.65 and dst port 80 \)
     
    15、抓取源ip是10.10.10.59且目的端口是22,或源ip是10.10.10.68且目的端口是80的数据包。
    [root@localhost ~]# tcpdump -i  eth0 -vnn 'src host 10.10.10.59 and dst port 22' or  ' src host 10.10.10.68 and dst port 80 '
     
    16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。
    # tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100
     
    17、从/tmp/fill记录中读取tcp协议的数据包
    # tcpdump –i eth0 -vnn -r  /tmp/fil1 tcp
     
    18、从/tmp/fill记录中读取包含10.10.10.58的数据包
    # tcpdump –i eth0 -vnn -r  /tmp/fil1 host  10.10.10.58
    展开全文
  • tcpdump

    2020-08-21 12:04:57
    tcpdump 抓包工具 常用指令: 监视指定主机的数据包 打印所有进入或离开sundown的数据包. tcpdump host sundown 也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包 tcpdump host 210.27....

    tcpdump 抓包工具

    常用指令:

    监视指定主机的数据包

    打印所有进入或离开sundown的数据包.

    tcpdump host sundown

    也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包

    tcpdump host 210.27.48.1

    截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

    tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )

    如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

    tcpdump ip host 210.27.48.1 and ! 210.27.48.2

    截获主机hostname发送的所有数据

    tcpdump -i eth0 src host hostname

    监视所有送到主机hostname的数据包

    tcpdump -i eth0 dst host hostname

    监视指定主机和端口的数据包

    如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令

    tcpdump tcp port 23 host 210.27.48.1

    对本机的udp 123 端口进行监视 123 为ntp的服务端口

    tcpdump udp port 123

    抓取本地访问包:

    tcpdump -i any (将网卡设为any);

    tcpdump 与wireshark还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。

    tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

    (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型(2)-i eth1 : 只抓经过接口eth1的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)dst port ! 22 : 不抓取目标端口是22的数据包(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

    使用tcpdump抓取HTTP包

    tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

    0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

    tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参 数的tcpdump 截获数据并保存到文件中,然后再使用其他程序(如Wireshark)进行解码分析。

    实际使用:分析健康检查接口的请求过程

    sudo tcpdump -w tcpdump-xxxx-xx-01.out -c 300 port 8080 -s 0

    展开全文
  • TCPDUMP

    2019-03-19 10:55:00
    一、TCPdump抓包 默认只抓68个字节 tcpdump –i eth0 –s 0 –w aa.pcap -s 0 :抓所有包 -i eth0 抓取哪个网卡 读包的内容: tcpdump –r aa.pcat acpdump –A –r aa.pcap 只抓取某个端口的包:tcpdump –i ...

    一、TCPdump抓包

    默认只抓68个字节

    tcpdump –i eth0 –s 0 –w aa.pcap

     -s 0  :抓所有包

    -i eth0  抓取哪个网卡

    读包的内容:

    tcpdump –r aa.pcat

    acpdump –A –r aa.pcap

    只抓取某个端口的包:tcpdump –i eth0 tcp port 22

     

    二、tcpdump –n –r http.cap |awk ‘{print $3}’ |sort –u

    sort –u:过滤掉重复的,只保留一个

    -n:不显示域名,只显示IP。

    三、TCPDUMP筛选器

    来源这个IP的,才显示 src host 145.254.160.237

    四、高级筛选

     

    转载于:https://www.cnblogs.com/bzdmz/p/10557191.html

    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 13,687
精华内容 5,474
关键字:

tcpdump