2. 程式人生 > >tcpdump抓包工具

tcpdump抓包工具

阿新 發佈:2018-10-19
ive link 簡單 網絡管理 直接 抓取 可擴展性 less read

tcpdump抓包工具

一:TCPDump介紹

? TcpDump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。tcpdump就是一種免費的網絡分析工具,尤其其提供了源代碼,公開了接口,因此具備很強的可擴展性,對於網絡維護和入侵者都是非常有用的工具。tcpdump存在於基本的FreeBSD系統中,由於它需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。

二:日常使用

1.參數介紹

tcpdump

  • -i 指定網絡接口
  • -c 指定要監控的包的數量
  • -w 將抓包結果以文件的形式存放
  • -a    將網絡地址和廣播地址轉變成名字;
  • -d    將匹配信息包的代碼以人們能夠理解的匯編格式給出;
  • -dd    將匹配信息包的代碼以c語言程序段的格式給出;
  • -ddd   將匹配信息包的代碼以十進制的形式給出;
  • -e    在輸出行打印出數據鏈路層的頭部信息;
  • -f    將外部的Internet地址以數字的形式打印出來;
  • -l    使標準輸出變為緩沖行形式;
  • -n    不把網絡地址轉換成名字;
  • -t    在輸出的每一行不打印時間戳;
  • -v    輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息;
  • -vv    輸出詳細的報文信息;
  • -F    從指定的文件中讀取表達式,忽略其它的表達式;
  • -r    從指定的文件中讀取包(這些包一般通過-w選項產生);
  • -T    將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc (遠程過程調用)和snmp(簡單網絡管理協議;)

2.表達式介紹

? 表達式是一個正則表達式,tcpdump利用他過濾報文的條件,如果一個報文滿足表達式的條件,則這個報文將會被捕獲。如果表達式為空,則會捕獲所有所有的信息包

表達式類型:

  1. 類型關鍵字
    • host 192.168.30.10 指定一臺主機(默認)
    • net 192.168.30.0 指定一個網絡段
    • port 80 指定端口號
  2. 方向關鍵字
    • src 192.168.30.10 指定包中的源地址
    • dst 192.168.30.20 指定包中的目的地址
    • dst 192.168.30.20 or src 192.168.30.20 dst和src滿足一個就獲取
    • dst 192.168.30.20 and src 192.168.30.20 dst和src必須同時滿足
  3. 協議關鍵字
    • fddi FDDI(分布式光纖數據接口網絡)上的特定的網絡協議
    • ip
    • arp
    • rarp
    • tcp
    • utp
  4. 其他不常用關鍵字還有gateway,broadcast,less,greater,還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘,與運算是‘and‘,‘&&‘;或運算 是‘or‘,‘││‘;這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。

三.日常使用例子

  1. 抓取當前主機所有數據包,tcpdump默認在當前終端運行

    [root@mweb07 ~]# tcpdump 
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:03:25.585291 IP 172.20.10.2.hsrp > all-routers.mcast.net.hsrp: HSRPv0-hello 20: state=active group=10 addr=172.20.10.1
10:03:26.680044

  2. 抓取100個數據包,並且在指定的文件存放起來,默認tcpdump文件是不允許直接查看的

    [root@mweb07 ~]# tcpdump -c 100 -w tcpdump.out
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
100 packets captured     # 抓取100個包後,他就會自動停止
100 packets received by filter
0 packets dropped by kernel

  3. 讀取-w參數導出的文件

    [root@mweb07 ~]# tcpdump -r 443_tcpdump.out 
reading from file 443_tcpdump.out, link-type EN10MB (Ethernet)
10:22:49.771433 IP 180.168.69.242.50838 > mweb07.https: Flags [.], seq 1094068907:1094068908, ack 4179967795, win 16537, length 1
10:22:49.771447 IP mweb07.https > 180.168.69.242.50838: Flags [R], seq 4179967795, win 0, length 0
10:22:51.525702 IP 180.168.69.242.50836 > mweb07.https: Flags [F.], seq 932060733, ack 2342938202, win 16344, length 0

  4. 抓取6379端口的100個包

    [root@mweb07 ~]# tcpdump -i bond0 -c 100 -w 443_tcpdump.out tcp port 443 
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes
100 packets captured
102 packets received by filter
0 packets dropped by kernel

  5. 抓取源地址為180.168.69.242,端口為443的數據包

    [root@mweb07 ~]# tcpdump -i bond0 -c 3 -w 443_tcpdump.out src 180.168.69.242 and tcp port 443
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes
3 packets captured
3 packets received by filter
0 packets dropped by kernel

  6. 抓取指定主機的數據包

    # 抓取指定主機的數據包
[root@mweb07 ~]# tcpdump -i bond0 -c 10 host 172.20.10.17
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:28:40.375233 IP mweb07.34822 > mweb08.vrace: Flags [P.], seq 2258399624:2258400017, ack 3133621198, win 18960, options [nop,nop,TS val 941802562 ecr 941809211], length 393
10:28:40.375935 IP mweb08.vrace > mweb07.34822: Flags [.], seq 1:4345, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 4344
10:28:40.375945 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 4345, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0
10:28:40.375957 IP mweb08.vrace > mweb07.34822: Flags [.], seq 4345:7241, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 2896
10:28:40.375960 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 7241, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0
10:28:40.376008 IP mweb08.vrace > mweb07.34822: Flags [.], seq 7241:10137, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 2896
10:28:40.376012 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 10137, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0
10:28:40.376015 IP mweb08.vrace > mweb07.34822: Flags [P.], seq 10137:10298, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 161
10:28:40.376017 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 10298, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0
10:28:40.397701 IP mweb07.46871 > mweb08.6379: Flags [P.], seq 2597564002:2597564092, ack 617045751, win 1260, options [nop,nop,TS val 941802584 ecr 941811100], length 90
10 packets captured
10 packets received by filter
0 packets dropped by kernel
# 可以發現,如果兩臺主機之間沒有通信,是無法抓取的
[root@mweb07 ~]# tcpdump -i bond0 -c 10 host 172.20.10.10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes四:日常場景

tcpdump抓包工具

相關推薦

tcpdump-工具-Linux

expr ret 效果 packet 返回 dump alt ping ati 環境:VMware-Workstation-12-Pro,Windows-10,CentOS-6.9-x86_64,Xshell5 基本介紹 tcpdump是Linux自帶的抓包工具,可以詳細看

tcpdump工具

ive link 簡單 網絡管理 直接 抓取 可擴展性 less read tcpdump抓包工具 一:TCPDump介紹 ? TcpDump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏

nmap掃描工具tcpdump工具的安裝和使用

掃描:以獲取一些公開的、非公開資訊為目的。檢測潛在的風險,查詢可攻擊的目標,收集 裝置、主機、系統、軟體資訊,發現可利用的漏洞。 掃描方式:主動探測(scan)、被動監聽嗅探(sniff)、抓包(capture) 常用的分析工具:掃描器(NMAP)、協議分析(tcpdumpWireShark) NMAP:

linux下tcpdump工具的安裝和使用

1.yum  install  tcpdump 2.檢視網絡卡名稱: ifconfig 3.監視指定網路介面的資料包  tcpdump -i ens33 4.也可以指定ip,例如截獲所有192.1

Android 下使用tcpdump 工具

  在進行網路狀況分析的時候,tcpdump和wireshark是必不可少的工具,手機上進行網路分析也是如此。在此之前,我都是在手機上使用tcpdump抓包之後,儲存成一個.pacp檔案,之後再在PC上使用wireshark來進行分析。在看到了參考網站中的內容之後,發現其實還有更加簡便的方法,通過adb

工具tcpdump用法說明

mac ive 方向 接口 res 分析 方式 interface tcp 本文目錄: 1.1 tcpdump選項 1.2 tcpdump表達式 1.3 tcpdump示例 tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在靈活的表達式上。 不帶任

監控io性能、free、ps命令及netstat命令、工具tcpdump,tshark

20180507一、監控io性能iostat -x 關註%utiliotop 查看哪一個進程在進行讀寫 二、free命令(查看內存使用)-m -h-gbuff 緩沖(cpu處理完的數據 > 內存 (buff)> 磁盤)cache 緩存(磁盤 >內存(cache) >cpu處理數據)公

linux工具-tcpdump用法說明

抓包工具tcpdump基本使用 tcpdump採用命令列方式對介面的資料包進行篩選抓取,其豐富特性表現在靈活的表示式上。 不帶任何選項的tcpdump,預設會抓取第一個網路介面,且只有將tcpdump程序終止才會停止抓包。 例如: shell> tcpdump -nn

工具tcpdump

簡介 tcpdump可以抓取指定規則的流量包,並按要求儲存或者解析列印,可以通過 and、not、or等邏輯語 拼出多個條件的命令,抓取符合要求的流量資料 資料儲存到檔案 # -w儲存資料到檔案,檔名字尾為.pcap #可以儲存80埠的tcp流量,1000條 儲

linux系統的工具tcpdump的使用

是windows系統下的wireshark工具的linux系統版本。 NAME         tcpdump - dump traffic on a network  SYNOPSIS     &nb

Ubuntu下的工具tcpdump

Ubuntu預設是安裝好了tcpdump工具的,如果沒有安裝的話使用sudo apt-get install tcpdump即可安裝。 (如果遇到tcpdump: no suitable device found的問題,檢查一下是不是在用root許可權執行tcpdump,tcpdump只能在root許可權下

在mac上使用Tcpdump命令列工具的安裝

首先,先從http://www.tcpdump.org網上下載原始碼,然後在進行安裝,這個Tcpdump依賴libpcap這個安裝包,這個包和Tcpdump包都在Tcpdump官網上有,這兩個包是在一起的。 安裝Tcpdump之前,先安裝libpcap,使用命令列安裝,這個

Android工具tcpdump使用教程(整理)

一、準備: 1. Android手機需要先獲得root許可權。一種是否獲得root許可權的檢驗方法:安裝並開啟終端模擬器(可通過安卓市場等渠道獲得)。在終端模擬器介面輸入su並回車,若報錯則說明未root,若命令提示符從$變#則為rooted; 2. 如果Android手機

Linux 工具 tcpdump

邏輯運算 端口號 eth1 方便 ESS out 與運算 通用 gre Linux 抓包工具 tcpdump 1、概述 用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。?

(轉)工具tcpdump用法說明

轉義 ref 抓包工具 ESS 切換 dir 連接 技術分享 win 本文原創地址在博客園:https://www.cnblogs.com/f-ck-need-u/p/7064286.html tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在

linux tcpdump

第一個 一個 指定 不顯示 源地址 主機名 linux 時間 主機 tcpdump 默認抓取第一個網卡的所有數據包 tcpdump -i eth0 指定網卡 tcpdump host 10.10.10.10 指定主機名或ip地址 tcpdump host 10.10.10

工具簡介

不一致 settings blog 允許 coo 手動 charles 瀏覽器中 獲取 常見的抓包工具:charles、fiddlercharles:可以跨平臺,任意瀏覽器,目前只能抓http的,https請求需要裝證書(.crtx 文件,雙擊運行即可)web端,可以直接打

工具:fiddler、charles手機連接電腦代理

打開 抓包 vivo 無線 strong dos 頁面 查看 option 手機連接c

JAVA------17.charles(青花瓷)工具,適用安卓

java 技術 window eight charles bsp wid 9.png mage 1.安裝青花瓷 百度雲 jwindows :鏈接:http://pan.baidu.com/s/1dE6vvFV 密碼:mkce 2.查找 ip地址 3.設置手機,

工具 - HttpWatch

cookie ogl charset 查找 4類 緩存機制 open length 修改   HttpWatch是功能強大的網頁數據分析工具,集成在IE工具欄,主要功能有網頁摘要、cookies管理、緩存管理、消息頭發送/接收,字符查詢、POST數據、目錄管理功能和報告輸出