2. 程式人生 > >Ubuntu下的抓包工具tcpdump

Ubuntu下的抓包工具tcpdump

阿新 發佈:2019-01-24

Ubuntu預設是安裝好了tcpdump工具的,如果沒有安裝的話使用sudo apt-get install tcpdump即可安裝。

如果遇到tcpdump: no suitable device found的問題,檢查一下是不是在用root許可權執行tcpdump,tcpdump只能在root許可權下工作

安裝好tcpdump之後,執行tcpdump:

1. tcpdump -D 獲取網路介面卡列表,以下是在Ubuntu上獲取到的結果:

[email protected]:~# tcpdump -D
1.eth0
2.wlan0
3.usbmon1 (USB bus number 1)
4.usbmon2 (USB bus number 2)
5.usbmon3 (USB bus number 3)
6.usbmon4 (USB bus number 4)
7.usbmon5 (USB bus number 5)
8.any (Pseudo-device that captures on all interfaces)
9.lo

2. tcpdump -i <需要監控的網路介面卡編號>,例如我想監控我的無線網絡卡wlan0,則使用tcpdump -i 2。

[email protected]:~# tcpdump -i 2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 96 bytes
21:24:14.578430 00:24:f9:05:78:00 (oui Unknown) Unknown SSAP 0x78 > 00:1f:3a:18:fa:06 (oui Unknown) Unknown DSAP 0xd8 Information, send seq 0, rcv seq 16, Flags [Command], length 70
21:24:14.578447 00:24:f9:05:78:00 (oui Unknown) Unknown SSAP 0x78 > 00:1f:3a:18:fa:06 (oui Unknown) Unknown DSAP 0xd8 Information, send seq 0, rcv seq 16, Flags [Command], length 223
21:24:14.995603 00:24:f9:05:78:00 (oui Unknown) Unknown SSAP 0x20 > 78:dd:08:d1:b2:ca (oui Unknown) Unknown DSAP 0x76 Information, send seq 0, rcv seq 16, Flags [Command], length 70
21:24:15.019811 00:24:f9:05:78:00 (oui Unknown) Unknown SSAP 0xa6 > 2c:81:58:ec:9c:54 (oui Unknown) Unknown DSAP 0x0a Information, send seq 0, rcv seq 16, Flags [Command], length 72

如果不使用-i來定義監控介面卡的話,預設使用列表中的第一個;

3. 使用無線網絡卡wlan0監控IP地址為172.16.86.111上443埠的tcp協議

tcpdump -i 2 host 172.16.86.111 and tcp port 443

4. 如果想要顯示資料包的內容,需要使用-X引數,如,我想要顯示捕獲的https資料包http header的內容:

tcpdump -X -i 2 host 172.16.86.111 and tcp port 443

顯示結果如下:

21:27:53.662741 IP holmesian-laptop.local.44239 > 172.16.86.111.https: Flags [S], seq 24296623, win 5840, options [mss 1460,sackOK,TS val 153804 ecr 0,nop,wscale 6], length 0
    0x0000: 4500 003c e463 4000 4006 514a ac10 567e E..<
[email protected]@.QJ..V~
    0x0010: ac10 566f accf 01bb 0172 bcaf 0000 0000 ..Vo.....r......
    0x0020: a002 16d0 66a8 0000 0204 05b4 0402 080a ....f...........
    0x0030: 0002 58cc 0000 0000 0103 0306            ..X.........
21:27:56.660488 IP holmesian-laptop.local.44239 > 172.16.86.111.https: Flags [S], seq 24296623, win 5840, options [mss 1460,sackOK,TS val 154554 ecr 0,nop,wscale 6], length 0
    0x0000: 4500 003c e464 4000 4006 5149 ac10 567e E..<[email protected]@.QI..V~
    0x0010: ac10 566f accf 01bb 0172 bcaf 0000 0000 ..Vo.....r......
    0x0020: a002 16d0 63ba 0000 0204 05b4 0402 080a ....c...........
    0x0030: 0002 5bba 0000 0000 0103 0306            ..[.........
                                     .c

可以看到該結果只顯示了https頭的一部分,沒有顯示全,是因為tcpdump預設將顯示的資料長度截斷了,可以使用-s後面加資料長度,來設定資料顯示長度:

tcpdump -X -s 0 -i 2 host 172.16.86.111 and tcp port 443

以上的例子中,-s 0 表示自動設定長度使其能夠顯示所有資料。

5. 捕獲的資料太多,不斷刷屏,可能需要將資料內容記錄到檔案裡,需要使用-w引數

tcpdump -X -s 0 -w aaa host 192.9.200.59 and tcp port 8000

則將之前顯示在螢幕中的內容,寫入tcpdump可執行檔案同級目錄下的aaa檔案中。

檔案檢視方式如下,需要使用-r引數:

tcpdump -X -s 0 -i 2 -r holmesian host 172.16.86.111 and tcp port 443

如果這樣寫:

tcpdump -r holmesian

則只能看到最簡單的資料傳輸互動過程,看不到資料包內容,檢視時也需要使用相應的引數。

6.總結

總結一下,tcpdump的引數分兩個部分,選項(Options)和表示式(expression):

[email protected]:~# tcpdump -h
tcpdump version 4.0.0
libpcap version 1.0.0
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
        [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
        [ -i interface ] [ -M secret ] [ -r file ]
        [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
        [ -y datalinktype ] [ -z command ] [ -Z user ]
        [ expression ]

相關推薦

Ubuntu工具tcpdump

Ubuntu預設是安裝好了tcpdump工具的,如果沒有安裝的話使用sudo apt-get install tcpdump即可安裝。 (如果遇到tcpdump: no suitable device found的問題,檢查一下是不是在用root許可權執行tcpdump,tcpdump只能在root許可權下

工具tcpdump用法說明

mac ive 方向 接口 res 分析 方式 interface tcp 本文目錄: 1.1 tcpdump選項 1.2 tcpdump表達式 1.3 tcpdump示例 tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在靈活的表達式上。 不帶任

監控io性能、free、ps命令及netstat命令、工具tcpdump,tshark

20180507一、監控io性能iostat -x 關註%utiliotop 查看哪一個進程在進行讀寫 二、free命令(查看內存使用)-m -h-gbuff 緩沖(cpu處理完的數據 > 內存 (buff)> 磁盤)cache 緩存(磁盤 >內存(cache) >cpu處理數據)公

詳解Android/IOS平臺工具使用以及取API介面

抓包工具 Charles 主機允許代理模式 客戶端設定代理 截獲資料包 HTTPS 模仿一個app

linux工具-tcpdump用法說明

抓包工具tcpdump基本使用 tcpdump採用命令列方式對介面的資料包進行篩選抓取,其豐富特性表現在靈活的表示式上。 不帶任何選項的tcpdump,預設會抓取第一個網路介面,且只有將tcpdump程序終止才會停止抓包。 例如: shell> tcpdump -nn

工具tcpdump

簡介 tcpdump可以抓取指定規則的流量包,並按要求儲存或者解析列印,可以通過 and、not、or等邏輯語 拼出多個條件的命令,抓取符合要求的流量資料 資料儲存到檔案 # -w儲存資料到檔案,檔名字尾為.pcap #可以儲存80埠的tcp流量,1000條 儲

Mac工具Fiddler的安裝

Fiddler簡介 Fiddler是一個http協議除錯代理工具,它能夠記錄並檢查所有你的電腦和網際網路之間的http通訊,設定斷點,檢視所有的“進出”Fiddler的資料(指cookie,html,js,css等檔案)。 Fiddler 要比其他的網路偵錯程式要更加簡單,因為它不僅僅暴露h

Linux命令tcpdump的使用

在linux下,可以使用 tcpdump 命令來抓取資料包。 主要用法如下: 過濾網絡卡 tcpdump -i eth0 #抓取所有經過網絡卡eth0資料包 tcpdump -i lo #抓取環回口的資料包 過濾主機/IP tcpdump host 192.1

linux系統的工具tcpdump的使用

是windows系統下的wireshark工具的linux系統版本。 NAME         tcpdump - dump traffic on a network  SYNOPSIS     &nb

Android工具tcpdump使用教程(整理)

一、準備: 1. Android手機需要先獲得root許可權。一種是否獲得root許可權的檢驗方法:安裝並開啟終端模擬器(可通過安卓市場等渠道獲得)。在終端模擬器介面輸入su並回車,若報錯則說明未root,若命令提示符從$變#則為rooted; 2. 如果Android手機

Linux 工具 tcpdump

邏輯運算 端口號 eth1 方便 ESS out 與運算 通用 gre Linux 抓包工具 tcpdump 1、概述 用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。?

(轉)工具tcpdump用法說明

轉義 ref 抓包工具 ESS 切換 dir 連接 技術分享 win 本文原創地址在博客園:https://www.cnblogs.com/f-ck-need-u/p/7064286.html tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在

linuxtcpdump工具的安裝和使用

1.yum  install  tcpdump 2.檢視網絡卡名稱: ifconfig 3.監視指定網路介面的資料包  tcpdump -i ens33 4.也可以指定ip,例如截獲所有192.1

Android 使用tcpdump 工具

  在進行網路狀況分析的時候,tcpdump和wireshark是必不可少的工具,手機上進行網路分析也是如此。在此之前,我都是在手機上使用tcpdump抓包之後,儲存成一個.pacp檔案,之後再在PC上使用wireshark來進行分析。在看到了參考網站中的內容之後,發現其實還有更加簡便的方法,通過adb

Ubuntu 16.04安裝Fiddler工具(基於Mono,且會有BUG)

clas 新的 pan ddl chmod mon aid bsp code 說明:Fiddler官方提供了Mono版本的,但是只有2014版本的,不是最新的,並且運行期間會有BUG,比如界面錯亂卡死等等,但是勉強能代理,抓SSL的包,如果使用了要做好心理準備。將就一下還是

windows和linux工具

gpo tcpdump linu window clas dst post blog windows Linux 抓包工具 tcpdump 示例 tcpdump -i bond0 host 10.70.11.182 -w ./sms.cap windows抓包

tcpdump-工具-Linux

expr ret 效果 packet 返回 dump alt ping ati 環境:VMware-Workstation-12-Pro,Windows-10,CentOS-6.9-x86_64,Xshell5 基本介紹 tcpdump是Linux自帶的抓包工具,可以詳細看

tcpdump工具

ive link 簡單 網絡管理 直接 抓取 可擴展性 less read tcpdump抓包工具 一:TCPDump介紹 ? TcpDump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏

MAC最好用的工具--charles簡單操作教程

一、Charles介紹 給大家推薦一款在mac上我覺得很好用的抓包工具,再過去的半年中給我很大幫助,在工作學習中使用很方便。那麼什情況下我們會需要使用抓包工具呢,比如我想檢視一個介面請求的引數、返回值,還有移動裝置上的http請求、https請求,有了charles一下搞定,媽媽再也不用擔心我的

nmap掃描工具tcpdump工具的安裝和使用

掃描:以獲取一些公開的、非公開資訊為目的。檢測潛在的風險,查詢可攻擊的目標,收集 裝置、主機、系統、軟體資訊,發現可利用的漏洞。 掃描方式:主動探測(scan)、被動監聽嗅探(sniff)、抓包(capture) 常用的分析工具:掃描器(NMAP)、協議分析(tcpdumpWireShark) NMAP: