其他
linux 之抓包神器 tcpdump ~
责编:中文妹 | 来源:网络
tcpdump介绍
tcpdump语法
tcpdump参数
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字;
-nn: 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-p: 将网卡设置为非混杂模式,不能与host或broadcast一起使用
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-X 告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。
监听所有端口,直接显示 ip 地址
显示更详细的数据报文,包括 tos, ttl, checksum 等。
显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出。
host: 过滤某个主机的数据报文
src, dst: 过滤源地址和目的地址
> tcpdump dst 1.2.3.4
net: 过滤某个网段的数据
过滤某个协议的数据,支持 tcp, udp 和 icmp
过滤通过某个端口的数据报
src/dst, port, protocol: 结合三者
> tcpdump udp and src port 25
抓取指定范围的端口
通过报文大小过滤请求,数据报大小,单位是字节
> tcpdump greater 128
> tcpdump > 32
> tcpdump <= 128
抓包输出到文件
从文件读取报文显示到屏幕
源地址是 192.168.1.110,目的端口是3306的数据报
从 192.168 网段到 10 或者 172.31 网段的数据报
tcpdump 的输出解读
192.168.1.110.40411 > 192.168.1.123.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0
21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44)
192.168.1.123.80 > 192.168.1.110.40411: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0
21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40)
192.168.1.110.40411 > 192.168.1.123.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0
[.]: 没有 Flag
[P]: PSH(推送数据)
[F]: FIN (结束连接)
[R]: RST(重置连接)
声明:本文部分素材转载自互联网,如有侵权立即删除 。
往期精彩
喜欢本文的朋友们,欢迎长按下图,关注订阅号Linux中文社区
收看更多精彩内容