zoukankan      html  css  js  c++  java

  • linux之tcpdump命令

    tcpdump

    tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具

    tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

    参数如下:

    -a 尝试将网络和广播地址转换成名称。
-c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e 在每列倾倒资料上显示连接层级的文件头。
-f 用数字显示网际网络地址。
-F<表达文件> 指定内含表达方式的文件。
-i<网络界面> 使用指定的网络截面送出数据包。
-l 使用标准输出列的缓冲区。
-n 不把主机的网络地址转换成名字。
-N 不列出域名。
-O 不将数据包编码最佳化。
-p 不让网络界面进入混杂模式。
-q 快速输出,仅列出少数的传输协议信息。
-r<数据包文件> 从指定的文件读取数据包数据。
-s<数据包大小> 设置每个数据包的大小。
-S 用绝对而非相对数值列出TCP关联数。
-t 在每列倾倒资料上不显示时间戳记。
-tt 在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
-v 详细显示指令执行过程。
-vv 更详细显示指令执行过程。
-x 用十六进制字码列出数据包资料。
-w<数据包文件> 把数据包数据写入指定的文件。

    具体用法:

     第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&;或运算 是'or' ,'||';这些关键字可以组合起来构成强大的组合条件来满足人们的需要
注意,tcpdump只能抓取流经本机的数据包。
    # 查看tcpdump版本
  tcpdump -h
    
# 查询可以使用的网卡
  tcpdump     -D

    # 监视指定网络接口的数据包
    tcpdump -i eth0

    # 监视指定主机的数据包,例如监视从eth0网络接口进入、离开的172.16.40.6主机的包,-c指定抓取条目
    tcpdump -i eth0 host 172.16.40.6 -c 5

    # -w 把抓取到的数据存放到文件中供以后分析,可以使用wireshark来查看
    tcpdump -i eth0 host 172.16.40.6 -c 5 -w aa.pcap

    # 截获主机172.16.40.2除了和主机172.16.40.24之外所有主机的通信的ip包
    tcpdump ip host 172.16.40.2 and not 172.16.40.24

    # 监视指定主机和端口的数据包
    tcpdump tcp port 22 and host 172.16.40.24

    # 截获主机172.16.40.24发送的所有数据
    tcpdump src host 172.16.40.24

    # 监视所有发送到主机172.16.40.24的数据包
    tcpdump dst host 172.16.40.24

    # 抓取从172.16.40.24传送到本机8000端口的数据包,即从172.16.40.24上访问本机8000端口:
    tcpdump host 172.16.40.24 and dst port 8000

    # 抓取本机返回22端口到172.16.40.24上的数据包
    tcpdump host 172.16.40.24 and src port 22

    # 多条件查询
    tcpdump -i enp0s31f6 host ! 172.16.40.6 and not 172.16.40.2 and src port 8000
  • 相关阅读:
    python3.6下安装wingIDE破解方法
    Python 列表list 和 字符串str 互转
    c# 读取txt文件并分隔
    基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系
    Jquery ajax动态更新下拉列表的内容
    vs2015使用技巧-------- 查看类关系图
    Dapper 批量操作sql
    Linq批量建表
    WebRequest的get及post提交
    git -- 常用命令
  • 原文地址:https://www.cnblogs.com/douh/p/12605166.html
Copyright © 2011-2022 走看看