Linux命令–tcpdump详解

tcpdump是工作中必用的一道指令,如果熟悉掌握,将会很快的帮你解决问题!文章写的有点多,但是我认为都很有用!

先看看tcpdump的具体参数及意义:

-i:指定tcpdump监听的网络接口

-s:指定要监听数据包的长度

-c:指定要监听的数据包数量,达到指定数量后自动停止抓包

-w:指定将监听到的数据包写入文件中保存

-A:指定将每个监听到的数据包以ACSII可见字符打印

-n:指定将每个监听到数据包中的域名转换成IP地址后显示

-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

-e:指定将监听到的数据包链路层的信息打印出来,包括源mac和目的mac,以及网络层的协议

-p:将网卡设置为非混杂模式,不能与host或broadcast一起使用

-r:指定从某个文件中读取数据包

-S:指定打印每个监听到的数据包的TCP绝对序列号而非相对序列号

OK,参数介绍先到这里,下面看几个具体例子

先来看一个比较基本的用法:

#tcpdump -i eth0
@eth0为参数值,表示需要抓包的网口,这是个必需参数哦。

tcpdump支持很多的关键字,下面先看几个例子:

#tcpdump -i eth0 host 192.168.0.250 
@在网口eth0上抓取主机地址为192.168.0.250的所有数据包。
#tcpdump -i eth0 net 192.168.0.0/24 
@在网口eth0上抓取网络地址为192.168.0.0/24的所有数据包
​#tcpdump -i eth0 port 80 
@在网口eth0上抓取端口为80的所有数据包(注意,这里不区分是源端口还是目的端口)
当然,我们也可以指定源端口或目的端口
#tcpdump -i eth0 src port 80 and dst port 6100
@在网口eth0上抓取源端口为80且目的端口为6100的数据包,这里用到了and逻辑运算符,后面再介绍
#tcpdump -i eth0 icmp 
@在网口eth0上抓取所有icmp协议的数据包
以上几个例子,可以大致体现出tcpdump的基本用法。

实际上,tcpdump主要包括三种类型的关键字,第一种是关于类型的关键字,主要包括host,net,port,如上面的例(1)(2)(3),第二种是确定传输方向的关键字,主要包括src,dst,src or dst,src and dst,这些关键字指明了传输的方向,如上面的例(4)。第三种是协议关键字,包括fddi,ip,arp,rarp,tcp,udp,imcp等,如上面的例(5)。

除了这三种类型的关键字外,还有其他重要的关键字,如:gateway,broadcast,less,greater,还有三种逻辑运算,取非运算是‘not’、‘!’,与运算符是‘and’、‘&&’、

或运算符是‘or’、‘||’,这些关键字可以组合起来构成强大的组合条件来满足我们的需求。

#tcpdump -i eth0 -s 1400 -nn host 192.168.0.250 and ! 192.168.0.74 and icmp -e
@抓取网口eth0上192.168.0.250与除192.168.0.74外的其他主机之间的icmp报文
#tcpdump -i eth0 -s 1400 -nn tcp and \(host 192.168.0.250 and ! 192.168.0.74\)
@抓取网口eth0上192.168.0.250与除192.168.0.74外的所有tcp数据包,
这里用到了括号,注意,在tcpdump中使用括号时必须用转义
#tcpdump -i eth0 ether src or dst 00:21:85:6C:D9:A3
@抓取网口eth0上源mac地址或目的mac地址为00:21:85:6C:D9:A3的所有数据包,
注意,这里的mac地址格式必须以':'分隔。

2017-06-20更新

#tcpdump -nn -c 100          
-c:指定抓包数量为100
#tcpdump -nn -i eth1         
-i:指定网卡为eth1
#tcpdump -nn port 80          
port:指定端口为80
#tcpdump -nn tcp and port 80          
:指定抓取类型为tcp且端口为80
#tcpdump -nn tcp and port 80 and host 221.212.212.24          
:指定抓取类型为tcp且端口为80 且来源ip为221.212.212.24的包
#tcpdump -nn tcp and port 80 and host 221.212.212.24 -w 1.cap          
:指定抓取类型为tcp且端口为80 且来源ip为221.212.212.24的包并保存在1.cap
#tcpdump -r 1.cap            
:查看数据包的流向(但是不可以使用cat直接查看)
#tcpdump -nn tcp and port 80 and host 221.212.212.24 > 2.cap          
:指定抓取类型为tcp且端口为80 且来源ip为221.212.212.24的包并重定向到2.cap
#cat 2.cap                  
:即可查看
#tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"​ 
@首先要启动80端口,nginx或者httpd都可以,然后你还要一边抓包一边在浏览器里访问它。
(如上命令,即可显示实时的网页浏览状况,) 

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏落影的专栏

为何百兆静态库能打进数兆的可执行文件?

前言 第三方库是工程开发必不可少的部分,而第三方库可以是.a和.framework的静态库,也可以是.framework的动态库,其中静态库是最常用的方式。 ...

5068
来自专栏JAVA技术zhai

干货:Java并发编程系列之volatile(二)

2204
来自专栏极客猴

os.path 模块用法详解

总所周知,Windows 操作系统和 Linux 系统存在很多不兼容的地方。文件路径就是一个明显的例子。在 Linux 中,路径的分割采用正斜杠 "/",比如 ...

923
来自专栏深度学习计算机视觉

java多线程通信方式

1、同步 通过synchronized关键字这种方式来实现线程间的通信。 (学Linux的时候学过共享内存通信,在C中通过全局变量也行,虽然java木有) ...

3845
来自专栏栗霖积跬步之旅

java多线程编程核心技术——第三章总结

第一节等待/通知机制 1.1不使用等待/通知机制实现线程间的通讯 1.2什么是等待/通知机制 1.3等待/通知机制的实现 1.4方法wait()锁释放与noti...

22310
来自专栏北京马哥教育

Linux自动化运维工具之ansible(二)

糖豆贴心提醒,本文阅读时间8分钟 YAML简介 YAML是一个可读性高的用来表达资料序列的格式。 YAML参考了其他多种语言,包括:XML、C语言、Pytho...

2786
来自专栏PhpZendo

MVC 框架中的路由器(Router)是如何跑起来的

MVC 路由器(Router)或分发器(Dispatcher)会检测 HTTP 请求的 URL,并尝试将单个 URL 组件与控制器和控制器中定义的方法匹配,同时...

1011
来自专栏古时的风筝

Java 开发, volatile 你必须了解一下

1002
来自专栏林欣哲

区块链开发之Go语言—文件系统

处理的文件名 path库 filepath库 查看文件的元信息 os.Stat os.Lstat 操作临时文件区域 os.TempDir os — 平台无关的操...

3898
来自专栏刘望舒

Android事件总线(四)源码解析otto

Android事件总线(一)EventBus3.0用法全解析 Android事件总线(二)EventBus3.0源码解析 Android事件总线(三)otto用...

22310

扫码关注云+社区

领取腾讯云代金券