tcpdump使用心得

参考原文 https://danielmiessler.com/p/tcpdump/

几个用例

复制代码
tcpdump -i eth0
显示eth0网卡当前所有的抓包情况

eth0是网卡名,可以通过ifconfig获得,也可以通过 tcpdump -D 显示当前可以监听的网卡
-i 参数表示接口,后跟要监听的网卡

复制代码
tcpdump -nnSX port 443
抓https的包

显示结果
04:45:40.573686 IP 78.149.209.110.27782 > 172.30.0.144.443: Flags [.], ack 
278239097, win 28, options [nop,nop,TS val 939752277 ecr 1208058112], length 0
    0x0000:  4500 0034 0014 0000 2e06 c005 4e8e d16e  E..4........N..n
    0x0010:  ac1e 0090 6c86 01bb 8e0a b73e 1095 9779  ....l......>...y
    0x0020:  8010 001c d202 0000 0101 080a 3803 7b55  ............8.{U
    0x0030:  4801 8100

-nn 表示不要解析ip和域名,直接显示ip和port的数字
-s 表示TCP包的seq number显示绝对值而不是相对值
-X 数据用十六进制和ACSII码形式显示
port 443 指定打印443端口的包,443对应https的端口
04:45:40.573686 抓包的时间戳
78.149.209.110.27782 > 172.30.0.144.443 数据源IP.端口 > 数据目标IP.端口
win 28 滑动窗口还能放28个字节的数据
options nop,nop,TS val 3528741631 ecr 3165963134 TS val表示timestamp value, ecr表示Echo Reply
length 0 包的长度为0

-c {n} 指定接下来看n个包

复制代码
tcpdump -A -i eth0 'port http or port ftp or port telnet' | grep -i 'user\|pass\|login'
抓取未加密协议中的用户名密码信息

-A 用ACSII码形式显示抓取的报文
port http 抓取http协议的报文,通过指定port, 也可以指定host, 或者src/dst

根据域名过滤
复制代码
tcpdump -i eth0 dst host suspicious.com

dst host suspicious.com 过滤目的域名为 suspicious.com

根据IP范围过滤
复制代码
tcpdump -i enp10s0 net {IP_RANGE}

IP范围的写法

复制代码
1. CIDR写法
tcpdump -ni igb1 src net 172.16.0.0/12
表示匹配172.16.0.0的前12位,详细可以看https://docs.netgate.com/pfsense/en/latest/network/cidr.html
2. 点对数字
tcpdump -ni igb1 net 192.168.1
表示匹配192.168.1.x的ip
tcpdump -ni igb1 net 10
表示匹配10.x.x.x的IP
根据端口范围过滤
复制代码
tcpdump  portrange 21-23
根据协议过滤
复制代码
tcpdump -ni igb1 tcp port 80
过滤tcp协议的http端口,根据端口和协议
tcpdump -ni igb1 port 53
过滤DNS流浪,根据端口
tcpdump -ni igb1 proto \\icmp
指定proto关键字,后面的协议要加双斜线来转义
tcpdump -ni igb1 not proto \\carp
可以加not来表示不过滤指定的协议

not, and, or等逻辑表达可以用在host, src, proto等各个字段

根据tcp header的flag过滤
复制代码
tcpdump 'tcp[13] = 41'
flag位于第13个字节,41表示RESET-ACK同时为1
根据报文大小过滤
复制代码
tcpdump 'len > 32 and len < 64'
结果写入到pcap文件
复制代码
tcpdump  port 80 -w capture_file
相关推荐
IpdataCloud3 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
xy34534 小时前
wireshark 如何捕获信息
网络·测试工具·渗透测试·wireshark
玖玥拾5 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
一个有温度的技术博主7 小时前
【VulnHub 实战】DC-1 靶机渗透测试笔记(一):信息收集与主机发现
服务器·网络·笔记
白帽小阳7 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
hehelm9 小时前
Linux网络编程—TCP字典翻译系统
linux·开发语言·网络·c++·tcp/ip
持力行9 小时前
D-BUS会话总线
运维·网络
pt10439 小时前
思科网络自动化-API常用数据编码格式(JSON/XML/YAML)课程与实践
linux·服务器·网络
糖果店的幽灵10 小时前
安全测试从入门到精通_网络基础与HTTPS
网络·https·php