Linux抓包工具tcpdump

一、tcpdump抓包工具

1.命令格式解析

命令格式:tcpdump option proto dir type

proto(协议)

1.tcp、udp、icmp

2.ip、ipv6

3.arp

dir(数据的方向 )

1.src 192.168.7.130 只抓取源地址是7.130

2.dst 192.168.7.131 只抓取目的地是7.131

3.src 192.168.7.130 and dst 192.168.7.131 只抓取130到131之间的

type(抓取的数据类型)

1.host:主机

2.net:网段

3.port:端口

4.port range:端口范围

2.抓包

对网络接口抓包:tcpdump -i ens33

第一列:01:14:53.567488:时分毫秒

第二列:IP:网络协议ip

第三列:192.168.7.1.49322 >:发送方的IP地址+端口号发送数据流向给

第四列:localhost.localdomain.ssh:Flags .:主机名协议,主机名为localhost.localdomain,协议为ssh

第五列:确认号ack号、序号seq号、win窗口长度、tcp标志位

3.参数

|-------|-------------------------|
| 参数 | 功能 |
| -i | 指定监听网络监听端口 |
| -w | 将捕获信息保存到文件中,且不分析和打印在屏幕上 |
| -r | 读取上面存储的文件 |
| -n | 不把ip转换成域名,直接显示ip |
| -nn | 直接显示ip和端口号 |
| -t | 在每行的输出中,不显示时间 |
| -tt | 输出一个时间戳 |
| -ttt | 每行之间的时间间隔 |
| -tttt | 详细日期 |
| -v | 产生详细的输出 |
| -c | 指定收取数据包的数量 |
| -C | 需要与w配合使用,指定单个文件的大小 |
| -Q | 过滤数据包的方向 |
| -q | 简洁的输出 |
| -D | 显示所有可用的列表 |
| -s | 指定数据包的大小 |

4.实例

1.抓取源地址是10.0.0.6,目的地址是10.0.0.7,经过eth0网卡的icmp协议包

tcpdump -i eth0 -nn icmp and src host 10.0.0.6 and dst host 10.0.0.7

2.只监听TCP的数据包

tcpdump tcp

3.监听来自主机10.0.0.100在端口22上的TCP数据包

tcpdump tcp port 22 and src host 10.0.0.100

4.监听特定主机之间的通信

tcpdump ip src host 10.0.0.101 and 10.0.0.102

5.10.0.0.10和除了10.0.0.1之外的主机之间的通信

tcpdump ip host 10.0.0.101 and ! 10.0.0.1

6.抓取源地址为192.168.7.130,目的地址为192.168.7.131的数据流

tcpdump -i ens33 src 192.168.7.130 and dst 192.168.7.131

二、过滤规则

1.基于ip地址或网段过滤

1.host

当主机1ping主机2时只抓取目的地址是192.168.7.131有关的流量信息

tcpdump -i ens33 host 192.168.7.131

2.dst 选项 目的地址

tcpdump -i ens33 dst 192.168.7.131

3.src 选项 源地址

tcpdump -i ens33 src 192.168.7.131

4.net 选项

tcpdump net 192.168.7.130/24 -i ens33

2.基于端口过滤

1.port 端口号

抓取80端口

tcpdump -i ens33 port 80

2.抓取80或22端口

tcpdump -i ens33 port 80 or port 22

3.用范围抓取80和22端口

tcpdump -i ens33 portrange 80-22

3.基于协议过滤

应用层协议不可以直接抓取

1.tcpdump -i ens33 icmp

协议种类:ip、arp、icmp、tcp、udp

相关推荐
wdfk_prog9 小时前
嵌入式面试真题第 10 题:高优化等级下共享状态可见性、内存模型与系统级同步设计
java·linux·开发语言·面试·职场和发展·架构·c
x-cmd11 小时前
Mac 涨价后,本地 AI 还能千元入门吗?
linux·人工智能·macos·ai·agent·amd·本地ai入门
AOwhisky13 小时前
下一代容器来了?Docker 宣布原生支持 WebAssembly
java·运维·docker·容器·rust·wasm
摇滚侠17 小时前
Linux 零基础教程 09、11、77
linux·运维·服务器
Lottie202617 小时前
电商自动化提质增效:API接口落地的核心价值与实战用法
运维·自动化
Hardworking66619 小时前
第6章 数据工程
运维·服务器·数据库·数据工程
jieyucx19 小时前
Docker 入门第六阶段:综合实战项目
运维·docker·容器
美丽的欣情20 小时前
RK3588 Debian 交叉编译环境搭建(Windows + VMware Debian + CMake)
运维·windows·debian
嵌入式学习和实践20 小时前
嵌入式 Linux 调闭源 SDK 怕崩?用 dlopen 把第三方动态库库“隔离“起来
linux·三方库
小樱花的樱花20 小时前
Linux 多线程编程:互斥锁(Mutex)详解
linux·c语言·开发语言