从零开始掌握tcpdump:参数详解

Linux tcpdump命令详解

1. 语法
bash 复制代码
tcpdump [-adeflnnNOpqStvxX] [-c <数据包数目>] [-dd] [-ddd] [-F <表达文件>] [-i <网络界面>] [-r <数据包文件>] [-s <数据包大小>] [-tt] [-T <数据包类型>] [-vv] [-w <数据包文件>] [输出数据单位]
2. 参数说明
  1. -a 尝试将网络和广播地址转换成名称。

    • 示例

      bash 复制代码
      tcpdump -a -i eth0

      将捕获到的eth0接口的网络和广播地址转换为名称显示。

  2. -c <数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。

    • 示例

      bash 复制代码
      tcpdump -c 10 -i eth0

      捕获10个eth0接口上的数据包后停止。

  3. -d 把编译过的过滤包编译转换成可读的格式,并倾倒到标准输出。

    • 示例

      bash 复制代码
      tcpdump -d -i eth0

      显示编译过的过滤表达式。

  4. -dd 把编译过的过滤包编译转换成C语言的格式,并倾倒到标准输出。

    • 示例

      bash 复制代码
      tcpdump -dd -i eth0

      以C语言格式显示编译过的过滤表达式。

  5. -ddd 把编译过的过滤包编译转换成十进制数字的格式,并倾倒到标准输出。

    • 示例

      bash 复制代码
      tcpdump -ddd -i eth0

      以十进制格式显示编译过的过滤表达式。

  6. -e 在每列倾倒的资料上显示连线层级的文件头。

    • 示例

      bash 复制代码
      tcpdump -e -i eth0

      显示eth0接口上的数据包的以太网头部信息。

  7. -f 用数字显示网际网路地址。

    • 示例

      bash 复制代码
      tcpdump -f -i eth0

      用数字格式显示IP地址。

  8. -F <表达文件> 指定内容表达方式的文件。

    • 示例

      bash 复制代码
      tcpdump -F filter.txt -i eth0

      使用filter.txt中的表达方式过滤eth0接口上的数据包。

  9. -i <网络界面> 使用指定的网络接口送出数据包。

    • 示例

      bash 复制代码
      tcpdump -i eth0

      捕获eth0接口上的数据包。

  10. -l 使用标准输出的缓冲区。

    • 示例

      bash 复制代码
      tcpdump -l -i eth0

      将输出行缓冲。

  11. -n 不把主机的网络地址转换成名称。

    • 示例

      bash 复制代码
      tcpdump -n -i eth0

      不转换主机名。

  12. -N 不列出域名。

    • 示例

      bash 复制代码
      tcpdump -N -i eth0

      不解析主机名的域名部分。

  13. -O 不将数据包编码器最佳化。

    • 示例

      bash 复制代码
      tcpdump -O -i eth0

      禁用优化。

  14. -p 不让网络界面进入混杂模式。

    • 示例

      bash 复制代码
      tcpdump -p -i eth0

      使eth0接口不进入混杂模式。

  15. -q 快速输出,仅列出少数的传输协议信息。

    • 示例

      bash 复制代码
      tcpdump -q -i eth0

      简单快速输出数据包的信息。

  16. -r <数据包文件> 从指定的文件读取数据包数据。

    • 示例

      bash 复制代码
      tcpdump -r file.pcap

      file.pcap文件读取数据包。

  17. -s <数据包大小> 设置每个数据包的大小。

    • 示例

      bash 复制代码
      tcpdump -s 1024 -i eth0

      捕获eth0接口上前1024字节的数据包。

  18. -S 用绝对而非相对数值列出TCP序列号。

    • 示例

      bash 复制代码
      tcpdump -S -i eth0

      以绝对序列号显示TCP序列号。

  19. -t 在每列倾倒资料上不要显示时间戳记。

    • 示例

      bash 复制代码
      tcpdump -t -i eth0

      不显示时间戳。

  20. -tt 在每列倾倒资料上显示未经过格式化的时间戳记。

    • 示例

      bash 复制代码
      tcpdump -tt -i eth0

      显示未经格式化的时间戳。

  21. -T <数据包类型> 强制将表达方式所指的类型的数据信息转换成该数据包类型。

    • 示例

      bash 复制代码
      tcpdump -T rpc -i eth0

      将捕获的eth0接口上的数据包解释为RPC数据包。

  22. -v 详细显示指令执行过程。

    • 示例

      bash 复制代码
      tcpdump -v -i eth0

      详细显示捕获数据包的信息。

  23. -vv 更详细显示指令执行过程。

    • 示例

      bash 复制代码
      tcpdump -vv -i eth0

      更详细地显示数据包信息。

  24. -x 用十六进制字码列出数据包资料。

    • 示例

      bash 复制代码
      tcpdump -x -i eth0

      以十六进制格式显示eth0接口上的数据包内容。

  25. -X 用十六进制和ASCII码列出数据包资料。

    • 示例

      bash 复制代码
      tcpdump -X -i eth0

      以十六进制和ASCII码显示eth0接口上的数据包内容。

  26. -w <数据包文件> 把数据包资料写入到指定的文件。

    • 示例

      bash 复制代码
      tcpdump -w file.pcap -i eth0

      将捕获的eth0接口上的数据包写入file.pcap文件。

3. 使用tcpdump的详细抓包示例

捕获eth0接口上TCP协议的HTTP请求,并保存到文件http_requests.pcap中。

  1. 运行tcpdump命令

    bash 复制代码
    tcpdump -i eth0 'tcp port 80' -w http_requests.pcap
    • 命令解释
      • -i eth0:指定网络接口eth0
      • 'tcp port 80':过滤条件,捕获TCP协议的80端口数据包(HTTP请求)。
      • -w http_requests.pcap:将捕获的数据包保存到文件http_requests.pcap中。
  2. 查看保存的数据包

    bash 复制代码
    tcpdump -r http_requests.pcap
    bash 复制代码
    reading from file http_requests.pcap, link-type EN10MB (Ethernet)
    10:00:00.000000 IP 192.168.1.2.54321 > 192.168.1.1.http: Flags [S], seq 0, win 65535, options [mss 1460,sackOK,TS val 123456 ecr 0,nop,wscale 7], length 0
    10:00:01.000000 IP 192.168.1.1.http > 192.168.1.2.54321: Flags [S.], seq 0, ack 1, win 65535, options [mss 1460,sackOK,TS val 123457 ecr 123456,nop,wscale 7], length 0
    10:00:02.000000 IP 192.168.1.2.54321 > 192.168.1.1.http: Flags [.], ack 1, win 65535, options [nop,nop,TS val 123458 ecr 123457], length 0
相关推荐
qq_433618441 分钟前
shell 编程(三)
linux·运维·服务器
苹果醋39 分钟前
2020重新出发,MySql基础,MySql表数据操作
java·运维·spring boot·mysql·nginx
两张不够花11 分钟前
Jenkins 持续集成部署
运维·jenkins
Tlzns23 分钟前
Linux网络——UDP的运用
linux·网络·udp
码农土豆29 分钟前
PaddlePaddle飞桨Linux系统Docker版安装
linux·docker·paddlepaddle
Hacker_xingchen33 分钟前
天融信Linux系统安全问题
linux·运维·系统安全
丘狸尾35 分钟前
[cisco 模拟器] ftp服务器配置
android·运维·服务器
黑客老陈43 分钟前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
张暮笛44 分钟前
抓取手机HCI日志
linux
大猫和小黄1 小时前
Windows、CentOS环境下搭建自己的版本管理资料库:GitBlit
linux·服务器·windows·git