tcpdump使用(转载)

1. tcpdump简介及安装

  Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

  Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。

2. tcpdump命令格式

  tcpdump是个命令行方式的网络嗅探器。他通过使用命令选项来过滤网卡截获的数据包,假如不进行过滤,过多数量的包会使网络管理员很难理清头绪。

2.1 tcpdump选项

  通过tcpdump --help或者man tcpdump或者info tcpdump查看tcpdump帮助说明文档,tcpdump的命令格式如下:

  • 抓包选项

  • 输出选项

  • 功能性选项

  • 其他

3. 使用tcpdump抓包实例

3.1 默认显示 tcpdump

默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。

3.2 综合示例

3.3 过滤主机

3.4 过滤端口

3.5 过滤协议

3.6 常用表达式:

在tcpdump的过滤表达式中,各类关键字之间还能够通过布尔运算符来构成组合表达式,以满足实际运用时的需要。

布尔运算符包括取非运算符(not 或!)、和运算符(and或&&)、或运算符(or或||),使用布尔运算符能够将表达式组合起来构成强大的组合条件,从而能够对 Tcpdump的过滤器做进一步细化。

3.7 保存到指定文件

通过组合不同的关键字和表达式,能够实现对任意网卡、协议、地址、端口数据包的过滤

3.8 其他相关命令

4. 抓包的格式理解

主要看来源IP和目标IP,这两列。
例如显示报文如下:
16:52:25.923003 IP 10.10.8.3.59557 > 192.168.0.139.22: Flags [.], ack 196, win 16324, length 0

转载原文链接

赞赏

微信赞赏支付宝赞赏

发表评论

邮箱地址不会被公开。 必填项已用*标注