tcpdump轉用法解析

2021-06-19 20:48:47 字數 3017 閱讀 8051

cpdump筆記及個人經驗:

(by upkiller)

tcpdump的引數介紹

-a    將網路位址和廣播位址轉變成名字;

-d    將匹配資訊包的**以人們能夠理解的彙編格式給出;

-dd    將匹配資訊包的**以c語言程式段的格式給出;

-ddd    將匹配資訊包的**以十進位制的形式給出;

-e    在輸出行列印出資料鏈路層的頭部資訊;

-f    將外部的internet位址以數字的形式列印出來;

-l    使標準輸出變為緩衝行形式;

-n    不把網路位址轉換成名字;

-t    在輸出的每一行不列印時間戳;

-v    輸出乙個稍微詳細的資訊,例如在ip包中可以包括ttl和服務型別的資訊;

-vv    輸出詳細的報文資訊;

-c    在收到指定的包的數目後,tcpdump就會停止;

-f    從指定的檔案中讀取表示式,忽略其它的表示式;

-i    指定監聽的網路介面;

-r    從指定的檔案中讀取包(這些包一般通過-w選項產生);

-w    直接將包寫入檔案中,並不分析和列印出來;

-t    將監聽到的包直接解釋為指定的型別的報文,常見的型別有rpc(遠端過程呼叫)和snmp(簡單網路管理協議)

-p         指定協議tcp,udp,icmp,arp

-s         指定捕獲數包字的大小,單位byte,預設96最大65536

可使用關鍵字:

協議,-p tcp,udp,icmp,arp等

資料報:dst,src,port,dst port,src port,host

運算子:or and not(!)

多條件:dst \(172.16.1.1 or 172.16.1.13 \) 用括號及\轉義

在進行嗅探的時候,必須置於混雜模式才能嗅探,系統會有日誌記錄

grep "promiscuous" /var/log/messages //混雜模式

用tcpdump捕獲的tcp包的一般輸出資訊是:

src.port > dst.port: flags data-seq ack win urgent options

src.port > dst.port: 源位址.源埠 到 目的位址.目的埠

flags:                 tcp包中的標誌資訊,s 是syn標誌, f (fin), p (push)

r (rst) "." (沒有標記)

data-seq:      是資料報中sequence number(順序號碼)

ack:              acknowledge number(確認號碼)

window是接收快取的視窗大小,

urgent表明資料報中是否有緊急指標.

注tcp標誌位:

syn(synchronous建立聯機) ack(acknowledgement 確認)

psh(push傳送) fin(finish結束) rst(reset重置) urg(urgent緊急)

檢視icmp包:

1,tcpdump -i eth0 -p icmp    (and src 192.168.1.***)

檢視廣播包:

2,tcpdump -i eth0 -p broadcast

檢視arp包

3,tcpdump -i eth0 -p arp

4,tcpdump -x -i eth0 -p tcp port 21 //嗅探21埠資料並解包

獲取ftp密碼例項:

tcpdump -x -i eth0 -p tcp port 21 > 21.log &

cat 21.log | grep "user\."

cat 21.log | grep "pass\."

更精確的嗅探:

嗅探從172.16.1.1到172.16.1.2埠為21的資料報:

tcpdump -i eth0 -x -tnn -p tcp and src 172.16.1.1 and dst 172.16.1.2 and port 21

5.tcpdump -x -n -p tcp dst port 80 //嗅探80埠資料,並解包 (加-t就不顯示時間)

6.tcpdump -i eth0 host 202.96.128.68 //指定主機

7,//嗅探從172.16.1.2到172.16.1.1 或者172.16.1.13的資料報

tcpdump -i eth0 -tnn src 172.16.1.2 and dst \(172.16.1.1 or 172.16.1.13 \)

8,利用tcpdump統計各類資料報:

//統計1000個資料報中的ip連線量,並按從多到少的順序排序,列出前3名

tcpdump -i ethp -tnn -c 1000 | awk -f "." "' | sort | uniq -c |sort -nr | head -n 3//按從大到小的順

序排序並列出並三名

tcpdump -i ethp -tnn -c 1000 | awk -f "." "' | sort | uniq -c | awk '$1 > 100'//顯示大於100資料報

sort:排序 -nr 從大到小 -rn 從小到大

uniq -c:過濾重複並在前面列印重複的行數

awk '$1 > 100':如果$1引數(數字)大於100

head -n 3:顯示頭3行

9,tcpdump -i eth0 -tnn host 192.168.1.100 and -p tcp or udp or icmp    //嗅探所有 tcp,udp,icmp訊息所不轉換網路名稱(加快速度)

10,嗅探dhcp伺服器的ip(捕獲非法dhcp server):

tcpdump -i eth0 -tnn port 67

然後用dhclient eth0進行dhcp請求,捉dhcp server的ip位址

或者直接看日誌啦cat /var/messages | grep "dhcpack from"

tcpdump命令解析

根據使用者的定義對網路上的資料報進行截獲的包分析工具tcpdump 可以將網路中傳送的資料報的 頭 完全截獲下來提供分析。它支援針對網路層 協議 主機 網路或埠的過濾,並提供 and or not等邏輯語句來幫助你去掉無用的資訊。tcpdump 普通情況下,直接啟動tcpdump 將監視第乙個網路介...

Tcpdump用法詳解

第一種是關於型別的關鍵字,主要包括host,net,port,例如 host 210.27.48.2,指明 210.27.48.2是一台主機,net 202.0.0.0 指明 202.0.0.0是乙個網路位址,port 23 指明埠號是23。如果沒有指定型別,預設的型別是host.第二種是確定傳輸方...

1 vue router跳轉用法詳解

首先要安裝vue router,利用npm進行安裝 npm install vue router或者cnpm install vue router顯示url的內容,也可寫成 user 導航 在component資料夾新建about.vue home.vue檔案,按照預設模版 在router資料夾下新...