系統監測工具tcpdump

tcpdump-一款經典的網路抓包工具

用過的命令：

sudo tcpdump -i eno1 tcp port 8079 and host 192.168.1.188 -x

tcpdump -n 使用ip位址表示主機，而不是主機名；使用數字表示埠號，而不是服務名稱 -i 指定要監聽的網絡卡介面，-i any 表示抓去所有網絡卡上的資料報 -v 輸出乙個稍微詳細的資訊，例如ttl和tos資訊 -t 不列印時間戳 -e 顯示網絡卡幀頭部資訊 -c 緊抓取指定數量的資料報 -x 以十六進製制數顯示資料報的內容，但不顯示包中乙太網幀的頭部資訊 -x 與-x類似，不過列印每個十六進製制位元組對應的ascii字元 -xx 與-x相同，不過還要列印乙太網幀的頭部資訊 -s 設定抓包時的抓取長度 -s 以絕對值來顯示tcp報文段的序號，而不是相對值 -w 將tcpdump的輸出以特殊的格式定向到某個檔案

-r 從檔案讀取資料報資訊並顯示

tcpdump net 1.2.3.0/24 # 抓取整個1.2.3.0/255.255.255.0網路上的資料報 tcpdump dst port 1234 # 抓取進入埠1234的資料報 tcpdump icmp # 抓取所有icmp資料報 tcpdump ip host host1 and not host2 # 抓取所有host1上的資料報而不是host2上的資料報 tcpdump src 10.0.0.1 and dst port 1234 or 22 # 抓取來自主機10.0.0.1並且埠號是1234或者22的包

tcpdump tcp[13]&2!=0 # 僅抓取tcp同步報文段

tcpdump表示式運算元：型別（type），方向（dir）和協議（proto）

1、型別：直譯器後面緊跟著的引數的含義。tcpdump支援的型別包括host、net、port和portrange。他們分別指定主機名（或ip位址），用cidr方法表示的網路位址、埠號以及埠範圍。比如抓取整個1.2.3.0/255.255.255.0網路上的資料報可以使用如下命令

tcpdump net 1.2.3.0/24

2、方向，src指定資料報的傳送端，dst指定資料報的目的端。比如要抓取進入埠13579的資料報，可以使用如下命令：

tcpdump dst port 13579

3、協議，指定目標協議。比如要抓取所有icmp資料報，可以使用如下命令：

tcpdump icmp

邏輯操作符：and、 or、 not、

比如抓取主機a和所有非b的主機之間交換的ip資料報，可以使用如下命令：

tcpdump ip host a and not b

如果表示式比較複雜，那麼我們可以使用括號將它們分組。不過在使用括號時，我們要麼使用反斜槓" \ "對它轉義，要麼用單引號「『」將其括住，以避免它被shell所解釋。

比如要抓取來自主機a ，目標埠是88或22的資料報，可以使用如下命令：

tcpdump 'src a and (dst port 88 or 22)'

此外，tcpdump還允許直接使用資料報中的部分協議欄位的內容來過濾資料報。

比如僅抓取tcp同步報文段，可使用如下命令：

tcpdump 'tcp[13] & 2 != 0'

這是因為tcp頭部的第14個位元組的第2個位正是同步標誌。該命令也可以表示為：

tcpdump 'tcp[tcpflags] & tcp-syn != 0'

系統監測工具tcpdump

Ubuntu系統監測工具

Linux系統網路抓包工具 tcpdump

Linux系統安全工具tcpdump用法

系統監測工具tcpdump

Ubuntu系統監測工具

Linux系統網路抓包工具 tcpdump

Linux系統安全工具tcpdump用法

相關推薦