tcpdump簡單使用

2021-10-21 02:09:09 字數 2240 閱讀 2910

1.基本命令


(1)列出可監控的網絡卡介面(any包含所有active的介面)


tcpdump --list-inte***ces


tcpdump -d


(2)監控any介面且只輸出前5條記錄(-c引數-count)


tcpdump -i any -c 5


(3)預設tcpdump會將ip/port解析為name,禁用該解析(-n和-nn引數),防止dns查詢


tcpdump -i any -c5 -nn


2.輸出說明


tcpdump可以抓取和解析各種不同的協議,如tcp, udp, icmp等等。


具體可以參考:


以tcp為例,通常是返回下面這種格式:


08:41:13.729687 ip 192.168.64.28.22 > 192.168.64.1.41916: flags [p.], seq 196:568, ack 1, win 309, options [nop,nop,ts val 117964079 ecr 816509256], length 372


說明:(1)08:41:13.729687:代表接收到該資料報的時間戳(本地時鐘)


(2)ip:代表網路層協議,這裡指ipv4,如果是ipv6,則顯示ip6


(5)flags [p.]:tcp flags,這裡也可以是組合在一起的值,比如[s.]代表syn-ack包


value flag type description


s syn connection start


f fin connection finish


p push data push


r rst connection reset


. ack acknowledgment


(6)seq 196:568:這次捕獲的資料報包含位元組從196位元組到568位元組(this flow)


(8)win 309:代表接收緩衝區中可用的位元組數,


參考:(9)length 372:資料報長度,payload資料的位元組長度,即568 - 372


3.篩選資料報


(1)根據協議篩選:如篩選icmp的資料報,可以在另乙個終端中嘗試使用ping命令測試(ping基於icmp協議)


tcpdump -i any -c5 icmp


(2)根據主機篩選:抓取與指定主機通訊的資料報


tcpdump -i any -c5 -nn host 54.204.39.132


tcpdump -i any -c5 -nn port 80


(4)根據source ip/hostname篩選:


tcpdump -i any -c5 -nn src 192.168.122.98


tcpdump -i any -c5 -nn dst 192.168.122.98


(5)複雜表示式:如source ip為192.168.122.98且service http only或者更複雜一些


tcpdump -i any -c5 -nn src 192.168.122.98 and port 80


tcpdump -i any -c5 -nn "port 80 and (src 192.168.122.98 or src 54.204.39.132)"


4.檢查包內容


上面的都是檢查資料報頭(header)資訊。


tcpdump提供兩個額外標誌來檢視包內容:


-x 列印16進製制內容


-a 列印ascii內容


如: tcpdump -i any -c10 -nn -a port 80


這個對於跟蹤http的api呼叫有些作用,對於加密連線沒有太大作用


5.將捕獲內容儲存到檔案


這個很方便,比如我們可以以批處理模式捕獲夜裡資料報,方便第二天早晨做分析。


比如: tcpdump -i any -c10 -nn -w webserver.pcap port 80


webserver.pcap是我們儲存的檔案名字,.pcap字尾代表「packet capture」並且是約定的一種包檔案格式。


webserver.pcap是二進位制檔案,不能以文字方式瀏覽,需使用命令開啟:tcpdump -nn -r webserver.pcap。


比如: tcpdump -nn -r webserver.pcap src 54.204.39.132


持續捕獲源ip為54.204.39.132的資料報


附:tcpdump官網:


tcpdump手冊:


帶gui圖形介面: 或

48 tcpdump簡單使用

1 說明 tcpdump dump traffic on a network tcpdum option tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 tcpdump可以將網路中傳送的資料報的 頭 完全截獲下...

tcpdump使用詳解

tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資訊包的 以人們能夠理解的彙編格式給出 ...

tcpdump 日常使用

使用 i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,使用 c引數指定要監聽的資料報數量,使用 w引數指定將監聽到的資料報寫入檔案中儲存 a想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料報 tcpdump host 210.27.48.1 b想要截獲...