tcpdump 抓包使用小結

2022-06-25 19:36:08 字數 2502 閱讀 7343

下面的例子全是以抓取 eth0 介面為例,如果不加」-i eth0」 是表示抓取所有的介面包括 lo

123


4567


891011


1213


1415


1617


1819


2021


2223


2425


2627


2829


3031


3233


3435


3637


3839


4041


4243



# 抓取包含 172.16.1.122 的資料報  


tcpdump -i eth0 -vnn host 172.16.1.122 


# 抓取包含 172.16.1.0/24 網段的資料報 


tcpdump -i eth0 -vnn net 172.16.1.0/24 


# 抓取包含埠 22 的資料報 


tcpdump -i eth0 -vnn port 22 


# 抓取 udp 協議的資料報 


tcpdump -i eth0 -vnn udp 


# 抓取 icmp 協議的資料報 


tcpdump -i eth0 -vnn icmp 


# 抓取 arp 協議的資料報 


tcpdump -i eth0 -vnn arp 


# 抓取 ip 協議的資料報 


tcpdump -i eth0 -vnn ip 


# 抓取源 ip 是 172.16.1.122 資料報。 


tcpdump -i eth0 -vnn src host 172.16.1.122 


# 抓取目的 ip 是 172.16.1.122 資料報 


tcpdump -i eth0 -vnn dst host 172.16.1.122 


# 抓取源埠是 22 的資料報 


tcpdump -i eth0 -vnn src port 22 


# 抓取源 ip 是 172.16.1.253 且目的 ip 是 22 的資料報 


tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22 


# 抓取源 ip 是 172.16.1.122 或者包含埠是 22 的資料報 


tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22 


# 抓取源 ip 是 172.16.1.122 且埠不是 22 的資料報 


tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22 


# 抓取源 ip 是 172.16.1.2 且目的埠是 22,或源 ip 是 172.16.1.65 且目的埠是 80 的資料報。 


tcpdump -i eth0 -vnn \( src host 172.16.1.2 and dst port 22 \) or \( src host 172.16.1.65 and dst port 80 \) 


# 抓取源 ip 是 172.16.1.59 且目的埠是 22,或源 ip 是 172.16.1.68 且目的埠是 80 的資料報。 


tcpdump -i eth0 -vnn 'src host 172.16.1.59 and dst port 22' or 'src host 172.16.1.68 and dst port 80' 


# 把抓取的資料報記錄存到 / tmp/fill 檔案中,當抓取 100 個資料報後就退出程式。 


tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100 


# 從 / tmp/fill 記錄中讀取 tcp 協議的資料報 


tcpdump –i eth0 -vnn -r /tmp/fil1 tcp


# 從 / tmp/fill 記錄中讀取包含 172.16.1.58 的資料報 


tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58 


# 抓取目的位址範圍是 10 網段


tcpdump -i any -nn 'ip[16] == 10'


# 抓取目的位址範圍是 192.168.1.10 ~ 192.168.1.100


tcpdump -i any -nn 'ip[16] == 192 and ip[17] == 168 and ip[18] == 1 and ip[19] > 9 and ip[19] < 101'


# 儲存 10000 個資料報過濾條件為 443 埠,並解析** ip


tcpdump -i any -nn -c 10000 port 443 > tcpdump.log


cat tcpdump.log | awk '' |awk -f '.' ''| sort | uniq -c | sort -rn

Tcpdump抓包命令使用

tcpdump命令需要使用root執行 檢視網絡卡命令 ifconfig 監視編址到指定埠的tcp或udp資料報,那麼執行以下命令 tcpdump i eth0 host 10.43.159.11 and port 8983 輸出資訊到檔案 tcpdump i eth0 host 10.43.159...

pfsense使用tcpdump抓包

前言 pfsense自帶有tcpdump抓包工具,根據版本的不同,區別在於老版本的可能不支援某些tcpdump的引數。使用之前可以檢視tcpdump help檢視支援的引數,在進一步進行配置。一 登入pfsense的web介面,開啟ssh。二 防火牆放行ssh。三 使用putty登入pfsense,...

使用 tcpdump 工具抓包

tcpdump 是一款 linux 平台的網路資料報截獲和分析工具,支援針對協議 主機 網口 埠等進行過濾。並且可以使用 and or not 等邏輯語句對過濾器進行組合,實現針對性截獲。使用 i 引數指定監聽的網口。不指定預設監聽第乙個 所以通常來講,這個引數都需要指定,因為不指定很可能抓不到,而...