- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業務經營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯網協會理事單位
- 安全聯盟認證網站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網數碼
相關文章
云南公布第二批免費向社會提供信息技術服務企業名單 云南省2019年國家網絡安全周在麗江啟動,藍隊云獲頒“最佳技術支持獎” 中國互聯網企業赴美上市規模預計今年或減半 云南省首屆互聯網網絡攻防演練大賽舉行 他們失敗的辛酸血淚史:億唐網、博客中國、酷6網、飯否
使用tcpdump抓包
2015-12-04 16:29:43
11215
Tcpdump 中的關鍵字主要有以下幾種
1.關于類型的關鍵字主要包括:host、net、port
2.確定傳輸方向的關鍵字主要包括:src、dst、dst or src、 dst and src。
3.第三種是協議的關鍵字,主要包括ip、arp、rarp、tcp、udp、icmp等類型。
4.其他重要的關鍵字:gateway, broadcast,less,greater。
5.三種邏輯運算:取非運算是not ,! ;與運算是and,&&;或運算 是or,││。多條件時可以用括號,但是要用轉義。
使用:
一.初級篇
1.抓取指定網卡
tcpdump -i eth0
如果不加 -i參數,默認抓取所有網卡的數據包,包括回環網卡lo。
可以用-D 參數查看可以抓取的網卡。
2.抓取指定數量的包
tcpdump -c 10 -i eth0
3.保存抓取到的數據包
tcpdump -w save.file -i eth0
抓取到的數據包可以用wireshark分析,要確認保存的目錄權限是777,否則會提示 Permission denied 。
4.讀取數包文件內容
tcpdump -r save.file
5.顯示ip地址和端口號
tcpdump -n -i eth0 顯示ip
tcpdump -nn -i eth0 顯示ip+端口
默認情況下抓包結果會顯示域名,端口會顯示對應的協議,例如8.8.8.8顯示為8-8-8-8.rev.net.com.sg,而22端口顯示為ssh
6.抓包結果中顯示時間戳
tcpdump -tttt -i eth0
7.抓取指定協議的數據包
tcpdump -p udp -i eth0
-p也可以省略,支持協議ip、ip6、arp、rarp、tcp、udp、icmp
8.抓取指定端口的數據包
tcpdump port 80
9.以ASCII值顯示抓到的包
tcpdum -A -i eth0
二.中級篇
1.抓取包含8.8.8.8的數據
tcpdump -i eth0 -vnn host 8.8.8.8
2.抓取包含8.8.8.8/24段的數據包
tcpdump -i eth0 -vnn net 8.8.8.8/24
3.抓取源ip是8.8.8.8的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8
4.抓取目的ip是8.8.8.8的數據包
tcpdump -i eth0 -vnn dst host 8.8.8.8
5.抓取源端口是22的數據包
tcpdump -i eth0 -vnn src port 22
6.抓取源ip是8.8.8.8 且包含端口是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 and dst port 22
7.抓取源ip是8.8.8.8 或者包含端口是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 or port 22
8.抓取源ip是8.8.8.8且端口不是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 and not port 22
9.抓取源ip是8.8.8.8且目的端口是22,或源ip是4.4.4.4且目的端口是80的數據包
tcpdump -i eth0 -vnn ( src host 8.8.8.8 and dst port 22 ) or ( src host 4.4.4.4 and dst port 80 )
10.抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的數據包
tcpdump -i eth0 -vnn src host 172.16.1.59 and dst port 22 or src host 172.16.1.68 and dst port 80
11.從/tmp/fill記錄中讀取tcp協議的數據包
tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
12.從/tmp/fill記錄中讀取包含172.16.1.58的數據包
tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58
13.摘取主機172.16.14.107和主機172.16.14.27或172.16.14.99的通信
tcpdump host 172.16.14.107 and (172.16.14.27 or 172.16.14.99 )
14.獲取主機172.16.14.107和排除172.16.14.27之后所有主機的數據包
tcpdump ip host 172.16.14.107 and ! 172.16.14.27
三.高級篇
1.打印所有源或目的端口是80, 網絡層協議為IPv4, 并且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包。
tcpdump tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
2.抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。
3.抓取HTTP Request Headers
tcpdump -n -S -s 0 -A tcp dst port 80 | grep -B3 -A10 "GET /"
1.關于類型的關鍵字主要包括:host、net、port
2.確定傳輸方向的關鍵字主要包括:src、dst、dst or src、 dst and src。
3.第三種是協議的關鍵字,主要包括ip、arp、rarp、tcp、udp、icmp等類型。
4.其他重要的關鍵字:gateway, broadcast,less,greater。
5.三種邏輯運算:取非運算是not ,! ;與運算是and,&&;或運算 是or,││。多條件時可以用括號,但是要用轉義。
使用:
一.初級篇
1.抓取指定網卡
tcpdump -i eth0
如果不加 -i參數,默認抓取所有網卡的數據包,包括回環網卡lo。
可以用-D 參數查看可以抓取的網卡。
2.抓取指定數量的包
tcpdump -c 10 -i eth0
3.保存抓取到的數據包
tcpdump -w save.file -i eth0
抓取到的數據包可以用wireshark分析,要確認保存的目錄權限是777,否則會提示 Permission denied 。
4.讀取數包文件內容
tcpdump -r save.file
5.顯示ip地址和端口號
tcpdump -n -i eth0 顯示ip
tcpdump -nn -i eth0 顯示ip+端口
默認情況下抓包結果會顯示域名,端口會顯示對應的協議,例如8.8.8.8顯示為8-8-8-8.rev.net.com.sg,而22端口顯示為ssh
6.抓包結果中顯示時間戳
tcpdump -tttt -i eth0
7.抓取指定協議的數據包
tcpdump -p udp -i eth0
-p也可以省略,支持協議ip、ip6、arp、rarp、tcp、udp、icmp
8.抓取指定端口的數據包
tcpdump port 80
9.以ASCII值顯示抓到的包
tcpdum -A -i eth0
二.中級篇
1.抓取包含8.8.8.8的數據
tcpdump -i eth0 -vnn host 8.8.8.8
2.抓取包含8.8.8.8/24段的數據包
tcpdump -i eth0 -vnn net 8.8.8.8/24
3.抓取源ip是8.8.8.8的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8
4.抓取目的ip是8.8.8.8的數據包
tcpdump -i eth0 -vnn dst host 8.8.8.8
5.抓取源端口是22的數據包
tcpdump -i eth0 -vnn src port 22
6.抓取源ip是8.8.8.8 且包含端口是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 and dst port 22
7.抓取源ip是8.8.8.8 或者包含端口是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 or port 22
8.抓取源ip是8.8.8.8且端口不是22的數據包
tcpdump -i eth0 -vnn src host 8.8.8.8 and not port 22
9.抓取源ip是8.8.8.8且目的端口是22,或源ip是4.4.4.4且目的端口是80的數據包
tcpdump -i eth0 -vnn ( src host 8.8.8.8 and dst port 22 ) or ( src host 4.4.4.4 and dst port 80 )
10.抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的數據包
tcpdump -i eth0 -vnn src host 172.16.1.59 and dst port 22 or src host 172.16.1.68 and dst port 80
11.從/tmp/fill記錄中讀取tcp協議的數據包
tcpdump –i eth0 -vnn -r /tmp/fil1 tcp
12.從/tmp/fill記錄中讀取包含172.16.1.58的數據包
tcpdump –i eth0 -vnn -r /tmp/fil1 host 172.16.1.58
13.摘取主機172.16.14.107和主機172.16.14.27或172.16.14.99的通信
tcpdump host 172.16.14.107 and (172.16.14.27 or 172.16.14.99 )
14.獲取主機172.16.14.107和排除172.16.14.27之后所有主機的數據包
tcpdump ip host 172.16.14.107 and ! 172.16.14.27
三.高級篇
1.打印所有源或目的端口是80, 網絡層協議為IPv4, 并且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包。
tcpdump tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
2.抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。
3.抓取HTTP Request Headers
tcpdump -n -S -s 0 -A tcp dst port 80 | grep -B3 -A10 "GET /"
- 上一篇:Linux終端錄屏與播放 script 命令
- 下一篇:wdCP 功能特點
