Linux之tcpdump命令

1.　　tcpdump语法

　　　　tcpdump [选项] 关键字

　　　　安装yum install tcpdump -y

2.　　tcpdump常用选项

　　　　-i　　eth0　　：过滤网络接口

　　　　-w　　文件路径：　　保存收集到的数据到指定目录

-r　　读取文件，直接读取-w收集的文件，会出现乱码，使用-r就不会出错

　　　　-n　　不会将主机IP转换为主机名称

　　　　-nn　不会将协议和端口转换为名
-A 打印数据包用ASCII码的方式

-X 打印数据包的头部和数据内容，以十六进制和ASCII码的格式

-XX 打印数据包的头部和数据内容和链路层头部，以十六进制和ASCII码的格式

　　　　-v　　当分析和打印的时候, 产生详细的输出. 比如, 包的生存时间, 标识, 总长度以及IP包的一些选项. 这也会打开一些附加的包完整性检测, 比如对IP或ICMP包头部的校验和.

20:33:05.636141 IP (tos 0x20, ttl 47, id 4321, offset 0, flags [DF], proto TCP (6), length 40)
    222.222.106.54.4846 > 119.254.106.214.80: Flags [.], cksum 0x93a2 (correct), ack 1, win 256, length 0

　　　　-vv　　产生比-v更详细的输出. 比如, NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码.

20:33:50.645953 IP (tos 0x0, ttl 64, id 38778, offset 0, flags [DF], proto TCP (6), length 52)
    119.254.106.214.80 > 222.222.106.54.4847: Flags [.], cksum 0xbd6e (correct), seq 1, ack 1, win 115, options [nop,nop,sack 1 {0:1}], length 0

3.　　关键字

　　　　1.　　类型

　　　　　　　　host

　　　　　　　　net

　　　　　　　　port

　　　　　　　　portrange

　　　　2.　　方向

　　　　　　　　src

　　　　　　　　dst

　　　　　　　　src or dst

　　　　　　　　src and dst

　　　　3.　　协议

　　　　　　　　ether

　　　　　　　　wlan

　　　　　　　　arp

　　　　　　　　tcp

　　　　　　　　udp

4.　　组合条件

　　　　and

　　　　not

5.　　实战例子

　　　　1.　　在服务器上，查询主机IP为222.222.222.222的访问tcp端口80的数据包，网卡为eth3

　　　　　　　　tcpdump -i eth3 host 222.222.222.222 and tcp port 80 -nn

　　　　2.　　分析三次握手

　　　　　　　　目标是api.dresscode.cloud

　　　　　　　　tcpdump -i eth1 host api.dresscode.cloud -n -nn -S

14:01:55.848999 IP 119.254.109.236.8227 > 52.236.36.67.443: Flags [S], seq 1422228354, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
14:01:56.112895 IP 52.236.36.67.443 > 119.254.109.236.8227: Flags [S.], seq 3440233136, ack 1422228355, win 65535, options [mss 1362,nop,wscale 8,nop,nop,sackOK], length 0
14:01:56.113154 IP 119.254.109.236.8227 > 52.236.36.67.443: Flags [.], ack 3440233137, win 29, length 0

　　　　3.　　分析四次断开

　　　　　　　　目标是api.dresscode.cloud

　　　　　　　　tcpdump -i eth1 host api.dresscode.cloud -n -nn -S　　　　　　　

14:02:03.520485 IP 119.254.109.236.8227 > 52.236.36.67.443: Flags [F.], seq 1422228986, ack 3440237874, win 44, length 0
14:02:03.783528 IP 52.236.36.67.443 > 119.254.109.236.8227: Flags [.], ack 1422228987, win 6147, length 0
14:02:03.784225 IP 52.236.36.67.443 > 119.254.109.236.8227: Flags [F.], seq 3440237874, ack 1422228987, win 6147, length 0
14:02:03.784366 IP 119.254.109.236.8227 > 52.236.36.67.443: Flags [.], ack 3440237875, win 44, length 0

6.　　其它网络分析工具

　　　　yum install wireshark -y

　　　　其中有个工具/usr/sbin/tshark

　　　　图形化工具：yum install wireshark-gnome -y

posted @ 2018-05-20 23:18 奋斗史阅读(196) 评论(0) 收藏举报

刷新页面返回顶部

奋斗吧，加油！

Linux之tcpdump命令

1.　　tcpdump语法

2.　　tcpdump常用选项

3.　　关键字

4.　　组合条件

5.　　实战例子

6.　　其它网络分析工具

公告

奋斗吧，加油！

Linux之tcpdump命令

1. tcpdump语法

2. tcpdump常用选项

3. 关键字

4. 组合条件

5. 实战例子

6. 其它网络分析工具

公告

1.　　tcpdump语法

2.　　tcpdump常用选项

3.　　关键字

4.　　组合条件

5.　　实战例子

6.　　其它网络分析工具