tcpdump的使用

tcpdump  抓包工具

wireshark  数据分析工具

日志详解参考:

17:20:06.378764 IP ecs-124-71-57-145.compute.hwclouds-dns.com.50494 > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [S], seq 2127299852, win 29200, options [mss 1460,sackOK,TS val 3294421569 ecr 0,nop,wscale 7], length 0

17:20:08.109450 IP ..ncr_ccl > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [.], ack 45700, win 508, length 0
17:20:08.109467 IP iZuf6fdqadq9pbzyn9ef71Z.ssh > ..ncr_ccl: Flags [P.], seq 45952:46108, ack 1, win 261, length 156

17:20:06.379226 IP ecs-124-71-57-145.compute.hwclouds-dns.com.50494 > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [R.], seq 1, ack 4003320638, win 0, length 0

[s] 开始连接

[P] 推送数据

[F] 结束连接

[R] 重置连接

[. ] 没有flag (除了上面四种类型外的其他情况有可能是ACK,URG)

 ip过滤:

tcpdump host 192.168.1.22 过滤特定的主机

tcpdump dst 192.168.1.22     指定目的地址,确定传输方向关键字   src:源   dst:目的

网段过滤:

tcpdump net 192.168.10.0/24  截获特定网段192.168.10.0/24的主机收到的和发出的所有数据包

tcpdump src net 192.168.10.0/24  源网段

tcpdump dst net 192.168.10.0/24  目标网段

端口的过滤:常用协议端口号:(http 80  https 443 dns 53 ssh 22 )

tcpdump tcp port 80  捕获80端口

tcpdump src  port 80 源端口捕获

tcpdump dst  port 80 目的端口捕获

tcpdump port 80 or port 22     tcpdump port 80 or 22      同时捕获80和22端口(写法效果一样)

tcpdump portrange 8000-8080  捕获端口的一个段   例如:(8000 8001 8002......8080端口,>2个没法用or)

tcpdump src portrange 8000-8080  源端口段的捕获

tcpdump dst portrange 8000-8080  目的端口段的捕获

tcpdump tcp port http  过滤HTTP协议80端口

协议报文几种类型:ip  ip6 icmp tcp udp

例:tcpdump icmp

http  https dns ssh  应用层协议不能直接这样写,需要写成:如下

例:tcpdump port http (80)

tcpdum -i eth0  指定eth0网卡接口监听

tcpdum -i any  所有网卡接口监听

tcpdump -i eth0  -w tt.pcap        w:保存    tt.pcap    保存成文件   

保存的文件可以是cap或者pcap格式,然后用wireshark打开查看

tcpdump  -r tt.pcap  读取文件,xshell界面直接浏览

tcpdump  -n 直接读取,不转换成域名 直接显示ip  避免执行 dns lookups 的过程 速度快

tcpdump  -nn  协议和端口都不转换,速度快

tcpdump  -N   不打印出host域名部分,将会打印nic 而不是nic.ddn.mil

tcpdump -t 不输出时间

tcpdump -tt  时间戳

tcpdump -ttt 时间间隔

tcpdump -tttt 时间前面加一个日期

tcpdump -v 信息更详细

tcpdump -vv 信息更详细

tcpdump -vvv 信息更详细

tcpdump -c 20 -w tt.cap  抓完20个包保存 tt.pcap 退出

tcpdump -C 1  -W 3 -w abc 检查设置文件的大小,创建新的数据包  1表示 1MB   W限定抓取的数据量,3表示3个文件 abc1 abc2 叠加  

tcpdump -Q 进来  in 进来的流量   out  出去的流量  inout 进出流量   --direction  

tcpdump -q  简洁输出

tcpdump -D 打印网卡网络接口

tcpdump -L 数据链路

posted @   天真小甜甜  阅读(705)  评论(0编辑  收藏  举报
相关博文:
·  nginx二进制文件编译(离线)
·  zabbix4.0安装教程
·  tcpdump用法
·  tcpdump的用法示例
·  tcpdump 使用方法
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· 从HTTP原因短语缺失研究HTTP/2和HTTP/3的设计差异
· 三行代码完成国际化适配,妙~啊~
点击右上角即可分享
微信分享提示
SQL AI 助手
主题色彩