tcpdump是乙個很常用的網路包分析工具,可以用來顯示通過網路傳輸到本系統的 tcp/ip 以及其他網路的資料報。tcpdump使用 libpcap 庫來抓取網路報,這個庫在幾乎在所有的 linux/unix 中都有。
tcpdump可以從網絡卡或之前建立的資料報檔案中讀取內容,也可以將包寫入檔案中以供後續使用。必須是 root 使用者或者使用 sudo 特權來執行tcpdump。
在本文中,我們將會通過一些例項來演示如何使用tcpdump命令,但首先讓我們來看看在各種 linux 作業系統中是如何安裝tcpdump的。
tcpdump預設在幾乎所有的 linux 發行版中都可用,但若你的 linux 上沒有的話,使用下面方法進行安裝。
使用下面命令在 centos 和 rhel 上安裝tcpdump,
$sudo yum install tcpdump*
fedora
使用下面命令在 fedora 上安裝tcpdump:
$dnf install
tcpdump
在 ubuntu/debain/linux mint 上使用下面命令安裝tcpdump:
$apt-
get install
tcpdump
安裝好tcpdump後,現在來看一些例子。
執行下面命令來從所有網絡卡中捕獲資料報:
$tcpdump-i
any
要從指定網絡卡中捕獲資料報,執行:
$tcpdump-i
eth0
使用-w選項將所有捕獲的包寫入檔案:
$tcpdump-i
eth1-w
packets_file
使用下面命令從之前建立的 tcpdump 檔案中讀取內容:
$tcpdump-r
packets_file
要獲取更多的包資訊同時以可讀的形式顯示時間戳,使用:
$tcpdump
-ttttnnvvs
要獲取整個網路的資料報,在終端執行下面命令:
$tcpdump
net192.168.1.0/24
要獲取指定 ip 的資料報,不管是作為源位址還是目的位址,使用下面命令:
$tcpdump
host
192.168.1.100
要指定 ip 位址是源位址或是目的位址則使用:
$tcpdump
src192.168.1.100
$tcpdump
dst192.168.1.100
要檢視某個協議的資料報,執行下面命令:
$tcpdump
ssh
要捕獲某個埠或乙個範圍的資料報,使用:
$tcpdump
port22$
tcpdump
portrange22-
125
我們也可以與src和dst選項連用來捕獲指定源埠或指定目的埠的報文。
我們還可以使用「與」 (and,&&)、「或」 (or,||) 和「非」(not,!) 來將兩個條件組合起來。當我們需要基於某些條件來分析網路報文是非常有用。
可以使用and或者符號&&來將兩個或多個條件組合起來。比如:
$tcpdump
src192.168.1.100
&& port22-
wssh_packets
「或」會檢查是否匹配命令所列條件中的其中一條,像這樣:
當我們想表達不匹配某項條件時可以使用「非」,像這樣:
$tcpdump-i
eth0 src port
not22
這會捕獲 eth0 上除了 22 號埠的所有通訊。
Tcpdump例項分析
常用用法 這裡用sudo因為當前帳號無權使用tcpdump,這裡僅以乙個tcp的例子來說明 sudo usr sbin tcpdump tcp port 80 and host 172.23.1.69 ieth1 n 每一行中間都有這個包所攜帶的標誌 s syn,發起連線標誌 p push,傳送資料...
安全牛學習筆記 tcpdump常用命令例項
預設啟動 tcpdump 普通情況下,直接啟動 tcpdump 將監視第乙個網路介面上所有流過的資料報。監聽網絡卡eth0 tcpdump i eth0這個方式最簡單了,但是用處不多,因為基本上只能看到資料報的資訊刷屏,壓根看不清,可以使 用ctrl c中斷退出,如果真有需求,可以將輸出內容重定向到...
tcpdump抓包例項
ip過濾 tcpdump i eth1 host 192.168.1.1 tcpdump i eth1 src host 192.168.1.1 tcpdump i eth1 dst host 192.168.1.1 埠過濾 tcpdump i eth1 port 25 tcpdump i eth1...