04:10:46.852184 ip localhost.localdomain.ssh > 192.168.190.1.63683: flags [p.], seq 408261743:408261939, ack 192715332, win 264, length 196第二列:網路協議
第四列:箭頭方向 表示資料流向
第六列:冒號
第七列:資料報內容,包括flags 識別符號,seq 號,ack 號,win 視窗,資料長度 length
[s] : syn(開始連線)
[p] : psh(推送資料)
[f] : fin (結束連線)
[r] : rst(重置連線)
[.] : 沒有 flag,由於除了 syn 包外所有的資料報都有ack,所以一般這個標誌也可表示 ack
tcpdump host 192.168.10.100
tcpdump -i eth2 src 192.168.10.100 #源ip
tcpdump -i eth2 dst 192.168.10.200 #目的ip
基於埠進行過濾:port,多個埠
tcpdump port 80 or 8088基於ip協議版本過濾
tcpdump 'ip proto tcp'
tcpdump 'ip6 proto tcp'
-nn:不把協議和埠號轉化成名字,速度也會快很多。
-n:不列印出host 的網域名稱部分。
tcpdump icmp -w icmp.pcap-v:產生詳細的輸出. 比如包的ttl,id標識,資料報長度,以及ip包的一些選項。同時它還會開啟一些附加的包完整性檢測,比如對ip或icmp包頭部的校驗和。
-vv:產生比-v更詳細的輸出. 比如nfs回應包中的附加域將會被列印, smb資料報也會被完全解碼。
-vvv:產生比-vv更詳細的輸出。比如 telent 時所使用的sb, se 選項將會被列印, 如果telnet同時使用的是圖形介面,其相應的圖形選項將會以16進製制的方式列印出來(摘自網路,目前我還未使用過)
-t:在每行的輸出中不輸出時間
-tt:在每行的輸出中會輸出時間戳
-ttt:輸出每兩行列印的時間間隔(以毫秒為單位)
-tttt:在每行列印的時間戳之前新增日期的列印(此種選項,輸出的時間最直觀)
-x:以16進製制的形式列印每個包的頭部資料(但不包括資料鏈路層的頭部)
-xx:以16進製制的形式列印每個包的頭部資料(包括資料鏈路層的頭部)
-x:以16進製制和 ascii碼形式列印出每個包的資料(但不包括連線層的頭部),這在分析一些新協議的資料報很方便。
-xx:以16進製制和 ascii碼形式列印出每個包的資料(包括連線層的頭部),這在分析一些新協議的資料報很方便。
-i:指定要過濾的網絡卡介面,如果要檢視所有網絡卡,可以 -i any
肝了三天,萬字長文教你玩轉 tcpdump,從此抓包不用愁
Linux學習筆記 Tcpdump
一些常用的tcpdump的指令如下 預設啟動 tcpdump 監視制定網路介面的資料報 tcpdump i eth0 監視所有進入或離開某主機的資料報 tcpdump host 列印主機一和主機二或者與主機三之間通訊的資料報 tcpdump host 1 and 列印主機一與任何其他主機之間的資料報...
學習使用tcpdump
tcpdump這個工具可以說是久聞大名,以前只是偶爾試了一下,也沒抓到自己想要的包,前兩天由於程式出現問題,就需要抓包分析一下。我的程式是這樣的,在同一臺機器上部署了伺服器server 假設埠為9877 和client,server和client採用tcp方式通訊,我要確定client發出的資料是否...
tcpdump使用筆記
一,簡單示例 1,cpdump 監視第乙個網路卡上面流過的所有資料報。2,tcpdump i eth1 監視網絡卡eth1上流過的所有資料報。3,tcpdump host 210.27.48.1 截獲所有該主機流過的資料報。4,tcpdump host 210.27.48.1 and 210.27....