tcpdump用于捕獲和分析網絡流量。系統管理員可以使用它來查看實時流量或將輸出保存到文件中并在以后進行分析。下面列出6個常用選項。
-D 選項
tcpdump的
-D
獲取接口設備列表。看到此列表后,可以決定要在哪個接口上捕獲流量。它還告訴你接口是否已啟動、正在運行,以及它是否是環回接口,如下所示:
[root@localhost~]#tcpdump-D
1.ens160[Up,Running]
2.lo[Up,Running,Loopback]
3.any(Pseudo-devicethatcapturesonallinterfaces)[Up,Running]
4.bluetooth-monitor(BluetoothLinuxMonitor)[none]
5.nflog(Linuxnetfilterlog(NFLOG)interface)[none]
6.nfqueue(Linuxnetfilterqueue(NFQUEUE)interface)[none]
7.usbmon0(AllUSBbuses)[none]
8.usbmon1(USBbusnumber1)
9.usbmon2(USBbusnumber2)
-c [數字]選項
-c
選項捕獲X個數據包,然后停止。否則,tcpdump 將無限地繼續運行。因此,當只想捕獲一小部分數據包樣本時,可以使用此選項。但是如果接口上沒有數據流量,tcpdump 會一直等待。
[root@localhost~]#tcpdump-c5-iany
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize262144bytes
1747.713379IPlocalhost.localdomain.ssh>192.168.43.1.39970:Flags[P.],seq714380127:714380371,ack1854022435,win388,length244
1747.713785IPlocalhost.localdomain.36821>_gateway.domain:36365+PTR?1.43.168.192.in-addr.arpa.(43)
1747.713939IP192.168.43.1.39970>localhost.localdomain.ssh:Flags[.],ack244,win4104,length0
1747.716053IP_gateway.domain>localhost.localdomain.36821:36365NXDomain0/1/0(78)
1747.716543IPlocalhost.localdomain.57441>_gateway.domain:61445+PTR?131.43.168.192.in-addr.arpa.(45)
5packetscaptured
9packetsreceivedbyfilter
0packetsdroppedbykernel
-n 選項
-n
選項不將IP地址解析為域名,直接以IP地址顯示:
[root@localhost~]#tcpdump-c5-iany-n
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize262144bytes
1738.980756IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq714383039:714383283,ack1854024303,win388,length244
1738.981032IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq244:440,ack1,win388,length196
1738.981096IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq440:604,ack1,win388,length164
1738.981153IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq604:768,ack1,win388,length164
1738.981208IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq768:932,ack1,win388,length164
5packetscaptured
5packetsreceivedbyfilter
0packetsdroppedbykernel
-s 選項
帶有
-sXXX
的 tcpdump 可幫助你控制捕獲數據包的大小。在上一個輸出的第三行中,可以看到它表示捕獲大小 262144 字節。可以使用-s
選項更改捕獲數據大小。如果你只想檢查數據包標頭,則可以使用較小的大小進行捕獲:
[root@localhost~]#tcpdump-c5-iany-n-s64
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize64bytes
1744.437891IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq714405271:714405515,ack1854033767,win388,length244
1744.438153IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq244:440,ack1,win388,length196
1744.438220IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq440:604,ack1,win388,length164
1744.438301IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq604:768,ack1,win388,length164
1744.438361IP192.168.43.131.ssh>192.168.43.1.39970:Flags[P.],seq768:932,ack1,win388,length164
5packetscaptured
5packetsreceivedbyfilter
0packetsdroppedbykernel
端口捕獲
port
選項前加上 src/dst。如src port 53
或dst port 53
并進一步過濾它。
[root@localhost~]#tcpdump-ianyport53-n
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize262144bytes
1748.158109IP192.168.43.131.47054>192.168.43.2.domain:58704+A?www.baidu.com.(31)
1748.158152IP192.168.43.131.47054>192.168.43.2.domain:60504+AAAA?www.baidu.com.(31)
1748.159180IP192.168.43.2.domain>192.168.43.131.47054:605041/1/0CNAMEwww.a.shifen.com.(115)
1748.162018IP192.168.43.2.domain>192.168.43.131.47054:587043/0/0CNAMEwww.a.shifen.com.,A180.101.49.11,A180.101.49.12(90)
下面只獲取源端口為53的數據包,其中
-nn
選項表示不解析IP地址和端口:
[root@localhost~]#tcpdump-c5-ianysrcport53-nn-s64
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize64bytes
1841.604216IP192.168.43.2.53>192.168.43.131.48245:50676[|domain]
1841.606390IP192.168.43.2.53>192.168.43.131.48245:19947[|domain]
1841.631001IP192.168.43.2.53>192.168.43.131.54536:31350NXDomain[|domain]
1846.110591IP192.168.43.2.53>192.168.43.131.42379:17512[|domain]
1846.110603IP192.168.43.2.53>192.168.43.131.42379:40562[|domain]
5packetscaptured
5packetsreceivedbyfilter
0packetsdroppedbykernel
下面只獲取目的端口為53的數據包:
[root@localhost~]#tcpdump-c5-ianydstport53-nn-s64
droppedprivstotcpdump
tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocoldecode
listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize64bytes
1822.568585IP192.168.43.131.49444>192.168.43.2.53:27625+[|domain]
1822.568623IP192.168.43.131.49444>192.168.43.2.53:42481+[|domain]
1822.595257IP192.168.43.131.45790>192.168.43.2.53:28116+[|domain]
1823.850730IP192.168.43.131.34861>192.168.43.2.53:23444+[|domain]
1823.850762IP192.168.43.131.34861>192.168.43.2.53:23964+[|domain]
5packetscaptured
5packetsreceivedbyfilter
0packetsdroppedbykernel
-w 選項
如果要將 tcpdump 的輸出寫入文件,請使用選項
-w
選項寫入文件。如果想查看寫了多少數據包,可以加-v
選項。
[root@localhost~]#tcpdump-c4-ianyport53-nn-wdns.pcap-v
droppedprivstotcpdump
tcpdump:listeningonany,link-typeLINUX_SLL(Linuxcooked),capturesize262144bytes
4packetscaptured
6packetsreceivedbyfilter
0packetsdroppedbykernel
總結
tcpdump 用于收集有關網絡流量數據的出色工具。數據包捕獲為故障排除和安全分析提供了有用的信息。
原文標題:tcpdump 命令的常用選項
文章出處:【微信公眾號:Linux愛好者】歡迎添加關注!文章轉載請注明出處。
審核編輯:湯梓紅
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
接口
+關注
關注
33文章
8575瀏覽量
151015 -
網絡
+關注
關注
14文章
7553瀏覽量
88729 -
設備
+關注
關注
2文章
4502瀏覽量
70598
原文標題:tcpdump 命令的常用選項
文章出處:【微信號:LinuxHub,微信公眾號:Linux愛好者】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
Linux tcpdump命令示例 如何在Linux中安裝tcpdump
在這里,我們將展示如何安裝 tcpdump,然后討論并介紹一些有用的命令以及它們的實際示例。
發表于 08-06 11:11
?3688次閱讀
tcpdump命令介紹
, 以及一個可能的網絡接口描述。其中網絡接口名字和數字編號可以用在tcpdump的-i [flag]選項(nt:把名字或數字代替flag), 來指定要在其上抓包的網絡接口。此選項在不支
發表于 04-08 06:02
sd可以實現六個面對應六個不同文件夾sd音樂嗎?
想做一個感應正方體音樂盒,通過三軸加速度計去感應六個面的變化,從而去讀取sd不同文件夾的音樂,六個面對應六個不同文件夾sd音樂,而且文件夾里面的音樂是可以換的,我知道單獨設置一
發表于 08-12 22:09
linux常用命令實例詳解
,就必須從Linux命令學起,通過基礎的命令學習可以進一步理解Linux系統。不同Linux發行版的命令數量不一樣,但Linux發行版本最少的命令也有200多個。這里筆者把比較重要和使
發表于 11-03 10:19
?5541次閱讀
tcpdump的安裝以及通過實例來演示如何使用 tcpdump 命令
在本文中,我們將會通過一些實例來演示如何使用 tcpdump 命令,但首先讓我們來看看在各種 Linux 操作系統中是如何安裝 tcpdump 的。
grep命令常用的選項詳解
說明:在Rocky8系統中,grep默認幫我們把匹配到的字符串標注了紅色,這點還是挺貼心的。其實大家可以用which命令看一下grep,你會發現grep其實是grep --color=auto,這個選項就是顏色顯示。
tcpdump常用的選項參數詳細總結
常用選項通過上述的實戰案例,相信大家已經掌握的 tcpdump 基本用法,在這里來詳細總結一下常用的選項參數。 (一)基礎
評論