CentOS中使用tcpdump抓包
安裝:
yum install tcpdump
命令使用:
監(jiān)聽特定網(wǎng)卡
tcpdump
抓取第一塊網(wǎng)卡所有數(shù)據(jù)包
[root@server110 tcpdump]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 1514.441562 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 2956277183:2956277391, ack 2178083060, win 336, length 208 1514.442088 IP server110.34562 > ns-px.online.sh.cn.domain: 34223+ PTR? 169.202.16.18.in-addr.arpa. (44) 1514.486822 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 208, win 16419, length 0 1514.692932 IP ns-px.online.sh.cn.domain > server110.34562: 34223 NXDomain 0/1/0 (116) 1514.693416 IP server110.57017 > ns-px.online.sh.cn.domain: 12369+ PTR? 5.209.96.202.in-addr.arpa. (43) 1514.693577 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 208:400, ack 1, win 336, length 192 1514.695254 IP ns-px.online.sh.cn.domain > server110.57017: 12369 1/0/0 PTR ns-px.online.sh.cn. (75) 1514.695519 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 400:656, ack 1, win 336, length 256 1514.696577 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 656:1232, ack 1, win 336, length 576 1514.697564 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 1232:1392, ack 1, win 336, length 160 1514.698563 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 1392:1552, ack 1, win 336, length 160
tcpdump -i 抓取某一塊網(wǎng)卡數(shù)據(jù)包
[root@server110 tcpdump]# ifconfig
eth0 Link encap:Ethernet HWaddr 520005:94
inet addr:18.16.200.110 Bcast:18.16.200.255 Mask:255.255.255.0
inet6 addr: fe80:ff594/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:50017569 errors:0 dropped:0 overruns:0 frame:0
TX packets:27403502 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:21017784488 (19.5 GiB) TX bytes:3969196772 (3.6 GiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:191873 errors:0 dropped:0 overruns:0 frame:0
TX packets:191873 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:31953071 (30.4 MiB) TX bytes:31953071 (30.4 MiB)
[root@server110 tcpdump]# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
1543.529881 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 2956715807:2956716015, ack 2178087524, win 336, length 208
1543.530636 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 208, win 16422, length 0
1543.530732 IP server110.50508 > ns-px.online.sh.cn.domain: 42810+ PTR? 169.202.16.18.in-addr.arpa. (44)
1543.533748 IP ns-px.online.sh.cn.domain > server110.50508: 42810 NXDomain 0/1/0 (116)
1543.534054 IP server110.37348 > ns-px.online.sh.cn.domain: 43151+ PTR? 5.209.96.202.in-addr.arpa. (43)
1543.534537 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 208:496, ack 1, win 336, length 288
1543.540551 IP ns-px.online.sh.cn.domain > server110.37348: 43151 1/0/0 PTR ns-px.online.sh.cn. (75)
1543.541536 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 496:1072, ack 1, win 336, length 576
1543.542319 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 1072, win 16425, length 0
1543.542529 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 1072:1328, ack 1, win 336, length 256
1543.543545 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 1328:1488, ack 1, win 336, length 160
監(jiān)聽特定主機
[root@server110 tcpdump]# tcpdump host 18.16.202.169 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 1616.334596 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 2957160543:2957160751, ack 2178097380, win 336, length 208 1616.375768 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 208, win 16425, length 0 1616.539595 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 208:496, ack 1, win 336, length 288 1616.540553 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 496:656, ack 1, win 336, length 160 1616.541564 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 656:816, ack 1, win 336, length 160 1616.541731 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 656, win 16423, length 0 1616.542572 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 816:1072, ack 1, win 336, length 256 1616.543565 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 1072:1232, ack 1, win 336, length 160
特定來源
[root@server110 tcpdump]# tcpdump src host 18.16.202.169 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 1630.681395 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 2957168815, win 16420, length 0 1630.791328 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 161, win 16420, length 0 1630.833394 IP 18.16.202.169.cvd > server110.ssh: Flags [.], ack 321, win 16419, length 0
特定目標地址
[root@server110 tcpdump]# tcpdump dst host 18.16.202.169 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 1627.404603 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 2958878511:2958878719, ack 2178100804, win 336, length 208 1627.408521 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 208:400, ack 1, win 336, length 192 1627.409530 IP server110.ssh > 18.16.202.169.cvd: Flags [P.], seq 400:560, ack 1, win 336, length 160
監(jiān)聽特定端口
[root@server110 tcpdump]# tcpdump port 8083 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
1631.361199 IP (tos 0x0, ttl 127, id 19231, offset 0, flags [DF], proto TCP (6), length 52)
18.16.202.169.14626 > server110.us-srv: Flags [S], cksum 0x3315 (correct), seq 2299766793, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
1631.361264 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
server110.us-srv > 18.16.202.169.14626: Flags [S.], cksum 0x4b86 (correct), seq 1167811532, ack 2299766794, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
1631.361594 IP (tos 0x0, ttl 127, id 19232, offset 0, flags [DF], proto TCP (6), length 40)
18.16.202.169.14626 > server110.us-srv: Flags [.], cksum 0xa54c (correct), seq 1, ack 1, win 8212, length 0
監(jiān)聽tcp協(xié)議,并加數(shù)據(jù)包寫入abc.cap
[root@server110 tcpdump]# tcpdump tcp port 8083 -w ./abc.cap tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C15 packets captured 15 packets received by filter 0 packets dropped by kernel
總共15條數(shù)據(jù),其中只包含tcp,http格式的數(shù)據(jù)
稍微復雜例子
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型
-i eth1 : 只抓經(jīng)過接口eth1的包
-t : 不顯示時間戳
-s 0 : 抓取數(shù)據(jù)包時默認抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包
-c 100 : 只抓取100個數(shù)據(jù)包
dst port ! 22 : 不抓取目標端口是22的數(shù)據(jù)包
src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡地址為192.168.1.0/24
-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
鏈接:https://www.cnblogs.com/hongdada/p/10565898.html
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
網(wǎng)卡
+關注
關注
4文章
307瀏覽量
27374 -
主機
+關注
關注
0文章
993瀏覽量
35114 -
數(shù)據(jù)包
+關注
關注
0文章
260瀏覽量
24385 -
CentOS
+關注
關注
0文章
77瀏覽量
13742
原文標題:CentOS中使用tcpdump抓包
文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關推薦
Wireshark抓包和Tcpdump抓包實例分析
wireshark是開源軟件,可以放心使用。可以運行在Windows和Mac OS上。對應的,linux下的抓包工具是 tcpdump。使用wireshark的人必須了解網(wǎng)絡協(xié)議,否則就看不懂wireshark了。
tcpdump命令介紹
1.命令簡介tcpdump 是一款類 Unix/Linux 環(huán)境下的抓包工具,允許用戶截獲和顯示發(fā)送或收到的網(wǎng)絡數(shù)據(jù)包。tcpdump 是一個在 BSD 許可證下發(fā)布的自由軟件。
2.
發(fā)表于 04-08 06:02
請問能否在8MM/8MQ開發(fā)板上運行抓包程序
請問能否在8MM/8MQ開發(fā)板上運行抓包程序(如tcpdump)?如果沒有自帶的話,是否有移植的先例?在8MQ上進行移植tcpdump,使用了下面的命令進行configure(編譯鏈環(huán)
發(fā)表于 12-30 07:36
空口抓包方式和wireshank分析工具使用介紹
主要介紹下最近使用中感覺很萬能的空口抓包方式和wireshank分析工具使用;目的:抓取各種設備網(wǎng)絡通信過程中數(shù)據(jù)包,定位并分析軟硬件設計中問題背景:Tcp抓
發(fā)表于 01-18 09:11
使用tcpdump抓包后生成的pcap文件大小為0
請大佬們幫忙看看怎么回事吧
我在SSH中使用“sudo tcpdump -i eth0 dst 192.168.0.55”命令進行抓包,control+c停止后,使用“sudo
發(fā)表于 05-18 22:29
如何吧tcpdump網(wǎng)絡抓包工具移植到嵌入式linux系統(tǒng)
本文檔的主要內(nèi)容詳細介紹的是如何吧tcpdump網(wǎng)絡抓包工具移植到嵌入式linux系統(tǒng)詳細資料合集免費下載。
發(fā)表于 01-18 08:00
?6次下載
網(wǎng)絡行抓包分析工具tcpdump安裝介紹
概述 用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。 tcpdump可以將網(wǎng)絡
tcpdump如何實現(xiàn)抓內(nèi)核態(tài)的包
的呢?有的同學知道 tcpdump 是基于 libpcap 的,那么 libpcap 的工作原理又是啥樣的呢。如果讓你裸寫一個抓包程序,你有沒有思路? 按照飛哥的風格,不搞到最底層的原理咱是不會罷休的。所以我對相關的源碼進行了深
為什么抓不到baidu的數(shù)據(jù)包?
從上面的結(jié)果可以知道請求baidu.com時會去訪問39.156.66.10。于是用下面的tcpdump命令進行抓包,大概的意思是抓eth0網(wǎng)卡且ip為39.156.66.10的網(wǎng)絡
Wireshark抓包和Tcpdump抓包實例分析!
今天浩道跟大家分享2款網(wǎng)工生涯中必不可少的神器Wireshark及Tcpdump,掌握這2個神器的使用,運維排查故障基本就是如魚得水。
Linux網(wǎng)絡分析tcpdump工作原理和應用
在日常工作中遇到的很多網(wǎng)絡問題都可以通過 tcpdump 優(yōu)雅的解決: 相信大多數(shù)同學都遇到過 SSH 連接服務器緩慢,通過 tcpdump 抓包,可以快速定位到具體原因,一般都是因為
Linux網(wǎng)絡分析tcpdump的基本用法
$?tcpdump?-i?eth0 3. 抓包時指定 -n 選項,不解析主機和端口名。這個參數(shù)很關鍵,會影響抓包的性能,一般
tcpdump常用的選項參數(shù)詳細總結(jié)
常用選項通過上述的實戰(zhàn)案例,相信大家已經(jīng)掌握的 tcpdump 基本用法,在這里來詳細總結(jié)一下常用的選項參數(shù)。 (一)基礎選項 -i:指定接口 -D:列出可用于抓包的接口 -s:指定數(shù)據(jù)包
如何在Python中使用Scapy進行抓包操作
1. 前言 抓包通常使用軟件如wireshark,Tcpdump等,對數(shù)據(jù)通信過程中的所有l(wèi)P報文實施捕獲并進行逐層拆包分析,一直是傳統(tǒng)固網(wǎng)數(shù)通維護工作中罐常用的故障排查工具,都需要在
工商網(wǎng)監(jiān)
評論