tcpdump怎么使用

发布时间:2021-12-29 13:35:22 作者:iii
来源:亿速云 阅读:137

本篇内容介绍了“tcpdump怎么使用”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!

tcpdump 选项

-i any 监听所有的网卡接口,用来查看是否有网络流量
-i eth0 只监听eth0网卡接口
-D 显示可用的接口列表
-n 不要解析主机名
-nn 不要解析主机名或者端口名
-q 显示更少的输出(更加quiet)
-t 输出可读的时间戳
-tttt 输出最大程度可读的时间戳
-X 以hex和ASCII两种形式显示包的内容
-XX 与**-X**类似,增加以太网header的显示
-v, -vv, -vvv 显示更加多的包信息
-c 只读取x个包,然后停止
-s 指定每一个包捕获的长度,单位是byte,使用-s0可以捕获整个包的内容
-S 输出绝对的序列号
-e 获取以太网header
-E 使用提供的秘钥解密IPSEC流量

tcpdump 表达式

在tcpdump中,可以使用表达式过滤指定类型的流量。有三种主要的表达式类型:type,dir,proto。

类型(type)选项包含:host,net,port
方向(dir)选项包含:src,dst
协议(proto)选项包含:tcp,udp,icmp,ah等

捕获所有流量

查看所有网卡接口上发生了什么
tcpdump -i any

指定网卡接口

查看指定网卡上发生了什么

tcpdump -i en0

原生输出

查看更多的信息,不解析主机名和端口号,显示绝对序列号,可读的时间戳
-tttt 输出最大程度可读的时间戳
-n 不要解析主机名
-v, -vv, -vvv 显示更加多的包信息
-S 输出绝对的序列号

tcpdump -ttttnnvvS

抓取icmp包,并显示包详情

➜  research sudo tcpdump -nnvXSs 0 -c1 icmp
tcpdump: data link type PKTAP
tcpdump: listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
23:26:21.499957 IP (tos 0x0, ttl 64, id 6677, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.5.6 > 115.239.210.27: ICMP echo request, id 17413, seq 0, length 64
	0x0000:  0810 7899 e321 1865 90de c03f 0800 4500  ..x..!.e...?..E.
	0x0010:  0054 1a15 0000 4001 54db c0a8 0506 73ef  .T....@.T.....s.
	0x0020:  d21b 0800 89fa 4405 0000 5b1d 431d 0007  ......D...[.C...
	0x0030:  a0bb 0809 0a0b 0c0d 0e0f 1011 1213 1415  ................
	0x0040:  1617 1819 1a1b 1c1d 1e1f 2021 2223 2425  ...........!"#$%
	0x0050:  2627 2829 2a2b 2c2d 2e2f 3031 3233 3435  &'()*+,-./012345
	0x0060:  3637                                     67
1 packet captured
1210 packets received by filter
0 packets dropped by kernel
➜  research

  ~ ping www.baidu.com
PING www.a.shifen.com (115.239.210.27): 56 data bytes
64 bytes from 115.239.210.27: icmp_seq=0 ttl=54 time=22.223 ms
64 bytes from 115.239.210.27: icmp_seq=1 ttl=54 time=441.219 ms

使用源和目的地址过滤

sudo tcpdump dst 115.239.211.112
sudo tcpdump src 192.168.5.6

tcpdump -D

sudo tcpdump -i en0 -vvv -s 1500 -X 'port 80'

根据主机IP抓包

sudo  tcpdump host 192.168.5.6

根据以太网地址抓包

sudo tcpdump ether host 18:65:90:de:c0:3f

“tcpdump怎么使用”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!

推荐阅读:
  1. tcpdump笔记
  2. Tcpdump使用

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

tcpdump

上一篇:Preact与Inferno哪个更适合应用在JS框架中

下一篇:如何借助EXCEL工具进行KPI电池图制作

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》