tcpdump用法詳解

原創 jessyxu 2019-07-17 14:25
tcpdump使用詳解及評論摘要
第一種是關於類型的關鍵字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一臺主機,net 202.0.0.0 指明 202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host.
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和 分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
    除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││';這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。
    普通情況下,直接啓動tcpdump將監視第一個網絡界面上所有流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                         0000 0000 0080 0000 1007 cf08 0900 0000
                         0e80 0000 902b 4695 0980 8701 0014 0002
                         000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                         ffff 0060 0004 ffff ffff ffff ffff ffff
                         0452 ffff ffff 0000 e85b 6d85 4008 0002
                         0640 4d41 5354 4552 5f57 4542 0000 0000
                         0000 00
使用-i參數指定tcpdump監聽的網絡界面,這在計算機具有多個網絡界面時非常有用,
使用-c參數指定要監聽的數據包數量,
使用-w參數指定將監聽到的數據包寫入文件中保存
   A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用   括號時,一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123
F 系統將只對名爲hostname的主機的通信數據包進行監視。主機名可以是本地主機,也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據:
#tcpdump -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H  我們還可以監視通過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你還想監視編址到指定端口的TCP或UDP數據包,那麼執行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中適用   括號時,一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
   #tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
   #tcpdump tcp port 23 host 210.27.48.1
第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,
greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||';
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包,用dst port;如果我們只希望看到返回80端口的數據包,用src port。
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  一般是提供http的服務的主機
如果條件很多的話  要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日誌將會記錄
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,然後再使用其他程序進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬盤。
評論摘要:
1,
其實LZ 只說明了過濾語句的用法,沒有將很重要另外一個參數說明,也就是說,如果這個參數不設置正確,會導致包數據的丟失!
它就是-s 參數,snaplen, 也就是數據包的截取長度,仔細看man就會明白的!默認截取長度爲60個字節,但一般ethernet MTU都是1500字節。所以,要抓取大於60字節的包時,使用默認參數就會導致包數據丟失!
只要使用-s 0就可以按包長,截取數據!
2,
各位有興趣,我可以多說一點。
LZ所說的這個格式有一個業界標準,稱作bpf (Berkeley Packet Filter)包過濾語言。現在有很多抓包工具支持這個標準。包擴ethereal的capture filter, 注意不是displayfilter, 因爲ethereal的display filter 使用了近似於C/C++表達式的另一套自己的表達方式。
其實,如果各位使用過libpcap的,就知道,所有的libpcap都需要snaplen 這個參數設定才能抓到整個的包數據。那如果不熟悉C/C++怎麼辦?,沒關係那也可以結合tcpdump -xls 0 命令行加管道導向到Awk的程序來自己解析IP數據包並分析應用層的數據。如果用tcpdump+Perl的話,更可以經過簡單的包數據重構,方便地組成NetPacket模塊能自動識別的包數據,讓現成的NetPacket模塊自動解析和分析底層的IP和TCP/UDP層數據包。而你則只要懂得gawk/nawk或Perl就可以簡單的自己編程來解析非標的應用層的數據了。注意,這裏我並沒有使用perl 的libpcap兼容模塊,而是直接用tcpdump替代了。這樣對Perl模塊的要求降得比較低了,如果遇到非標的協議,就是不會C/C++, 沒裝抓包的perl模塊,也可以通過自己編程來解析數劇包了!
3,
還好的是可以通過hex value來查包中的漢字。我是先在linux上邊tcpdump出完整的package data,然後呢,將文件down到windows上來用ethereal來做查看的。
我不是很理解你所說的 '要麼在服務器端裝支持相應編碼的代理,然後dump數據。
你說的編碼的代理,我覺得這個與整個網頁的charset是有關係的。可能是不同的charset,gb2312,unicode或是gbk之類的。很難理解你說的編碼的代理是什麼東東?
我想ethereal就是沒有去分析每個包應該用什麼來charset來做顯示,所以都以ascii來顯示了。所以漢字就顯示不出來。
要想ethereal知道使用什麼樣的charset顯示,那麼就需要聯繫其他包裏的charset設置來做顯示,看來ethereal目前還沒這麼做,就只是簡單的顯示ascii。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MQTT 5.0 報文解析 05:DISCONNECT

歡迎閱讀 MQTT 5.0 報文系列 的第五篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 PINGREQ 和 PINGRESP 報文。現在,我們將介紹下一個控制報文:DISCONNECT。 在 MQTT 中,客戶端和服務端可以在

原創 2024-04-16 21:56:02

MQTT 5.0 報文解析 02:PUBLISH 與 PUBACK

歡迎閱讀 MQTT 5.0 報文系列 的第二篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 CONNECT 和 CONNACK 報文。現在,我們將介紹在 MQTT 中用於傳遞應用消息的 PUBLISH 報文以及它的響應報文。 不管

原創 2024-03-18 22:23:18

MQTT 5.0 報文解析 01:CONNECT 與 CONNACK

在 MQTT 5.0 報文介紹 中,我們介紹了 MQTT 報文由固定報頭、可變報頭和有效載荷三個部分組成,以及可變字節整數、屬性這類 MQTT 報文中的通用概念。現在,我們將按照實際的用途來進一步介紹各個類型的報文的組成。首先,我們將專注於

原創 2024-03-04 22:06:21

關於平臺工程的開發者工具鏈,你還想加點啥?

前言 從 Kubernetes 誕生以來,以 DevOps、容器化、可觀測、微服務、Serverless 等技術爲代表的雲原生,催生了應用架構新一輪的升級。有意思的是,與以往的技術迭代更新不同,原本是一個技術圈常規的一次技術實踐,在千行百

原創 2022-12-26 23:58:11

Http請求壓縮/tcpdump

啓動一個nginx進行轉發,然後請求,使用tcp dump來查看是否壓縮成功了 也可以啓動一個Java的8081端口來Tcp dump來看 #-i lo是監聽lo網卡 #port 是監聽端口 #host 是監控localhost發出

原創 2021-12-25 21:37:11

liux最常見使用命令

寫在前面 基本操作 Linux關機,重啓 查看系統,CPU信息 建立軟連接 rpm相關 sshkey 命令重命名 同步服務器時間 後臺運行命令 強制活動用戶退出 查看命令路徑 查看進程所有

原創 2021-12-25 21:35:24

linux Vlanif 轉發問題

[email protected]:~$ sudo tcpdump -Q out -i Ethernet8 -envv icmp6 tcpdump: listening on Ethernet8, link-type EN10MB

原創 2021-12-25 21:09:50

166 個最常用的 Linux 命令彙總,總有你需要用到的!

Linux命令是對Linux系統進行管理的命令,對於Linux系統來說,無論是中央處理器、內存、磁盤驅動器、鍵盤、鼠標,還是用戶等都是文件,Linux系統管理的命令是它正常運行的核心。以下列舉166個最常用的命令,總有一個是你需要用到的,

php開源社區 2021-10-19 21:28:41

基於網絡抓包實現K8S中微服務的應用級監控

微服務監控的挑戰 監控的目的是爲了讓集羣中所有的服務組件,不管是HTTP服務,數據庫服務,還是中間件服務。都能夠健康穩定的運行,能發現問題,遇到問題能找到原因。在過去,監控工具側重於基礎設施或單一軟件組件以及衡量運營健康。這些工具在實現這

php開源社區 2021-10-13 21:28:39

AOSP~日誌

log文件分爲實時打印的,還有狀態信息的兩種 實時打印的主要有:logcat main,logcat radio,logcat events,tcpdump,還有高通平臺的還會有QXDM日誌 狀態信息的有:adbshelldmesg,a

原創 2021-09-03 21:13:36

tcpdump wireshark 常用內容

tcp && ip.addr == 111.206.109.112 tcp && ip.port == 10001 tcp  && tcp.port == 443 && tcp contains "hello"  

原創 2021-06-08 21:39:37

ARP是如何工作的

ARP是如何工作的 原文:https://www.slashroot.in/how-does-arp-address-resolution-protocol-work 作者:Sarath Pillai 原文發表日期:2016年10月10

原創 2021-05-08 09:28:40

tcpdump常用命令及wireshark異常分析

tcpdump常用命令及wireshark異常分析 參考文章: (1)tcpdump常用命令及wireshark異常分析 (2)https://www.cnblogs.com/Dev0ps/p/8267497.html (3)https:

fyin1314 2021-04-29 21:20:05

Linux最全命令詳解,請記下來!

linux命令是對Linux系統進行管理的命令。對於Linux系統來說,無論是中央處理器、內存、磁盤驅動器、鍵盤、鼠標,還是用戶等都是文件,Linux系統管理的命令是它正常運行的核心。 線上查詢及幫助命令(2個) man:查看

IT技術分享社區 2021-04-09 21:23:37

操作系統:166個Linux實用命令,太全了!

linux 命令是對 Linux 系統進行管理的命令。對於 Linux 系統來說,無論是中央處理器、內存、磁盤驅動器、鍵盤、鼠標,還是用戶等都是文件, Linux 系統管理的命令是它正常運行的核心,與之前的 DOS 命令類似。li

IT技術分享社區 2021-03-25 21:22:10