碼上歡樂
相關內容    簡體    繁體

tcpdump使用方法總結

本文轉載自   查看原文   2018-12-14 14:52   1945    linux

舉例:

 1、針對指定網卡eth0抓包

1 tcpdump -i eth0

 

 2、過濾主機

1 tcpdump -i eth0 host 192.168.1.1
2 tcpdump -i eth0 src host 192.168.1.1
3 tcpdump -i eth0 dst host 192.168.1.1

 

 3、過濾協議的類型

1 tcpdump -i eth0 arp 2 tcpdump -i eth0 tcp 3 tcpdump -i eth0 udp 4 tcpdump -i eth0 icmp

 

 4、過濾端口

1 tcpdump -nnn -i eth0 port 25
2 tcpdump -nnn -i eth0 src port 25
3 tcpdump -nnn -i eth0 dst port 25
  • - nnn 讓tcpdump不要把IP地址轉化為網絡名稱,不要把端口顯示為服務名

 

 5、抓取報文后隔指定的時間保存一次 

1 tcpdump -s 0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.cap
  •  - G 選項后面接時間,單位為秒;本例中的時間為60秒。
  •  抓包的名字以時間戳命名 %Y_%m%d_%H%M_%S.cap
  • 指定數據包截斷的長度,0表示不截斷,tcpdump默認截斷68字節

 

 6、抓取報文后達到指定的大小保存一次

1 tcpdump -s 0 -C 1 -Z root -W 1 -w test.cap
  • - C(大寫)表示每當文件達到指定大小時進行重新保存一個新文件,單位是MB(1 000 000 B)
  • - Z (小寫) 表示下面的新文件也是用root權限來執行的,如果用 - C 時必須配合-Z(大寫Z)
  • - w 直接將分組寫入文件中
  • - W 限制文件的個數,達到個數后開始從最早的文件覆蓋

 

 

tcpdump 各參數詳解

  • A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。 

  • -c 在收到指定的數量的分組后,tcpdump就會停止。 

  • -C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然后在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。 

  • -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。 

  • -dd 將匹配信息包的代碼以C語言程序段的格式給出。 

  • -ddd 將匹配信息包的代碼以十進制的形式給出。 

  • -D 打印出系統中所有可以用tcpdump截包的網絡接口。 

  • -e 在輸出行打印出數據鏈路層的頭部信息。 

  • -E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。 

  • -f 將外部的Internet地址以數字的形式打印出來。 

  • -F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。 

  • -i 指定監聽的網絡接口。 

  • -l 使標准輸出變為緩沖行形式,可以把數據導出到文件。 

  • -L 列出網絡接口的已知數據鏈路。 

  • -m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。 

  • -M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。 

  • -b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。 

  • -n 不把網絡地址轉換成名字。 

  • -nn 不進行端口名稱的轉換。 

  • -N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。 

  • -t 在輸出的每一行不打印時間戳。 

  • -O 不運行分組分組匹配(packet-matching)代碼優化程序。 

  • -P 不將網絡接口設置成混雜模式。 

  • -q 快速輸出。只輸出較少的協議信息。 

  • -r 從指定的文件中讀取包(這些包一般通過-w選項產生)。 

  • -S 將tcp的序列號以絕對值形式輸出,而不是相對值。 

  • -s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。 

  • -T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。 

  • -t 不在每一行中輸出時間戳。 

  • -tt 在每一行中輸出非格式化的時間戳。 

  • -ttt 輸出本行和前面一行之間的時間差。 

  • -tttt 在每一行中輸出由date處理的默認格式的時間戳。 

  • -u 輸出未解碼的NFS句柄。 

  • -v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。 

  • -vv 輸出詳細的報文信息。 

  • -w 直接將分組寫入文件中,而不是不分析並打印出來。

  • -W 限制文件的個數

 

 ----------------------------------------

英文文檔路徑  https://www.tcpdump.org/manpages/tcpdump.1.html


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 tcpdump的使用總結 wireshark使用方法總結 top使用方法總結 extern使用方法總結 FastJson的使用方法總結 jackson使用方法總結 less使用方法總結 UITableView 基本使用方法總結 JavaScript中this的使用方法總結 關於mathtype的使用方法的一些總結
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM