tcpdump抓包规则命令大全

这篇具有很好参考价值的文章主要介绍了tcpdump抓包规则命令大全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、抓取http协议包

获取get请求

tcpdump -nn -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

获取post请求

tcpdump -s 0 -i eth1 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

监听端口

tcpdump -i lo0 port 8075 -X -e -v -n -vv

二、抓tcp协议包-举例

下面的例子全是以抓取eth0接口为例,如果不加-i eth0是表示抓取所有的接口包括lo。
 

1、抓取包含10.10.10.122的数据包

tcpdump -i eth0 -vnn host 10.10.10.122

2、抓取包含10.10.10.0/24网段的数据包

tcpdump -i eth0 -vnn net 10.10.10.0/24

3、抓取包含端口22的数据包

tcpdump -i eth0 -vnn port 22

4、抓取udp协议的数据包

tcpdump -i eth0 -vnn udp

5、抓取icmp协议的数据包

tcpdump -i eth0 -vnn icmp

6、抓取arp协议的数据包

tcpdump -i eth0 -vnn arp

7、抓取ip协议的数据包

tcpdump -i eth0 -vnn ip

8、抓取源ip是10.10.10.122数据包。

tcpdump -i eth0 -vnn src host 10.10.10.122

9、抓取目的ip是10.10.10.122数据包

tcpdump -i eth0 -vnn dst host 10.10.10.122

10、抓取源端口是22的数据包

tcpdump -i eth0 -vnn src port 22

11、抓取源ip是10.10.10.253且目的ip是22的数据包

tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22

12、抓取源ip是10.10.10.122或者包含端口是22的数据包

tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22

13、抓取源ip是10.10.10.122且端口不是22的数据包

[root@ ftp]# tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22

14、抓取源ip是10.10.10.2且目的端口是22,或源ip是10.10.10.65且目的端口是80的数据包。

tcpdump -i eth0 -vnn ( src host 10.10.10.2 and dst port 22 ) or ( src host 10.10.10.65 and dst port 80 )

15、抓取源ip是10.10.10.59且目的端口是22,或源ip是10.10.10.68且目的端口是80的数据包。

tcpdump -i eth0 -vnn ‘src host 10.10.10.59 and dst port 22’ or ’ src host 10.10.10.68 and dst port 80 ’

16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。

tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100

17、从/tmp/fill记录中读取tcp协议的数据包

tcpdump –i eth0 -vnn -r /tmp/fil1 tcp

18、从/tmp/fill记录中读取包含10.10.10.58的数据包

tcpdump –i eth0 -vnn -r /tmp/fil1 host 10.10.10.58

常用方法:

tcpdump -nnnv arp                 # 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53    # DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53      # 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1    # 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2   #获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )     # 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80   # 捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。

tcpdump -nnnv src 192.168.15.129 and port 53   # 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP

二、命令格式选项简介

tcpdump host 172.16.29.40 and port 4600 -X -s 500

tcpdump采用命令行方式,它的命令格式为:
  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
          [ -T 类型 ] [ -w 文件名 ] [表达式 ]

-a    将网络地址和广播地址转变成名字;
-d     将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd    将匹配信息包的代码以c语言程序段的格式给出;
-ddd   将匹配信息包的代码以十进制的形式给出;
-e    在输出行打印出数据链路层的头部信息;
-f    将外部的Internet地址以数字的形式打印出来;
-l     使标准输出变为缓冲行形式;
-n 不进行IP地址到主机名的转换;
#eth0 < ntc9.1165 > router.domain.net.telnet,使用-n后变成了:
eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。
   -t     在输出的每一行不打印时间戳;
-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv    输出详细的报文信息;
-c   在收到指定的包的数目后,tcpdump就会停止;
-F     从指定的文件中读取表达式,忽略其它的表达式;
-i     指定监听的网络接口;
-r   从指定的文件中读取包(这些包一般通过-w选项产生);
-w     直接将包写入文件中,并不分析和打印出来;
-T     将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简网络管理协议)
  -nn 不进行端口名称的转换。
#上面这条信息使用-nn后就变成了:eth0 < ntc9.1165 > router.domain.net.23。
 

三、tcpdump的表达式介绍

表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表
达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会
被截获。
在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,
net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明
202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是
host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.
48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则
缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在
FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和e
ther具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会
监听所有协议的信息包。
#-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx
 

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑运算,取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’&&’;或运算 是’o
r’ ,’||’;
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来
说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
 

四、 tcpdump 的输出结果介绍

下面我们介绍几种典型的tcpdump命令的输出信息

(1) 数据链路层头信息


使用命令#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条
命令的输出结果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.
telnet 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是显示的时间, 847509是ID号,eth0 <表示从网络接口eth0 接受该
数据包,eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它
表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的
目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.
telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535
表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
 

(2) ARP包的TCPDUMP输出信息


使用命令#tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是
ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE 的MAC地址。

(3) TCP包的输出信息


用TCPDUMP捕获的TCP包的一般输出信息是:
src > dst: flags da
ta-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记); data-seqno是数据包中的数据的顺序号, ack是
下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针.
Options是选项.

(4) UDP包的输出信息


用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口,类型是UDP, 包的长度是lenth

五、抓包生产实战

1、使用tcpdump排查MySQL数据库tps飙升的问题

当时程序中并没有记录所有执行的sql语句。因此,没有一个现成的数据文件供分析。Sql语句是通过网络以文本方式传输到mysql服务器端的。因此我们完全可以通过tcpdump这个工具把所有的sql语句捕获到。

首先,为了便于比对,我先把一台服务器上的代码回滚到上线前的版本。

其次,我在两台服务器上同时执行tcpdump命令,以捕获所有执行的sql脚本。这两台服务器分别运行着上线前的旧版本程序和上线后的新版本程序。抓包命令如下:

$sudo tcpdump -i eth0 -A -s 3000 port 3306 > ~/sql.log


注意,我们在使用tcpdump的时候加了-A参数,这样就可以把sql语句都显示出来了。更多tcpdump使用,可以查看文章 调试利器之tcpdump详解

大约执行1分钟后,同时停止执行。这个时候,sql.log文件中已经包含了这段时间执行的所有sql语句。示例如下:

$grep ‘update’ ./sql.log | head
…5u.vD…update session_table set expire=’2014-12-12 20:01:23’ where sess_id = ‘demostring123’ limit 1

既然我们现在已经有了所有执行的sql语句,我们就可以很容易的通过使用grep, wc 等命令分析出是那些sql语句执行次数猛增了。

2、抓k8s pod包

需求:查询k8s 哪个pod访问地址10.1.2.148

[root@k8s-wgx-master-100 ~]# tcpdump -i cni0 -vnn dst host 10.1.2.148
tcpdump: listening on cni0, link-type EN10MB (Ethernet), capture size 262144 bytes
-----------
16:52:55.419444 IP (tos 0x0, ttl 64, id 29694, offset 0, flags [DF], proto TCP (6), length 60)
    10.130.2.77.38704 > 10.1.2.148.80: Flags [S], cksum 0x1992 (incorrect -> 0x9594), seq 570124070, win 29200, options [mss 1460,sackOK,TS val 4051375320 ecr 0,nop,wscale 9], length 0
16:52:55.420007 IP (tos 0x0, ttl 64, id 29695, offset 0, flags [DF], proto TCP (6), length 52)
    10.130.2.77.38704 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x718d), ack 782493155, win 58, options [nop,nop,TS val 4051375321 ecr 4142053680], length 0
16:52:55.428356 IP (tos 0x0, ttl 64, id 29697, offset 0, flags [DF], proto TCP (6), length 52)
    10.130.2.77.38704 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x6cb9), ack 534, win 60, options [nop,nop,TS val 4051375329 ecr 4142053688], length 0
16:52:55.428909 IP (tos 0x0, ttl 64, id 29698, offset 0, flags [DF], proto TCP (6), length 52)
    10.130.2.77.38704 > 10.1.2.148.80: Flags [F.], cksum 0x198a (incorrect -> 0x6cb6), seq 685, ack 535, win 60, options [nop,nop,TS val 4051375330 ecr 4142053688], length 0
16:52:55.470916 IP (tos 0x0, ttl 64, id 3063, offset 0, flags [DF], proto TCP (6), length 60)
    10.130.2.77.38710 > 10.1.2.148.80: Flags [S], cksum 0x1992 (incorrect -> 0x0064), seq 4280033019, win 29200, options [mss 1460,sackOK,TS val 4051375372 ecr 0,nop,wscale 9], length 0
16:52:55.471468 IP (tos 0x0, ttl 64, id 3064, offset 0, flags [DF], proto TCP (6), length 52)
    10.130.2.77.38710 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x4b37), ack 3610955327, win 58, options [nop,nop,TS val 4051375372 ecr 4142053731], length 0
16:52:55.471555 IP (tos 0x0, ttl 64, id 3065, offset 0, flags [DF], proto TCP (6), length 776)

最终查询pod ip为:10.130.2.77  -->  10.1.2.148文章来源地址https://www.toymoban.com/news/detail-448845.html

到了这里,关于tcpdump抓包规则命令大全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 如何使用tcpdump命令抓包

    个人主页 : ζ小菜鸡 大家好我是ζ小菜鸡,小伙伴们,让我们一起来学习如何使用tcpdump命令抓包。 如果文章对你有帮助、 欢迎关注、点赞、收藏(一键三连) host:主机,port:端口,src:源IP,src port:源端口,dst:目的IP,dst port:目的端口,net:网段,eth:网口,tcp:协议 -i:指定监听的网络接口 -c

    2024年02月07日
    浏览(47)
  • 抓包之linux下tcpdump命令

    tcpdump 是Linux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 命令行参数介绍: -A 以ASCII格式打印出所有分组,并将链路层的头最小化

    2024年04月23日
    浏览(43)
  • 使用tcpdump命令进行抓包+详细示例

    tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 可以将tcpdump理解为一个具有抓取数据包功能的命令。 tcpdump命令跟其他的Linux命令的使用类似,需

    2024年02月08日
    浏览(45)
  • 实践tcpdump命令,成为网络数据抓包高手

    大家好,又见面了,我是沐风晓月,本文是专栏【linux基本功-基础命令实战】的第57篇文章。 专栏地址:[linux基本功-基础命令专栏] , 此专栏是沐风晓月对Linux常用命令的汇总,希望能够加深自己的印象,以及帮助到其他的小伙伴😉😉。 如果文章有什么需要改进的地方还请

    2024年02月03日
    浏览(38)
  • Linux: network: tools: tcpdump,抓取vlan包需要注意的事情;不然会出现LLC协议

    https://bugzilla.redhat.com/show_bug.cgi?id=498981#c4 https://serverfault.com/questions/544651/vlan-tags-not-shown-in-packet-capture-linux-via-tcpdump 加-e参数,可以将VLAN信息显示在console界面。 -e Print the link-level header on each dump line. This can be used, for example, to print MAC layer addresses for protocols such as Ethernet and IEEE

    2024年02月13日
    浏览(32)
  • Fiddler抓包工具安装后抓取不到Https协议解决办法!!!

    Fiddler刚刚下载安装好后,默认不支持https协议的,想要抓取https,需要手动设置 一、首先点击Tools按钮中的Options…选项  二、选择HTTPS选项,进行图如下三项勾选,最后点击Actions按钮 三、选择将证书保存在桌面  四、保存成功可以在我们的桌面看见证书   五、最后我们需要

    2024年02月16日
    浏览(41)
  • http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

    大家可以发现,在2023年,基本上需要用户输入数据的网站都是使用https协议,简单来说就是比http更安全,使用了更高级的加密方式,即使部分网站使用http协议,用户输入数据也会使用哈希函数或者其他加密方式,http协议为什么不安全呢?我们不妨亲自抓包感受一下,自己输

    2024年02月07日
    浏览(50)
  • Tcpdump:如何同时抓取多个网卡的数据包?

    tcpdump 是网络管理员和系统工程师常用的一个工具,用于抓取网络流量进行分析。通常情况下, tcpdump 是用于监听一个指定的网络接口的。但有时,我们可能需要对多个接口进行同时监听。本文将探讨如何使用 tcpdump 来同时抓取多个网卡的数据包。 在开始之前,让我们快速回

    2024年02月04日
    浏览(38)
  • tcpdump 抓包和记录、tshark 过滤抓包

    目录 tcpdump 一、包名 二、可用参数 tcpdump -nn    tcpdump -nn -i  网卡名   —— 指定显示的网卡 tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口  tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示 tcpdump -nn  -i  网卡名  port   端口名

    2024年02月09日
    浏览(44)
  • tcpdump抓包

    1、tcpdump的选项 2、tcpdump的表达式介绍 4、tcpdump示例 5、过滤主机 6、过滤端口 7、过滤协议 8、常用表达式 9、tcpdump的过滤表达式 10、在嵌入式设备中使用tcpdump 11、抓包循环写入文件 12、tcpdump按进出方向抓包

    2024年04月17日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包