tcpdump 抓包和记录、tshark 过滤抓包

这篇具有很好参考价值的文章主要介绍了tcpdump 抓包和记录、tshark 过滤抓包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

tcpdump

一、包名

二、可用参数

tcpdump -nn   

tcpdump -nn -i  网卡名   —— 指定显示的网卡

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

tshark

一、包名

二、常用命令

抓取外部访问http80端口服务的通信


tcpdump

一、包名

tcpdump

二、可用参数

tcpdump -nn   

第一个 n 表示ip会用数字显示,否则显示为主机名

第二个n 表示端口用数字显示,否则显示为服务名

tcpdump 抓包和记录、tshark 过滤抓包

以下这个提示说明还需要指定网卡 

tcpdump 抓包和记录、tshark 过滤抓包

tcpdump -nn -i  网卡名   —— 指定显示的网卡

tcpdump 抓包和记录、tshark 过滤抓包

显示内容如下:

 时间    ip   源ip.源端口   >   目标ip.目标端口    数据包信息   length数据包长度

 通常80端口的通信都是成对的。tcpdump 抓包和记录、tshark 过滤抓包

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

tcpdump 抓包和记录、tshark 过滤抓包

 抓取到足够数量时候会提示。

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump 抓包和记录、tshark 过滤抓包

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

这个文件不能直接cat 查看,这里面写入的是从网卡里捕获的真实通信数据(数据包)。

(虽然能用 tcpdump -r 能读出该文件,但仅仅是数据流的流向,真实包含的内容远不止于此

tcpdump 抓包和记录、tshark 过滤抓包

一开始记录成文件的时候命令没有 -nn 就会记成主机名的模式。

收到udp大量可能是DDos攻击,DDos的udp攻击量可多达300G ,这种需要专门的防攻击的服务商,比如创宇

tshark

一、包名

wireshark

二、常用命令

抓取外部访问http80端口服务的通信

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

参数解释:

tshark -t a   时间标签。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间

-i     捕获的网卡

-n    禁止网络对象名称解析

-R    过滤条件。   -R  http.request  过滤出http请求。

-f 'tcp dst port 80'      只捕获http协议,目标端口为80 

-s   只抓取前多少字节

-T   格式化输出,默认是txt

-e    设置打印输出哪些字段(和-T连用)

-c   抓取多少个包以后结束 

>   重定向则结果输出为文件

参考文献

命令行工具tshark使用小记文章来源地址https://www.toymoban.com/news/detail-490882.html

到了这里,关于tcpdump 抓包和记录、tshark 过滤抓包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • tcpdump 抓包

    一、Tcpdump抓包 抓取端口为2008的数据包   抓包文件内容   抓取到的内容保存在文件中,可以通过wireshark分析 二、tcpdump的一些命令  tcpdump和ethereal可以用来获取和分析网络通讯活动,他们都是使用libpcap库来捕获网络封包的。 ​在混杂模式下他们可以监控网络适配器的所有通

    2023年04月21日
    浏览(33)
  • tcpdump抓包规则命令大全

    下面的例子全是以抓取eth0接口为例,如果不加-i eth0是表示抓取所有的接口包括lo。   tcpdump -nnnv arp                 # 查找ARP攻击时确定攻击原MAC地址时常用。 tcpdump -nnnv udp port 53    # DNS服务器53端口受ARP攻击时查看攻击源时用。 tcpdump -nnnv udp and not port 53      # 可以确定

    2024年02月05日
    浏览(44)
  • Linux 抓包工具——tcpdump

    用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮

    2024年02月12日
    浏览(45)
  • 网络抓包命令tcpdump

    \\\"tcpdump -i any -nn -vv tcp port 9095 -s 0 -w dump.cap\\\"命令是一个网络抓包命令,用于捕获流经指定网络接口的TCP协议、端口号为9095的网络数据包,并将这些数据包写入到名为\\\"dump.cap\\\"的文件中。 具体参数解释: “-i any”: 指定抓包的网络接口为任意接口。 “-nn”: 不将网络地址和端口号

    2024年01月17日
    浏览(34)
  • 如何使用tcpdump命令抓包

    个人主页 : ζ小菜鸡 大家好我是ζ小菜鸡,小伙伴们,让我们一起来学习如何使用tcpdump命令抓包。 如果文章对你有帮助、 欢迎关注、点赞、收藏(一键三连) host:主机,port:端口,src:源IP,src port:源端口,dst:目的IP,dst port:目的端口,net:网段,eth:网口,tcp:协议 -i:指定监听的网络接口 -c

    2024年02月07日
    浏览(47)
  • 抓包之linux下tcpdump命令

    tcpdump 是Linux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 命令行参数介绍: -A 以ASCII格式打印出所有分组,并将链路层的头最小化

    2024年04月23日
    浏览(43)
  • linux 的抓包操作(tcpdump)

    使用 netstat 命令用来打印网络连接状况、系统所开放端口、路由表等信息。最常用的关于netstat 的命令就是: netstat -lnp //打印当前系统启动哪些端口 以及 netstat -an  //打印网络连接状况 如果你所管理的服务器是一台提供 web 服务(80 端口)的服务器,那么你就可以使用 netst

    2024年02月16日
    浏览(51)
  • Centos下的tcpdump抓包用法

          先查一下是否安装,  无的话装一下 (版本低的用yum install) : 1. 列出能抓包的网卡:  tcpdump -D | --list-interfaces 2. 在eth0网卡上抓来源为10.1.1.1 的包, 只抓一个包 (-n这里是不解析DNS) : 3. 抓端口为80的tcp包: tcpdump tcp port 80 dst 10.1.1.1 4. 抓所有udp包: tcpdump udp -v 5. 抓所有非ping包

    2024年02月12日
    浏览(38)
  • [运维] tcpdump 抓包到指定文件

    使用tcpdump命令抓包并将结果保存到指定文件,可以通过指定输出文件参数来实现。 下面是一个示例命令: 其中, interface 是要抓取数据包的网络接口,可以是网络接口名称(例如 eth0 )或者是\\\"any\\\"(表示所有接口)。 output_file.pcap 是要保存抓包结果的文件名,扩展名通常为

    2024年02月16日
    浏览(40)
  • TCP抓包和数据包分析

    tcpdump是Linux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。在Linux系统中由于tcpdump命令的简单和强大,我们一般直接使用tcpdump命令来抓取数据包。保存之后,拖下来在wireshark中分析 一、TCP数据包抓取 tcpdump常用参数: -c:表示要抓取的包数量,比

    2024年02月13日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包