tcpdump命令整合

这篇具有很好参考价值的文章主要介绍了tcpdump命令整合。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

端口抓包:

tcpdump -i any port 端口 -vv

IP抓包:

tcpdump -i any host ip -vv

获取get请求:

tcpdump -nn -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

获取post请求:

tcpdump -s 0 -i eth1 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

抓取包含10.10.10.122的数据包:

tcpdump -i eth0 -vnn host 10.10.10.122

抓取包含10.10.10.0/24网段的数据包:

tcpdump -i eth0 -vnn net 10.10.10.0/24

抓取udp协议的数据包:

tcpdump -i eth0 -vnn udp

抓取icmp协议的数据包:

tcpdump -i eth0 -vnn icmp

抓取arp协议的数据包:

tcpdump -i eth0 -vnn arp

抓取ip协议的数据包:

tcpdump -i eth0 -vnn ip

抓取源ip是10.10.10.122数据包:

tcpdump -i eth0 -vnn src host 10.10.10.122

抓取目的ip是10.10.10.122数据包:

tcpdump -i eth0 -vnn dst host 10.10.10.122

抓取源端口是22的数据包:

tcpdump -i eth0 -vnn src port 22

抓取源ip是10.10.10.253且目的ip是22的数据包:

tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22

抓取源ip是10.10.10.122或者包含端口是22的数据包:

tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22

 抓取源ip是10.10.10.2且目的端口是22,或源ip是10.10.10.65且目的端口是80的数据包:

tcpdump -i eth0 -vnn ( src host 10.10.10.2 and dst port 22 ) or ( src host 10.10.10.65 and dst port 80 )

抓取源ip是10.10.10.59且目的端口是22,或源ip是10.10.10.68且目的端口是80的数据包:

tcpdump -i eth0 -vnn ‘src host 10.10.10.59 and dst port 22’ or ’ src host 10.10.10.68 and dst port 80 ’

把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序:

tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100

从/tmp/fill记录中读取tcp协议的数据包:

tcpdump –i eth0 -vnn -r /tmp/fil1 tcp

 从/tmp/fill记录中读取包含10.10.10.58的数据包:

tcpdump –i eth0 -vnn -r /tmp/fil1 host 10.10.10.58

常用方法:
tcpdump -nnnv arp                 # 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53    # DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53      # 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1    # 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2   #获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )     # 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80   # 捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。

tcpdump -nnnv src 192.168.15.129 and port 53   # 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP

二、命令格式选项简介
tcpdump host 172.16.29.40 and port 4600 -X -s 500

tcpdump采用命令行方式,它的命令格式为:
  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
          [ -T 类型 ] [ -w 文件名 ] [表达式 ]

-a    将网络地址和广播地址转变成名字;
-d     将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd    将匹配信息包的代码以c语言程序段的格式给出;
-ddd   将匹配信息包的代码以十进制的形式给出;
-e    在输出行打印出数据链路层的头部信息;
-f    将外部的Internet地址以数字的形式打印出来;
-l     使标准输出变为缓冲行形式;
-n 不进行IP地址到主机名的转换;
#eth0 < ntc9.1165 > router.domain.net.telnet,使用-n后变成了:
eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。
   -t     在输出的每一行不打印时间戳;
-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv    输出详细的报文信息;
-c   在收到指定的包的数目后,tcpdump就会停止;
-F     从指定的文件中读取表达式,忽略其它的表达式;
-i     指定监听的网络接口;
-r   从指定的文件中读取包(这些包一般通过-w选项产生);
-w     直接将包写入文件中,并不分析和打印出来;
-T     将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简网络管理协议)
  -nn 不进行端口名称的转换。
#上面这条信息使用-nn后就变成了:eth0 < ntc9.1165 > router.domain.net.23。
 

三、tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表
达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会
被截获。
在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,
net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明
202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是
host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.
48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则
缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在
FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和e
ther具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会
监听所有协议的信息包。
#-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx
 

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑运算,取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’&&’;或运算 是’o
r’ ,’||’;
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来
说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
 

四、 tcpdump 的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息


(1) 数据链路层头信息

使用命令#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条
命令的输出结果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.
telnet 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是显示的时间, 847509是ID号,eth0 <表示从网络接口eth0 接受该
数据包,eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它
表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的
目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.
telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535
表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
 

(2) ARP包的TCPDUMP输出信息

使用命令#tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是
ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE 的MAC地址。

(3) TCP包的输出信息

用TCPDUMP捕获的TCP包的一般输出信息是:
src > dst: flags da
ta-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记); data-seqno是数据包中的数据的顺序号, ack是
下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针.
Options是选项.

(4) UDP包的输出信息

用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口,类型是UDP, 包的长度是lenth

五、抓包生产实战
1、使用tcpdump排查MySQL数据库tps飙升的问题
当时程序中并没有记录所有执行的sql语句。因此,没有一个现成的数据文件供分析。Sql语句是通过网络以文本方式传输到mysql服务器端的。因此我们完全可以通过tcpdump这个工具把所有的sql语句捕获到。

首先,为了便于比对,我先把一台服务器上的代码回滚到上线前的版本。

其次,我在两台服务器上同时执行tcpdump命令,以捕获所有执行的sql脚本。这两台服务器分别运行着上线前的旧版本程序和上线后的新版本程序。抓包命令如下:

$sudo tcpdump -i eth0 -A -s 3000 port 3306 > ~/sql.log
————————————————
版权声明:本文为CSDN博主「老虎逛大街」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/sandshell/article/details/125767385文章来源地址https://www.toymoban.com/news/detail-840325.html

到了这里,关于tcpdump命令整合的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Springboot整合Netty实现RPC服务器

    try { ServerBootstrap bootstrap = new ServerBootstrap(); bootstrap.group(boss, worker) .childHandler(new ChannelInitializer() { @Override protected void initChannel(SocketChannel ch) throws Exception { ChannelPipeline pipeline = ch.pipeline(); pipeline.addLast(new IdleStateHandler(0, 0, 60)); pipeline.addLast(new JsonDecoder()); pipeline.addLast(new JsonEnco

    2024年04月09日
    浏览(39)
  • VMWARE 服务器整合为战提供的解决方案

    虚拟构架提供前所未有的负载隔离,为所有系统运算和 I/O 设计的微型 资源控制。虚拟构架完美地结合现有的管理软件并在共享存储( SAN )上改 进投资回报率。通过把物理系统整合到有 VMWARE 虚拟构架的数据中心上 去,企业体验到:  更少的硬件和维护费用  空闲系统资

    2024年02月09日
    浏览(39)
  • 服务器部署整合了elasticsearch的springboot项目后报错

            今天在服务器上面更新自己的项目的时候报错了 报错太长了,我提炼了一下,主要是说bean注入失败,各种service和controller全都寄了,后来看到里面有个elasticsearchRepository,又因为刚整合了elasticsearch,所以基本上可以确定问题就是出在elasticsearch上。         这

    2024年02月05日
    浏览(87)
  • 网络抓包命令tcpdump

    \\\"tcpdump -i any -nn -vv tcp port 9095 -s 0 -w dump.cap\\\"命令是一个网络抓包命令,用于捕获流经指定网络接口的TCP协议、端口号为9095的网络数据包,并将这些数据包写入到名为\\\"dump.cap\\\"的文件中。 具体参数解释: “-i any”: 指定抓包的网络接口为任意接口。 “-nn”: 不将网络地址和端口号

    2024年01月17日
    浏览(31)
  • netty学习(3):SpringBoot整合netty实现多个客户端与服务器通信

    创建一个SpringBoot工程,然后创建三个子模块 整体工程目录:一个server服务(netty服务器),两个client服务(netty客户端) pom文件引入netty依赖,springboot依赖 NettySpringBootApplication NettyServiceHandler SocketInitializer NettyServer NettyStartListener application.yml Client1 NettyClientHandler SocketInitializ

    2024年02月11日
    浏览(56)
  • Windows环境命令行CMD启动远程服务器上的bat文件,附查看远程服务器进程和按PID停止远程服务器进程命令

    Windows环境命令行CMD启动远程服务器上的bat文件,附查看远程服务器进程和按PID停止远程服务器进程命令 Windows环境命令行CMD启动远程服务器上的bat文件,命令如下: 执行后会返回启动的进程ID: 查看远程服务器进程命令: 按PID停止远程服务器进程命令:

    2024年02月07日
    浏览(68)
  • 从一个服务器复制东西到另一个服务器的命令

    您可以使用scp命令从一个服务器复制文件或目录到另一个服务器。以下是基本的scp命令格式: 其中,source是要复制的文件或目录的路径,destination是复制的目标路径,可以是本地路径或远程服务器路径。如果destination是远程服务器路径,则需要在路径前加上用户名和服务器地

    2024年02月14日
    浏览(44)
  • 服务器硬件规格常用查看命令——通用命令

    使用lshw命令可以查看服务器硬件配置的详细信息。使用它可以在支持DMI的x86或IA-64系统以及某些PowerPC机器上打印内存配置、固件版本、主板配置、CPU版本、G4可以工作)。目前该命令支持 CPU频率、缓存、总线速度等信息(已知PowerMac DMI(仅限x86和IA-64)、OpenFimware设备树(仅

    2024年02月05日
    浏览(53)
  • Redis 服务器 命令

    可用版本: = 2.9.50 返回值: 返回 OK。如果 timeout 参数是非法的返回错误。 可用版本: = 1.0.0 返回值: 当 key 存在时,返回有关信息。 当 key 不存在时,返回一个错误。 可用版本: = 1.0.0 返回值: 总是返回 OK 。 可用版本: = 1.0.0 返回值: 保存成功时返回 OK 。 可用版本: = 2.2.12 返回值

    2024年01月16日
    浏览(49)
  • 服务器常用命令

    查看系统硬件设备信息 运行 查看服务器硬件设备信息,包括 BIOS信息(BIOS Information) 、 服务器信息(System Information) 、 CPU信息(Processor Information) 、 缓存信息(Cache Information) 、 内存信息(Physical Memory Array) 、 电源信息(System Power Supply) 、**内存设备(Memory Device)

    2024年02月19日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包