热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

tcpdump参数及使用介绍(转)

原文地址:http:dogdogcom.blog.51cto.com2402458490398tcpdump-a将网络地址和广播地址转变成名字;-d将匹配信息包的代码以人们可以理解

原文地址:http://dogdogcom.blog.51cto.com/2402458/490398

tcpdump

   -a    将网络地址和广播地址转变成名字;
   -d    将匹配信息包的代码以人们可以理解的汇编格式给出;
   -dd     将匹配信息包的代码以c语言程序段的格式给出;
   -ddd   将匹配信息包的代码以十进制的形式给出;
   -e    在输出行打印出数据链路层的头部信息;
   -f     将外部的Internet地址以数字的形式打印出来。
   -l     使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t     在输出的每一行不打印时间戳;
   -v    输出一个略微具体的信息。比如在ip包中能够包含ttl和服务类型的信息;
   -vv     输出具体的报文信息;
   -c    在收到指定的包的数目后。tcpdump就会停止;
   -F      从指定的文件里读取表达式,忽略其他的表达式;
   -i     指定监听的网络接口。
   -r    从指定的文件里读取包(这些包一般通过-w选项产生);
   -w     直接将包写入文件里,并不分析和打印出来;
   -T     将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
          -p           指定协议tcp,udp,icmp,arp
          -s           指定捕获数包字的大小,单位byte,默认96最大65536


可使用keyword:
协议,-p tcp,udp,icmp,arp等
数据包:dst,src,port,dst port,src port,host
运算符:or and not(!)
多条件:dst \(172.16.1.1 or 172.16.1.13 \) 用括号及\转义
在进行嗅探的时候,必须置于混杂模式才干嗅探,系统会有日志记录
grep "promiscuous" /var/log/messages //混杂模式
用TCPDUMP捕获的TCP包的一般输出信息是:
  src.port > dst.port: flags data-Seq ack win urgent options
  src.port > dst.port: 源地址.源端口 到 目的地址.目的端口
       flags:                 TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH)
                           R (RST) "." (没有标记)
    
      data-Seq:      是数据包中Sequence number(顺序号码)
      ack:              Acknowledge number(确认号码) 
      window是接收缓存的窗体大小, 
      urgent表明数据包中是否有紧急指针.
注tcp标志位:
SYN(synchronous建立联机) ACK(acknowledgement 确认) 

PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)


查看icmp包:
1,tcpdump -i eth0 -p icmp    (and src 192.168.1.xxx)

查看广播包:


2,tcpdump -i eth0 -p broadcast

查看arp包


3,tcpdump -i eth0 -p arp


4,tcpdump -X -i eth0 -p tcp port 21 //嗅探21端口数据并解包
获取ftppassword实例:
tcpdump -X -i eth0 -p tcp port 21 > 21.log &
cat 21.log | grep "USER\."
cat 21.log | grep "PASS\."
更精确的嗅探:
嗅探从172.16.1.1到172.16.1.2port为21的数据包:

tcpdump -i eth0 -X -tnn -p tcp and src 172.16.1.1 and dst 172.16.1.2 and port 21


5.tcpdump -X -n -p tcp dst port 80 //嗅探80端口数据,并解包 (加-t就不显示时间)


6.tcpdump -i eth0 host 202.96.128.68 //指定主机


7,//嗅探从172.16.1.2到172.16.1.1 或者172.16.1.13的数据包

tcpdump -i eth0 -tnn src 172.16.1.2 and dst \(172.16.1.1 or 172.16.1.13 \)


8,利用tcpdump统计各类数据包:
//统计1000个数据包中的ip连接量,并按从多到少的顺序排序,列出前3名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}‘ | sort | uniq -c |sort -nr | head -n 3//按从大到小的顺
序排序并列出并三名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}‘ | sort | uniq -c | awk ‘$1 > 100‘//显示大于100数据包
sort:排序 -nr 从大到小 -rn 从小到大
uniq -c:过滤反复并在前面打印反复的行数
awk ‘$1 > 100‘:假设$1參数(数字)大于100

head -n 3:显示头3行


9,tcpdump -i eth0 -tnn host 192.168.1.100 and -p tcp or udp or icmp    //嗅探全部 tcp,udp,icmp消息所不转换网络名称(加高速度)


10,嗅探dhcpserver的ip(捕获非法DHCP Server):
tcpdump -i eth0 -tnn port 67
然后dhclient eth0进行dhcp请求,抓住dhcp server的ip地址
或者看看直接登录它cat /var/messages | grep "DHCPACK from"

tcpdump参数及使用介绍(转)


推荐阅读
  • 如何在PHP中安装Xdebug扩展
    本文介绍了如何从PECL下载并编译安装Xdebug扩展,以及如何配置PHP和PHPStorm以启用调试功能。 ... [详细]
  • 本文介绍了SIP(Session Initiation Protocol,会话发起协议)的基本概念、功能、消息格式及其实现机制。SIP是一种在IP网络上用于建立、管理和终止多媒体通信会话的应用层协议。 ... [详细]
  • 为何Compose与Swarm之后仍有Kubernetes的诞生?
    探讨在已有Compose和Swarm的情况下,Kubernetes是如何以其独特的设计理念和技术优势脱颖而出,成为容器编排领域的领航者。 ... [详细]
  • publicclassBindActionextendsActionSupport{privateStringproString;privateStringcitString; ... [详细]
  • 本文介绍了如何通过C#语言调用动态链接库(DLL)中的函数来实现IC卡的基本操作,包括初始化设备、设置密码模式、获取设备状态等,并详细展示了将TextBox中的数据写入IC卡的具体实现方法。 ... [详细]
  • 项目风险管理策略与实践
    本文探讨了项目风险管理的关键环节,包括风险管理规划、风险识别、风险分析(定性和定量)、风险应对策略规划及风险控制。旨在通过系统的方法提升项目成功率,减少不确定因素对项目的影响。 ... [详细]
  • 回顾两年前春节期间的一个个人项目,该项目原本计划参加竞赛,但最终作为练习项目完成。独自完成了从编码到UI设计的全部工作,尽管代码量不大,但仍有一定的参考价值。本文将详细介绍该项目的背景、功能及技术实现。 ... [详细]
  • 本文探讨了在一个物理隔离的环境中构建数据交换平台所面临的挑战,包括但不限于数据加密、传输监控及确保文件交换的安全性和可靠性。同时,作者结合自身项目经验,分享了项目规划、实施过程中的关键决策及其背后的思考。 ... [详细]
  • importjava.io.*;importjava.util.*;publicclass五子棋游戏{staticintm1;staticintn1;staticfinalintS ... [详细]
  • 本文介绍了如何通过安装 sqlacodegen 和 pymysql 来根据现有的 MySQL 数据库自动生成 ORM 的模型文件(model.py)。此方法适用于需要快速搭建项目模型层的情况。 ... [详细]
  • 本文探讨了程序员这一职业的本质,认为他们是专注于问题解决的专业人士。文章深入分析了他们的日常工作状态、个人品质以及面对挑战时的态度,强调了编程不仅是一项技术活动,更是个人成长和精神修炼的过程。 ... [详细]
  • 在1995年,Simon Plouffe 发现了一种特殊的求和方法来表示某些常数。两年后,Bailey 和 Borwein 在他们的论文中发表了这一发现,这种方法被命名为 Bailey-Borwein-Plouffe (BBP) 公式。该问题要求计算圆周率 π 的第 n 个十六进制数字。 ... [详细]
  • 探索AI智能机器人自动盈利系统的构建
    用户可通过支付198元押金及30元设备维护费租赁AI智能机器人,推荐他人加入可获得相应佣金。随着推荐人数的增加,用户将逐步解锁更高版本,享受更多收益。 ... [详细]
  • 本文将从基础概念入手,详细探讨SpringMVC框架中DispatcherServlet如何通过HandlerMapping进行请求分发,以及其背后的源码实现细节。 ... [详细]
  • Windows操作系统提供了Encrypting File System (EFS)作为内置的数据加密工具,特别适用于对NTFS分区上的文件和文件夹进行加密处理。本文将详细介绍如何使用EFS加密文件夹,以及加密过程中的注意事项。 ... [详细]
author-avatar
mobiledu2502897157
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有