热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

tcpdump参数及使用介绍(转)

原文地址:http:dogdogcom.blog.51cto.com2402458490398tcpdump-a将网络地址和广播地址转变成名字;-d将匹配信息包的代码以人们可以理解

原文地址:http://dogdogcom.blog.51cto.com/2402458/490398

tcpdump

   -a    将网络地址和广播地址转变成名字;
   -d    将匹配信息包的代码以人们可以理解的汇编格式给出;
   -dd     将匹配信息包的代码以c语言程序段的格式给出;
   -ddd   将匹配信息包的代码以十进制的形式给出;
   -e    在输出行打印出数据链路层的头部信息;
   -f     将外部的Internet地址以数字的形式打印出来。
   -l     使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t     在输出的每一行不打印时间戳;
   -v    输出一个略微具体的信息。比如在ip包中能够包含ttl和服务类型的信息;
   -vv     输出具体的报文信息;
   -c    在收到指定的包的数目后。tcpdump就会停止;
   -F      从指定的文件里读取表达式,忽略其他的表达式;
   -i     指定监听的网络接口。
   -r    从指定的文件里读取包(这些包一般通过-w选项产生);
   -w     直接将包写入文件里,并不分析和打印出来;
   -T     将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
          -p           指定协议tcp,udp,icmp,arp
          -s           指定捕获数包字的大小,单位byte,默认96最大65536


可使用keyword:
协议,-p tcp,udp,icmp,arp等
数据包:dst,src,port,dst port,src port,host
运算符:or and not(!)
多条件:dst \(172.16.1.1 or 172.16.1.13 \) 用括号及\转义
在进行嗅探的时候,必须置于混杂模式才干嗅探,系统会有日志记录
grep "promiscuous" /var/log/messages //混杂模式
用TCPDUMP捕获的TCP包的一般输出信息是:
  src.port > dst.port: flags data-Seq ack win urgent options
  src.port > dst.port: 源地址.源端口 到 目的地址.目的端口
       flags:                 TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH)
                           R (RST) "." (没有标记)
    
      data-Seq:      是数据包中Sequence number(顺序号码)
      ack:              Acknowledge number(确认号码) 
      window是接收缓存的窗体大小, 
      urgent表明数据包中是否有紧急指针.
注tcp标志位:
SYN(synchronous建立联机) ACK(acknowledgement 确认) 

PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)


查看icmp包:
1,tcpdump -i eth0 -p icmp    (and src 192.168.1.xxx)

查看广播包:


2,tcpdump -i eth0 -p broadcast

查看arp包


3,tcpdump -i eth0 -p arp


4,tcpdump -X -i eth0 -p tcp port 21 //嗅探21端口数据并解包
获取ftppassword实例:
tcpdump -X -i eth0 -p tcp port 21 > 21.log &
cat 21.log | grep "USER\."
cat 21.log | grep "PASS\."
更精确的嗅探:
嗅探从172.16.1.1到172.16.1.2port为21的数据包:

tcpdump -i eth0 -X -tnn -p tcp and src 172.16.1.1 and dst 172.16.1.2 and port 21


5.tcpdump -X -n -p tcp dst port 80 //嗅探80端口数据,并解包 (加-t就不显示时间)


6.tcpdump -i eth0 host 202.96.128.68 //指定主机


7,//嗅探从172.16.1.2到172.16.1.1 或者172.16.1.13的数据包

tcpdump -i eth0 -tnn src 172.16.1.2 and dst \(172.16.1.1 or 172.16.1.13 \)


8,利用tcpdump统计各类数据包:
//统计1000个数据包中的ip连接量,并按从多到少的顺序排序,列出前3名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}‘ | sort | uniq -c |sort -nr | head -n 3//按从大到小的顺
序排序并列出并三名
tcpdump -i ethp -tnn -c 1000 | awk -F "." "{print $1"."$2"."$3"."$4}‘ | sort | uniq -c | awk ‘$1 > 100‘//显示大于100数据包
sort:排序 -nr 从大到小 -rn 从小到大
uniq -c:过滤反复并在前面打印反复的行数
awk ‘$1 > 100‘:假设$1參数(数字)大于100

head -n 3:显示头3行


9,tcpdump -i eth0 -tnn host 192.168.1.100 and -p tcp or udp or icmp    //嗅探全部 tcp,udp,icmp消息所不转换网络名称(加高速度)


10,嗅探dhcpserver的ip(捕获非法DHCP Server):
tcpdump -i eth0 -tnn port 67
然后dhclient eth0进行dhcp请求,抓住dhcp server的ip地址
或者看看直接登录它cat /var/messages | grep "DHCPACK from"

tcpdump参数及使用介绍(转)


推荐阅读
  • 本文详细介绍了Linux系统中用于管理IPC(Inter-Process Communication)资源的两个重要命令:ipcs和ipcrm。通过这些命令,用户可以查看和删除系统中的消息队列、共享内存和信号量。 ... [详细]
  • malloc 是 C 语言中的一个标准库函数,全称为 memory allocation,即动态内存分配。它用于在程序运行时申请一块指定大小的连续内存区域,并返回该区域的起始地址。当无法预先确定内存的具体位置时,可以通过 malloc 动态分配内存。 ... [详细]
  • NX二次开发:UFUN点收集器UF_UI_select_point_collection详解
    本文介绍了如何在NX中使用UFUN库进行点收集器的二次开发,包括必要的头文件包含、初始化和选择点集合的具体实现。 ... [详细]
  • 本文介绍了如何在 ASP.NET 中设置 Excel 单元格格式为文本,获取多个单元格区域并作为表头,以及进行单元格合并、赋值、格式设置等操作。 ... [详细]
  • LDAP服务器配置与管理
    本文介绍如何通过安装和配置SSSD服务来统一管理用户账户信息,并实现其他系统的登录调用。通过图形化交互界面配置LDAP服务器,确保用户账户信息的集中管理和安全访问。 ... [详细]
  • 如果应用程序经常播放密集、急促而又短暂的音效(如游戏音效)那么使用MediaPlayer显得有些不太适合了。因为MediaPlayer存在如下缺点:1)延时时间较长,且资源占用率高 ... [详细]
  • 网络爬虫的规范与限制
    本文探讨了网络爬虫引发的问题及其解决方案,重点介绍了Robots协议的作用和使用方法,旨在为网络爬虫的合理使用提供指导。 ... [详细]
  • 蒜头君的倒水问题(矩阵快速幂优化)
    蒜头君将两杯热水分别倒入两个杯子中,每杯水的初始量分别为a毫升和b毫升。为了使水冷却,蒜头君采用了一种特殊的方式,即每次将第一杯中的x%的水倒入第二杯,同时将第二杯中的y%的水倒入第一杯。这种操作会重复进行k次,最终求出两杯水中各自的水量。 ... [详细]
  • 经过一年的思考,我发现自己对开发的兴趣并不浓厚,而对算法研究则更加热衷。本文将探讨开发与算法之间的本质差异,并分享我的未来学习计划。 ... [详细]
  • 本文介绍了Java编程语言的基础知识,包括其历史背景、主要特性以及如何安装和配置JDK。此外,还详细讲解了如何编写和运行第一个Java程序,并简要介绍了Eclipse集成开发环境的安装和使用。 ... [详细]
  • Bootstrap 缩略图展示示例
    本文将展示如何使用 Bootstrap 实现缩略图效果,并提供详细的代码示例。 ... [详细]
  • 本文介绍了一种支付平台异步风控系统的架构模型,旨在为开发类似系统的工程师提供参考。 ... [详细]
  • ZooKeeper 入门指南
    本文将详细介绍ZooKeeper的工作机制、特点、数据结构以及常见的应用场景,包括统一命名服务、统一配置管理、统一集群管理、服务器动态上下线和软负载均衡。 ... [详细]
  • 自动验证时页面显示问题的解决方法
    在使用自动验证功能时,页面未能正确显示错误信息。通过使用 `dump($info->getError())` 可以帮助诊断和解决问题。 ... [详细]
  • 本文详细介绍了如何解决DNS服务器配置转发无法解析的问题,包括编辑主配置文件和重启域名服务的具体步骤。 ... [详细]
author-avatar
mobiledu2502897157
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有