tcpdump使用手册
2018-01-02 00:00
375 查看
常用选项 1、-i any: 监听所有的介面。这样你就知道是不是有流量产生。
2、-n: 不要解决主机名,以IP数字形式显示主机。
3、-nn: 不要解析主机名或端口名字。
4、-X: 同时以十六进制和ASCII字符显示包的数据。
5、-XX: 同-X,但也会显示 Ethernet头部。
6、-v, -vv, -vvv: 详细,更详细,再详细些! 冗余输出得到的包信息。 7、-c: 抓取 x 个包后就停下。
8、-S: 打印绝对序号。
9、-e: 同时得到Ethernet头部。
10、-q: 显示少一点协议信息。
11、-E: 用提供的密钥解密 IPSEC 流量。
12、-s: 设置显示前多少个字节的包内容(snaplength)。 tcpdump 4.0的snaplength的长度从68字节改成了96字节,这样你就可以看到多些内容了。但仍然看不到所有的内容,指定 -s 1514 得到包的所有内容。
基本的应用 1、基本通讯,不用太多选项睇睇基本的 tcpdump -nS
2、基本通迅,冗余输出。可以看到好多流量, tcpdump -nnvvS
3、深入一点查看流量。 tcpdump -nnvvXS // -X 选项必不会使tcpdump输出更多.
4、看size大一点的包. tcpdump -nnvvXSs 1514 // -s 1514 选项设定显示所有包内容。
5、net: 使用无类别域间路由(CIDR,Classless Inter-Domain Routing)指定要抓包的网络。 tcpdump net 1.2.3.0/24
6、proto: 指定要抓取的包的协议类型,可以指定tcp,udp,或icmp。可以不用敲入proto tcpdump icmp
7、port: 只查看从指定端口进出的流量 tcpdump port 3389
8、src, dst port: 指定的源地址和端口号,或者目的地址和端口号。只抓取匹配指定地址端口的流量。 tcpdump src port 1025 tcpdump dst port 389
9、src,dst port, protocal : 组合三种指定条件. tcpdump src port 1025 and tcp tcpdump udp and src port 53
10、还有一个选项可以让你指定一个端口地址的范围 Port Ranges tcpdump portrange 21-23
11、指定包的大小 Packet Size Filter // only see packets below or above a certain size (in bytes) tcpdump less 32 tcpdump greater 128 tcpdump equal 64 tcpdump > 32 // 也可以使用数学符号 tcpdump <= 128
12、写入文件 用 -w 选项可以指定一个文件,把抓取到的内容存入该文件内。以后还可以用 -r 指定文件,把以前存入的内容再读回来。这是一个相当不错的方法,可以先抓取包,以后再用各种工具分析。 以这种形式抓到的流量是以tcpdump的格式储存的。这种格式在网络分析的工具之间非常通用。这意味着,像 Wireshark, Snort, 等工具也可以读取它。 把出入80端口的所有流量记录到文件中 tcpdump -s 1514 port 80 -w capture_file 然后,在将来某个时候,你就能够把存在文件中的流量读回,比如: tcpdump -r capture_file
13、创造性的使用tcpdump 表达式确实不错,但是要真正发挥tcpdump的威力来自于创造性地组合使用各种表达式。这样就可以把你想要关注的信息单独抽出来。tcpdump有三种组合方式,如果你稍微懂点计算机,这简直太容易理解了。 1.与操作 and 或者 && 2.或操作 or 或者 || 3.非操作 not 或者 !
14、基本通讯,不用太多选项睇睇基本的 tcpdump -nS
15、基本通迅,冗余输出。可以看到好多流量, tcpdump -nnvvS
16、深入一点查看流量。 tcpdump -nnvvXS // -X 选项必不会使tcpdump输出更多.
17、看size大一点的包. tcpdump -nnvvXSs 1514 // -s 1514 选项设定显示所有包内容。
18、net: 使用无类别域间路由(CIDR,Classless Inter-Domain Routing)指定要抓包的网络。 tcpdump net 1.2.3.0/24
19、proto: 指定要抓取的包的协议类型,可以指定tcp,udp,或icmp。可以不用敲入proto tcpdump icmp
20、port: 只查看从指定端口进出的流量 tcpdump port 3389
21、src, dst port: 指定的源地址和端口号,或者目的地址和端口号。只抓取匹配指定地址端口的流量。 tcpdump src port 1025 tcpdump dst port 389
22、src,dst port, protocal : 组合三种指定条件. tcpdump src port 1025 and tcp tcpdump udp and src port 53
23、还有一个选项可以让你指定一个端口地址的范围 Port Ranges tcpdump portrange 21-23
24、指定包的大小 Packet Size Filter // only see packets below or above a certain size (in bytes) tcpdump less 32 tcpdump greater 128 tcpdump equal 64 tcpdump > 32 // 也可以使用数学符号 tcpdump <= 128
25、写入文件 用 -w 选项可以指定一个文件,把抓取到的内容存入该文件内。以后还可以用 -r 指定文件,把以前存入的内容再读回来。这是一个相当不错的方法,可以先抓取包,以后再用各种工具分析。 以这种形式抓到的流量是以tcpdump的格式储存的。这种格式在网络分析的工具之间非常通用。这意味着,像 Wireshark, Snort, 等工具也可以读取它。 把出入80端口的所有流量记录到文件中 tcpdump -s 1514 port 80 -w capture_file 然后,在将来某个时候,你就能够把存在文件中的流量读回,比如: tcpdump -r capture_file
26、创造性的使用tcpdump 表达式确实不错,但是要真正发挥tcpdump的威力来自于创造性地组合使用各种表达式。这样就可以把你想要关注的信息单独抽出来。tcpdump有三种组合方式,如果你稍微懂点计算机,这简直太容易理解了。 1.与操作 and 或者 && 2.或操作 or 或者 || 3.非操作 not 或者 !
27、基本通讯,不用太多选项睇睇基本的 tcpdump -nS
28、基本通迅,冗余输出。可以看到好多流量, tcpdump -nnvvS
29、深入一点查看流量。 tcpdump -nnvvXS // -X 选项必不会使tcpdump输出更多. 30、看size大一点的包. tcpdump -nnvvXSs 1514 // -s 1514 选项设定显示所有包内容。
31、net: 使用无类别域间路由(CIDR,Classless Inter-Domain Routing)指定要抓包的网络。 tcpdump net 1.2.3.0/24
32、proto: 指定要抓取的包的协议类型,可以指定tcp,udp,或icmp。可以不用敲入proto tcpdump icmp
33、port: 只查看从指定端口进出的流量 tcpdump port 3389
34、src, dst port: 指定的源地址和端口号,或者目的地址和端口号。只抓取匹配指定地址端口的流量。 tcpdump src port 1025 tcpdump dst port 389
35、src,dst port, protocal : 组合三种指定条件. tcpdump src port 1025 and tcp tcpdump udp and src port 53
36、还有一个选项可以让你指定一个端口地址的范围 Port Ranges tcpdump portrange 21-23
37、指定包的大小 Packet Size Filter // only see packets below or above a certain size (in bytes) tcpdump less 32 tcpdump greater 128 tcpdump equal 64 tcpdump > 32 // 也可以使用数学符号 tcpdump <= 128
38、写入文件 用 -w 选项可以指定一个文件,把抓取到的内容存入该文件内。以后还可以用 -r 指定文件,把以前存入的内容再读回来。这是一个相当不错的方法,可以先抓取包,以后再用各种工具分析。 以这种形式抓到的流量是以tcpdump的格式储存的。这种格式在网络分析的工具之间非常通用。这意味着,像 Wireshark, Snort, 等工具也可以读取它。 把出入80端口的所有流量记录到文件中 tcpdump -s 1514 port 80 -w capture_file 然后,在将来某个时候,你就能够把存在文件中的流量读回,比如: tcpdump -r capture_file
39、创造性的使用tcpdump 表达式确实不错,但是要真正发挥tcpdump的威力来自于创造性地组合使用各种表达式。这样就可以把你想要关注的信息单独抽出来。tcpdump有三种组合方式,如果你稍微懂点计算机,这简直太容易理解了。 1.与操作 and 或者 && 2.或操作 or 或者 || 3.非操作 not 或者 !
例子 1、比如检测来自10.5.2.3去到端口3389的流量 tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389
2、检测来自网络 192.168.0.0/16 去到网络 10.0.0.0/8 或者网络 172.16.0.0/16 的流量 tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
3、来自网络 172.16.16.0.0/16 去到主机 1292.168.0.2的 ICMP 流量. tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net 172.16.0.0/16 and not icmp
4、从主机名为 Mars(火星) 或者 Pluto(冥王星) 发出的,目的地不是SSH端口的流量
5、tcpdump -vv src mars or pluto and not dst port 22 你还可以根据包里面的某些字段来组合各种条件指定你要关注的包。这个功能在你想要查看SYNs和RSTs非常有用。
6、Show me all URG packets: 查看所有的紧急包(URG包) tcpdump ‘tcp[13] & 32 != 0′
7、查看所有的确认包(ACK包) tcpdump ‘tcp[13] & 16 != 0′
8、查看所有的PSH包 tcpdump ‘tcp[13] & 8 != 0′
9、查看所有的RST包 tcpdump ‘tcp[13] & 4 != 0′
10、查看所有的SYN包 tcpdump ‘tcp[13] & 2 != 0′
11、查看所有的FIN包 tcpdump ‘tcp[13] & 1 != 0′
12、查看所有的SYN-ACK包 tcpdump ‘tcp[13] = 18′
13、注意:只有PSH, RST, SYN 和 FIN 标志显示在tcpdump的标志域输出中。URG和ACK也会被显示,但显示在其它的地方而不是在标志位中(Flags Field). 你应该明白为什么以上的命令的写法。tcp[13]表示在tcp头的偏移量13字节的位置,然后作了一个布尔判断。 在神奇的Unix世界,一件事通常可以用好几种方式做到。tcpdump也不例外。下面的例子是另一个通过指定tcp包的标志位来查看包的命令。 Capturing TCP Flags Using the tcpflags Option 用 tcpflags 选项来指定 tcp 标志位。
14、查看SYN包. tcpdump ‘tcp[tcpflags] & tcp-syn != 0
15、特殊流量 查看所有IPv6的流量 tcpdump ip6
16、查看所有同时设置了SYN和RST位的流量(仅仅举例,实际上并不可能发生): tcpdump ‘tcp[13] = 6′
17、查看所有的 evil 位被设置的流量 tcpdump ‘ip[6] & 128 != 0′
你会喜欢
菜鸟修炼手册(从0开始分享思路)会持续更新
ISIS网络安全手册曝光
运维工程师必会工具:Nmap 和 TCPdump
相关文章推荐
- tcpdump 使用手册
- linux下的网络分析工具Tcpdump使用手册
- tcpdump 使用手册
- TCPDUMP 使用手册
- linux下的抓包工具Tcpdump使用手册
- 各种工具使用手册:http://www.itshouce.com.cn/linux/linux-tcpdump.html 关于tcpdump!!!!
- 【Microsft】windbg简单使用手册
- Apache Shiro 使用手册(四)Realm 实现
- mapper-util使用手册
- Mini-XML的使用手册
- Apache Shiro 使用手册(五)Shiro 配置说明
- 引用 JAVA EL表达式详细介绍使用手册
- 树莓派RPi.GPIO使用手册
- Anima2D官方中文使用手册(对应Anima2D1.1.4)
- GNU gcc 使用手册
- Apache Shiro 使用手册(四)Realm 实现
- hadoop-3.0.0-beta1运维手册(011):HDFS Erasure Coding纠删码使用
- Sublime Text 3使用参考手册
- StarUML使用说明-指导手册
- [zz]Jquery使用手册