linux shell 抓包 tcpdump 学习

最新推荐文章于 2026-05-16 08:56:46 发布
原创 最新推荐文章于 2026-05-16 08:56:46 发布 · 1.5k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了TCPDump的基础知识,包括TCP包头的各个字段,如Flags中的P位,以及三次握手四次挥手过程。通过实例分析了TCP包的结构,如seq、ack、win等字段的含义。此外,还提供了TCPDump的常用参数和实际代码解读,帮助读者更好地理解和使用TCPDump进行网络抓包和分析。

tcpdump 基础

https://ipcmen.com/tcpdump
在这里插入图片描述


    -a 尝试将网络和广播地址转换成名称。
    -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
    -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
    -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
    -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
    -e 在每列倾倒资料上显示连接层级的文件头。
    -f 用数字显示网际网络地址。
    -F<表达文件> 指定内含表达方式的文件。
    -i<网络界面> 使用指定的网络截面送出数据包。
    -l 使用标准输出列的缓冲区。
    -n 不把主机的网络地址转换成名字。
    -N 不列出域名。
    -O 不将数据包编码最佳化。
    -p 不让网络界面进入混杂模式。
    -q 快速输出,仅列出少数的传输协议信息。
    -r<数据包文件> 从指定的文件读取数据包数据。
    -s<数据包大小> 设置每个数据包的大小。
    -S 用绝对而非相对数值列出TCP关联数。
    -t 在每列倾倒资料上不显示时间戳记。
    -tt 在每列倾倒资料上显示未经格式化的时间戳记。
    -T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
    -v 详细显示指令执行过程。
    -vv 更详细显示指令执行过程。
    -x 用十六进制字码列出数据包资料。
    -w<数据包文件> 把数据包数据写入指定的文件。



 1002  ifconfig                                --查看网卡
 1003  tcpdump -w b.cap                        ---抓包写到 b.cap 文件 
 1004  tcpdump -r a.cap                        --1008  tcpdump -A -r a.cap                     --读 以 ASCII 码显示 
 1009  tcpdump -X -r a.cap                     --读 以 16 进制显示 
 1111  tcpdump -D                              --显示当前主机所有网卡 
 1111  tcpdump -i eth0                         --读 eth0 网卡上面的数据 
 1010  tcpdump -i eth0 port 20                 -- 抓包 eth0 网卡 port 20 上面的数据 
 1011  tcpdump -i eth0 tcp port 20             -- 抓包 eth0 网卡 tcp port 20 上面的数据   
 1018  tcpdump -i eth0 -w b.cap                -- 抓包 eth0 网卡数据写入 b.cap  
 1019  tcpdump -r b.cap                        -- 读b.cap 包数据(默认68的字节)
 1019  tcpdump -r -s 0 b.cap                        -- 读b.cap 包所有数据
 1019  tcpdump -n -r b.cap                     -- 读b.cap 包数据 主机名用ip替换
 1020  tcpdump -n -r b.cap | awk '{print $3}'  -- ** | 打印第三列数据
 1021  tcpdump -n -r b.cap | awk '{print $3}' | sort -u    -- * |* | 去重
 1024  tcpdump -n src host 203.107.6.88 -r b.cap           -- 读取源地址203开头的数据
 1025  tcpdump -n dst host 172.31.119.200 -r b.cap         -- 读取目的地址172开头的数据  
 1026  tcpdump -n port 47105 -r b.cap                      -- 读取端口号 47105的数据
 1027  tcpdump -n tcp port 47105 -r b.cap                  -- 读取tcp端口号47105的数据   
 1028  tcpdump -n udp port 47105 -r b.cap                  -- 读取udp端口号47105的数据    
 1029  tcpdump -n -X udp port 47105 -r b.cap              --16进制读取udp端口号47105的数据          
 1029  tcpdump -n -A udp port 47105 -r b.cap              --ASCII读取udp端口号47105的数据    
 1030  tcpdump -A -n 'tcp[13]=24' -r b.cap                --高级筛选

11 TCPDUMP-抓包、筛选、高级筛选
https://www.bilibili.com/video/BV17J411t7BW?from=search&seid=12306874621624259258

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

CWR
ECE
URG
ACK
PSH----P
RST
SYN
FIN

Flags [P.] 是tcp包header部分的第14个字节的P位。这个字节所包含的几个flag很重要。这里P位表示接受方需要马上将包push到应用层。

在这里插入图片描述

三次握手四次挥手

在这里插入图片描述


09:34:42.303336 IP 218.3.247.226.35331 > 10.90.1.127.commplex-main: Flags [S], seq 2763421765, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}6@.r.......
Z........xE........................
09:34:42.303526 IP 10.90.1.127.commplex-main > 218.3.247.226.35331: Flags [S.], seq 2873373130, ack 2763421766, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.
Z...........D1...xF..r.................
09:34:42.304098 IP 218.3.247.226.dnc-port > 10.90.1.127.commplex-main: Flags [S], seq 1207803319, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}7@.r.......
Z...x..G...........................
09:34:42.304206 IP 10.90.1.127.commplex-main > 218.3.247.226.dnc-port: Flags [S.], seq 3623389605, ack 1207803320, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.
Z.........x....G.....r.................
09:34:42.316515 IP 218.3.247.226.50829 > 10.90.1.127.commplex-main: Flags [S], seq 446887968, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}8@.r.......
Z......... ........................
09:34:42.316683 IP 10.90.1.127.commplex-main > 218.3.247.226.50829: Flags [S.], seq 1396788719, ack 446887969, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.
Z..........SAM....!..r.................

在这里插入图片描述

简书 tcpdump 使用

https://www.jianshu.com/p/df62ac76ec5b

在这里插入图片描述

图中红色方框内的部分是一个ip包的详细记录,类似的纪录还有好几条。这里我们着重分析第一条的各部分字段含义。
14:37:41.615018 很简单,是该包接收到的时间。
17.143.164.37.5223 是发送方的ip地址及端口号(5223是端口号)。
10.29.44.140.58036 是我iphone的ip地址及端口号。
Flags [P.] 是tcp包header部分的第14个字节的P位。这个字节所包含的几个flag很重要,后面我会单独详细讲解。这里P位表示接受方需要马上将包push到应用层。
seq 1:54 tcp包的seq号,1是起始值,54结束值。tcp之所以被认为是流,是因为tcp包所携带的每一个字节都有标号(seq号)。1:54表明总共有54个字节被接受,其中一个字节是三次握手阶段所使用,所以一共发送的长度是53字节。
ack 101 tcp包的ack号,ack 101表明seq号为100的字节已被确认收到,下一个期望接收的seq号从101开始。
win 255 win表示的是tcp包发送方,作为接受方还可以接受的字节数。这里win 255表明ip为17.143.164.37的主机还可以接受255个字节。
options [nop,nop,…] options[…]表示的是该tcp包的options区域,nop是no opertion的缩写,没什么实际用途,主要是用做padding,因为options区域按协议规定必须是4字节的倍数。
options[… TS val 2381386761] ts val这个值是tcp包的时间戳,不过这个时间戳和设备的系统时间没啥关系,刚开始是随机值,后面随着系统时钟自增长。这个时间戳主要用处是seq序列号越界从0重新开始后,可以确认包的顺序。
options[… ecr 427050796] ts ecr这个值主要用来计算RTT。比如A发送一个tcp包给B,A会在包里带上TS val,B收到之后在ack包里再把这个值原样返回,A收到B的ack包之后再根据本地时钟就可以计算出RTT了。这个值只在ack包里有效,非ack包ecr的值就为0.
length 53 这个length是应用层传过来的数据大小,不包括tcp的header。这个值和我们上面分析的seq 1:54是一致的。
以上就是一个基本的tcp包结构,大家可以按照上面的分析再把其他几个包理解下。我们在做应用的时候面对的更多是http协议,但对一个http请求是怎么通过tcp/ip分解成一个个的packet,然后怎么在网络上稳定可靠的传输,要有个基本的印象。下面我们再看下tcpdump更多的功能,这些功能都是基于对tcp/ip协议的理解,遇到不理解的建议多google下相关的技术概念。

tcpdump知识拓展

再继续深入tcpdump之前,先贴上一张tcp header格式图,常看常新。
在这里插入图片描述
3.1 TCP Flags(tcp header第十四个字节)
我们再仔细看下上面提到的flags概念,flags位于tcp header的第十四个字节,包含8个比特位,也就是上图的CWR到FIN。这8个比特位都有特定的功能用途,分别是:CWR,ECE,URG,ACK,PSH,RST,SYN,FIN。
CWR ,ECE 两个flag是用来配合做congestion control的,一般情况下和应用层关系不大。发送方的包ECE(ECN-Echo)为0的时候表示出现了congestion,接收方回的包里CWR(Congestion Window Reduced)为1表明收到congestion信息并做了处理。我们重点看其他六个flag。
URG URG代表Urgent,表明包的优先级高,需要优先传送对方并处理。像我们平时使用terminal的时候经常ctrl+c来结束某个任务,这种命令产生的网络数据包就需要urgent。
ACK 也就是我们所熟悉的ack包,用来告诉对方上一个数据包已经成功收到。不过一般不会为了ack单独发送一个包,都是在下一个要发送的packet里设置ack位,这属于tcp的优化机制,参见delayed ack。
PSH Push我们上面解释过,接收方接收到P位的flag包需要马上将包交给应用层处理,一般我们在http request的最后一个包里都能看到P位被设置。
RST Reset位,表明packet的发送方马上就要断开当前连接了。在http请求结束的时候一般可以看到一个数据包设置了RST位。
SYN SYN位在发送建立连接请求的时候会设置,我们所熟悉的tcp三次握手就是syn和ack位的配合:syn->syn+ack->ack。
FIN Finish位设置了就表示发送方没有更多的数据要发送了,之后就要单向关闭连接了,接收方一般会回一个ack包。接收方再同理发送一个FIN就可以双向关闭连接了。
这8个flag首字母分别是:C E U A P R S F。初看难以记忆,我脑洞了下,把它们组合成 supr cafe,当然少了super少了个e,我可以将就下。我们在使用tcpdump的时候会经常看到这几个flag,[S],[P],[R],[F],[.]。其他几个都好理解,[.]特殊点,是个占位符,没有其他flag被设置的时候就显示这个占位符,一般表示ack。

tcpdump 更多使用参数

这部分我们来看下tcpdump常用的一些命令参数。文章最开始部分的tcpdump命令是这样的:sudo tcpdump -i rvi0 -AAl。 -i rvi0 -AAl都是属于参数部分。常见的有这些:
-i, 要监听的网卡名称,-i rvi0监听虚拟网卡。不设置的时候默认监听所有网卡流量。
-A, 用ASCII码展示所截取的流量,一般用于网页或者app里http请求。-AA可以获取更多的信息。
-X,用ASCII码和hex来展示包的内容,和上面的-A比较像。-XX可以展示更多的信息(比如link layer的header)。
-n,不解析hostname,tcpdump会优先暂时主机的名字。-nn则不展示主机名和端口名(比如443端口会被展示成https)。
-s,截取的包字节长度,默认情况下tcpdump会展示96字节的长度,要获取完整的长度可以用-s0或者-s1600。
-c,只截取指定数目的包,然后退出。
-v,展示更多的有用信息,还可以用-vv -vvv增加信息的展示量。
src,指明ip包的发送方地址。
dst,指明ip包的接收方地址。
port,指明tcp包发送方或者接收方的端口号。
and,or,not,操作法,字面意思。

上面几个是我个人比较常用的,更多的参数可以参考这个详细文档。有兴趣的可以分析下面几个例子练习下:
tcpdump ‘tcp[13] & 16!=0’
tcpdump src port 80 and tcp
tcpdump -vv src baidu and not dst port 23
tcpdump -nnvvS src 192.0.1.100 and dst port 443

用tcpdump分析http完整请求

说了这么多,我们再来实战下,看一个完整的http请求流程。 下面截图里的流量是我监听的 知乎App点赞之后发送的一个https请求。我之前先分析过server的ip地址了,tcpdump命令是:
sudo tcpdump -i rvi0 -AAl src 60.28.215.123 or dst 60.28.215.123

在这里插入图片描述

图中列出了6个前面的packet,10.29.44.240是我iphone的ip地址,60.28.215.123是知乎server的ip地址,红色方框内是iphone发出的packet,白色方框内是server发出的packet。packet1是iphone三次握手的第一个syn包,packet2是server ack+syn的包,packet3是iphone ack的包。这3个packet之后tcp的三次握手就完成了。
packet4是iphone发出的http request。长度只有240个字节,所以一个packet就发过去了,当然还设置了flags的P位,request需要马上被应用层处理。包里面出现了spdy,点赞。
packet5是server ack刚收到的包,长度位0,所以这仅仅是一个ack包。
packet6是server返回http的response了,1388个字节。packet5和packet6都ack了seq为241的包,当然是为了增加ack的成功率。
中间还有好几个packet就不仔细分析了,最后再看下请求完成的最后几个包

在这里插入图片描述

最后两个packet比较简单,iphone发送个FIN+ACK的包就断开连接了,server直接发送了一个RST包后也断开连接了。
这篇教程到这里就结束了,建议大家自己多练习下,遇到不懂的参数或关键字多google。最好能系统的学习下tcp/ip协议

作者:布衣Alpha
链接:https://www.jianshu.com/p/df62ac76ec5b
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

实际代码解读

----------10.90.1.127--------服务端
------218.3.247.226--------客户端(本机浏览器)

服务器响应客户端请求
Flags [.], ----------------------- ack
seq 24993:27393, ----------tcp包的seq号,24993是起始值,27393结束值 ,其中一个字节是三次握手阶段所使用,所以后面的length 2400 .
ack 4011, --------------------tcp包的ack号,ack 4011表明seq号为4010的字节已被确认收到,下一个期望接收的seq号从4011开始
win 319, ---------------------表示的是tcp包发送方(10.90.1.127),作为接受方还可以接受的字节数,表示10.90.1.127的主机还可以接受319个字节。
length 2400 ----------------应用层传过来的数据大小,不包括tcp的header


09:34:42.295639 IP 10.90.1.127.commplex-main > 218.3.247.226.58896: Flags [.], seq 24993:27393, ack 4011, win 319, length 2400 
    <script type="text/javascript" src="/js/select2-4.0.3/i18n/zh-CN.js"></script> 
    <script type="text/javascript">
        var errTipsMap = {};
        $.validator.defaults.showErrors = function (errorMap, errorList) {
            //clear tooltip
            $.each(this.validElements(), function (index, element) {
                var $element = $(element);
                $element.removeClass('error')


09:34:42.295668 IP 10.90.1.127.commplex-main > 218.3.247.226.58896: Flags [.], seq 27393:29793, ack 4011, win 319, length 2400

            }
            else if(zoom >= cityZoom && zoom < districtZoom){
                return 4;//......
            }

后面会有 ack 29793


09:34:42.325083 IP 218.3.247.226.58896 > 10.90.1.127.commplex-main: Flags [.], ack 29793, win 1026, length 0
E..(}=@.r.......
Z........K.....P.......



09:34:42.321005 IP 10.90.1.127.commplex-main > 218.3.247.226.58896: Flags [.], seq 29793:32193, ack 4011, win 319, length 2400
                            else if (8 <= map.getZoom() && map.getZoom() < 11) {//..........................................
                                map.setCenter(marker.getPosition());
                                map.setZoom(12);


09:34:42.347814 IP 218.3.247.226.58896 > 10.90.1.127.commplex-main: Flags [.], ack 32193, win 1026, length 0
E..(}B@.r.......
Z........K....'P.......

1 seq 2763421765,
2 ack 2763421766,
3 seq 1207803319,
4 ack 1207803320,
5 seq 446887968,
6 ack 446887969,


09:34:42.303336 IP 218.3.247.226.35331 > 10.90.1.127.commplex-main: Flags [S], seq 2763421765, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}6@.r.......
Z........xE........................
09:34:42.303526 IP 10.90.1.127.commplex-main > 218.3.247.226.35331: Flags [S.], seq 2873373130, ack 2763421766, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.
Z...........D1...xF..r.................
09:34:42.304098 IP 218.3.247.226.dnc-port > 10.90.1.127.commplex-main: Flags [S], seq 1207803319, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}7@.r.......
Z...x..G...........................
09:34:42.304206 IP 10.90.1.127.commplex-main > 218.3.247.226.dnc-port: Flags [S.], seq 3623389605, ack 1207803320, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.
Z.........x....G.....r.................
09:34:42.316515 IP 218.3.247.226.50829 > 10.90.1.127.commplex-main: Flags [S], seq 446887968, win 64240, options [mss 1200,nop,wscale 8,nop,nop,sackOK], length 0
E..4}8@.r.......
Z......... ........................
09:34:42.316683 IP 10.90.1.127.commplex-main > 218.3.247.226.50829: Flags [S.], seq 1396788719, ack 446887969, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
E..4..@.?.^.

[P.] ------- PSH Push我们上面解释过,接收方接收到P位的flag包需要马上将包交给应用层处理,一般我们在http request的最后一个包里都能看到P位被设置。

09:34:42.347922 IP 10.90.1.127.commplex-main > 218.3.247.226.58896: Flags [P.], seq 39393:41663, ack 4011, win 319, length 2270
            $("#map_right_close").on("click", function (e) {
                $("#map_right_close").hide();
                $("div.maprightbot").show();
                $("#map_right_show").show();
            })
        });
    </script>
</body>
</html>
0
09:34:42.348241 IP 218.3.247.226.58896 > 10.90.1.127.commplex-main: Flags [.], ack 36993, win 1026, length 0
E..(}C@.r.......
Z........K.....P.......

[.] -----ack
表示客户端接收到服务器(10.90.1.127)发来的seq 41663 的包,向服务器表示接收成功。



09:34:42.372487 IP 218.3.247.226.58896 > 10.90.1.127.commplex-main: Flags [.], ack 41663, win 1026, length 0
E..(}E@.r.......
Z........K....%P...{...

09:34:42.729443 IP 218.3.247.226.48621 > 10.90.1.127.commplex-main: Flags [.], seq 1:1201, ack 1, win 1026, length 1200

  1. 客户端向服务端请求

09:34:42.729678 IP 218.3.247.226.48621 > 10.90.1.127.commplex-main: Flags [P.], seq 1201:1475, ack 1, win 1026, length 274
2. 客户端向服务端请求并要求服务端立即执行 (seq 1475)

09:34:42.729731 IP 10.90.1.127.commplex-main > 218.3.247.226.48621: Flags [.], ack 1475, win 266, length 0
3. 服务端收到客户请求,并作出相应 (ack 1475)



09:34:42.729443 IP 218.3.247.226.48621 > 10.90.1.127.commplex-main: Flags [.], seq 1:1201, ack 1, win 1026, length 1200
E...}F@.r.......
Z.......,.....YP.......GET /Vehicle/GetVehiclesCountByStatus HTTP/1.1
Host: 120.195.166.245:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Referer: http://120.195.166.245:5000/Vehicle/MapDistribution
Cookie: ASP.NET_SessionId=paoe0uhndvvtzgassuyz4gwh; .AspNetCore.Antiforgery.EfALfYy1toA=CfDJ8KaQo3HvI95BkHOnzyEfJ0g-_M0xdh-bBZyfw4BGmOYnObGa1J7xgaWRCmgQMS2JaaedkSfVbYKseAgLhliRntBOdARLT6i-xywqKYGnuQgpOyQLpU7v_IRGQUCIg6aYNeo-si6vmt6ZinboC_M2vvY; .AspNetCore.Cookie=CfDJ8KaQo3HvI95BkHOnzyEfJ0gJX_mGrEeUCsA7buWyi4B-MHcjH5BDwZSQBY2Tt322c0tcuPu1NEhSHFbhTKL5ZmdcAw68lVcuTQuOreiQ6N-7-_Y1WV4wsqovIwsHaeAmyBmtnfr3106Ss-8utQl5xMvbMKWKwgoxiNhNdQoSZkawEohVNueGBY0AUDsqYt7N-O0gt5ExAuiqwlYO7cKmkBuokAXCVkPKUiTZ0DiFptaQMeqfCRsxpIXhKfghlIFIetuqq4Hb9k237PoLGb7QUsIMmUH9AGjmNDqsMn2n1roSP7GRH7esJVf4fqOSbXdAouV5xjF6I_YBhoDxjG3YT89P71SyKcZCYgyxPMf2XTq6jvOynOrke6OBE9c7MpbbA4C-eqzrrua2TtZqSAal81h0PINBTDr9LAhM8pbLJeRtiDvpco790bDIf3F6hu3AHbvMP_3z6BEc69fmBNh9j6lNcrtitzz5tIdOGs_tEa5oTgW7ydqxSUOonvt3fQoiT77qOSO_C
09:34:42.729490 IP 10.90.1.127.commplex-main > 218.3.247.226.48621: Flags [.], ack 1201, win 247, length 0
E..(T.@.?.	Z
Z.............Y.,.8P.......
09:34:42.729678 IP 218.3.247.226.48621 > 10.90.1.127.commplex-main: Flags [P.], seq 1201:1475, ack 1, win 1026, length 274
E..:}G@.r.......
Z.......,.8...YP.......8MwJ92fXYmC3Xm6Cu8AR7nbsf2ywVzcfr5AhUizP9Ta1MRnqixUF7TzNJCh28IVWgA_86hhaht-T5CGFYUgPt1MHMxSvDg-1PLYQtVSAgbVfK_jl6OLmxhry24Wr73gJ4Q2WPK_JF_gCufrFe831iH4DG9VhcQt9BXLF54WtjeQPbkgqBoxstk6Zq6bZPXuyQ2vkTNP7jQuxc_j7PIDgvJ6oHBn-o5mO7R5GlGjrjB-kOMzpa7Y9QWxP2jCQxhxG4f7zfsrKDOmcVY


09:34:42.729731 IP 10.90.1.127.commplex-main > 218.3.247.226.48621: Flags [.], ack 1475, win 266, length 0
E..(T.@.?.	Y
Z.............Y.,.JP..
....
shell中执行脚本并显示到终端和保存到日志文件中
sixtome
09-11 1万+
我们知道,在shell中执行脚本会返回一定信息到终端屏幕上 ,但是有一些特殊情况,如以下情况: 1)显示到终端中 echo “abck” 以上在手动执行脚本中是可以的,如果是编写好的脚本可能不行,就需要如下面缩写 echo "abck" > /dev/console 2)保存到日志文件中 echo "abck" > result.txt 覆盖到文件中 echo "abck " >>result.txt 增加到文件末尾 append模式 3)在...
【网络编程】TCP抓包工具之tcpdump
码农印象
03-03 1003
前言一、 tcpdump选项1. 抓包选项:2. 输出选项:3. 其他功能性选项:二、tcpdump表达式三、tcpdump示例 tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。不带任何选项的tcpdump,默认会抓取第一个网络接口,且只有将tcpdump进程终止才会停止抓包。 例如: shell&amp;gt; tcpdump -nn -i ens33 icmp ...
抓包工具-tcpdump用法说明
嘻哈熊的专栏
05-11 2396
转自:骏马金龙 www.cnblogs.com/f-ck-need-u/p/7064286.html tcpdump 采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。 不带任何选项的 tcpdump,默认会抓取第一个网络接口,且只有将 tcpdump 进程终止才会停止抓包。 例如: shell> tcpdump -nn -i eth0 icmp 下面是详细的 tcpdump 用法。 1.1 tcpdump 选项 它的命令格式为: tcpdump [ -DenNqvX .
linux运维一天一个shell命令之tcpdump详解
weixin_46546303的博客
08-02 3183
数据包(Data Packet)是网络通信中的一个基本单位。在计算机网络中,数据包是用于传输数据的结构化单元,它通常包含了发送方和接收方的信息、数据内容以及用于控制和校验的数据。在不同的网络层中,数据包的结构和术语可能有所不同,但其核心概念是相似的。
tcpdump
最新发布
tyro_wzp的博客
05-16 54
本文介绍了tcpdump抓包工具的使用方法,包括常用参数(如-a、-c、-e等)和过滤规则语法(host、port、协议类型等)。重点解析了TCP和UDP抓包格式:TCP抓包包含时间戳、源/目的地址、标志位(SYN/ACK等)、序列号、窗口大小等字段,并通过三次握手和四次挥手示例说明TCP连接过程;UDP抓包格式相对简单。文章还提供了HTTP服务抓包实例,展示了TCP连接建立、数据传输和断开的全过程。这些知识对网络协议分析和故障排查具有实用价值。
Shell 命令集合 网络通讯 】Linux 网络抓包工具 tcpdump命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-27 1840
tcpdump是一个网络抓包工具,可以在Linux系统上进行网络数据包的捕获和分析。它能够监听网络接口,抓取经过该接口的数据包,并将其以人类可读的形式展示出来。
linux面试中级面试题
weixin_34100227的博客
11-20 110
一、Linux系统和Shell 1.写一个sed命令,修改/tmp/input.txt文件的内容,要求:(1)删除所有空行;(2)一行中,如果包含"11111",则在"11111"前面插入"AAA",在"11111"后面插入"BBB",比如:将内容为0000111112222的一行改为:0000AAA11111BBB2222 #sed '^$/d...
tcpdump抓包脚本
Name_kongkong的博客
12-16 1384
tcpdump抓包脚本 可以指定间隔时间、网卡、存储路径等 待完善存储时间、指定包大小等 #!/bin/bash #author zls #for work 抓包工具 #date 2020-12-14 #指定网口 net_po=eth0 #pcap保存路径 save_path=/mydata/zls/wav #pid pid_path=/mydata/zls/wav #保存格式 format=%Y_%m_%d-%H_%M_%S #抓包的时长(-G秒) th=300 #抓包的大小(-s 0,.
也谈tcpdump抓包
sxd2001的博客
12-02 1215
本文不关心tcpdump的具体使用,主要针对tcpdump和bridge、promisc以及loopback设备的一些技术细节进行了展开,还对数据包的进出方向进行了分析。
shell脚本中使用tcpdump抓包
congzi0424的专栏
11-09 6968
1. 启动脚本 #!/bin/bash filename='view_history_'`date +%F-%H:%M:%S` touch $filename #没有后面的tdid则无法退出tcpdump进程 tcpdump -i br0 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' -w $filename & tdid='pg
TCPDUMPshell小脚本
Mrlie的博客
12-27 8953
代码在下面 具体思路如下: 用户会输入指令,如网卡(ens33),数量(300)等 我们需要输出提示:如请输入网卡名,请输入数量等 指令需要和选项结合在一起,如网卡前面要加-i,数量前面要加-c等 所以,创建func数组,搜集用户输入的指令 创建prompt数组,输入我们要给出的提示 创建option数组,输入用户指令前面的选项 创建常数conditionnum,设置为我们要写入的条件个数 最后创建FUNC数组,目的时把func和option结合在一起 创建循环,设置i=0,当i小于co
tcpdump详解&实战
my的博客
05-03 2518
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
impala常用数值函数大全(超详细)
hua_ge_zui_liang的博客
09-29 1万+
本文目录数值函数函数列表 数值函数 Impala中数学函数用来执行数值计算,比如基本加法,减法,乘法和除法及更复杂的运算 函数列表 abs(numeric_type a) ==>返回参数的绝对值 --得到-12的绝对值 [master:21000] > select abs(-12) as abs; +-----+ | abs | +-----+ | 12 | +-----+ --得到-12.5的绝对值 [master:21000] > select abs(-12.5) as a
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 4万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
Linux - Tcpdump工具
qq_43293370的博客
10-24 914
Linux - Tcpdump工具
linux shell 发送tcp,用shell来发tcp包
weixin_36416418的博客
05-15 726
经常用tcpdump抓包来倒腾和学习, 但怎么触发tcp包呢? 写一个客户端程序, 然后朝server上发包, 肯定可以, 但还有更简单的方法:exec 8<>/dev/tcp/10.100.70.139/19006echo -e "stats" >&8 用tcpdump抓包的结果为:xxxxxx$ sudo tcpdump -iany port 19006 -X...
【Adb Shell】手机Tcpdump的安装方法
weixin_42460600的博客
05-09 4056
在Android手机上使用Tcpdump进行抓包的流程
linux下如何使用 tcpdump 进行抓包详细教程
ss810540895的博客
10-13 4025
今天要给大家介绍的一个 Unix 下的一个,也就是我们常说的。与它功能类似的工具有,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。由于我本人更习惯使用命令行的方式进行抓包,因此今天先跳过 wireshark,直接给大家介绍这个神器。
tcpdump抓包命令,过滤IP端口,保存为pcap文件,抓本机上的包
一名Java后端程序员,分享日常bug和一些好玩的东西!
10-16 1万+
tcpdump抓包命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件在Wireshark上打开查看 tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080
执行shell命令时实时输出日志
10-13 2820
执行shell命令时实时输出日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值