msb_14154
/
Learn
mirror of https://github.com/Black-Gold/Learn
1
0
Code Issues Projects Releases Wiki Activity
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'f994f44946'
${ noResults }
Learn/Linux_man_cn/tcpdump.md

62 lines
3.5 KiB
Raw Blame History Escape

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

# **tcpdump**
## 说明
**tcpdump命令** 是一款抓包,嗅探器工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用`-w`选项将数据包保存到文件
中,方便以后分析
## 选项
```markdown
-a尝试将网络和广播地址转换成名称
-c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作
-d把编译过的数据包编码转换成可阅读的格式并倾倒到标准输出
-dd把编译过的数据包编码转换成C语言的格式并倾倒到标准输出
-ddd把编译过的数据包编码转换成十进制数字的格式并倾倒到标准输出
-e在每列倾倒资料上显示连接层级的文件头
-f用数字显示网际网络地址
-F<表达文件>:指定内含表达方式的文件
-i<网络界面>:使用指定的网络截面送出数据包
-l使用标准输出列的缓冲区
-n不把主机的网络地址转换成名字
-N不列出域名
-O不将数据包编码最佳化
-p不让网络界面进入混杂模式
-q :快速输出,仅列出少数的传输协议信息
-r<数据包文件>:从指定的文件读取数据包数据
-s<数据包大小>:设置每个数据包的大小
-S用绝对而非相对数值列出TCP关联数
-t在每列倾倒资料上不显示时间戳记
-tt 在每列倾倒资料上显示未经格式化的时间戳记
-T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型
-v详细显示指令执行过程
-vv更详细显示指令执行过程
-x用十六进制字码列出数据包资料
-w<数据包文件>:把数据包数据写入指定的文件
```
## 实例
```bash
# tcpdump 抓包 用来防止80端口被人攻击时可以分析数据,然后检查IP的重复数 并从小到大排序 注意 "-t\ +0"中间是两个空格
tcpdump -c 10000 -i eth0 -n dst port 80 > /root/pkts
less pkts | awk {'printf $3"\n"'} | cut -d. -f 1-4 | sort | uniq -c | awk {'printf $1" "$2"\n"'} | sort -n -t\ +0
tcpdump # 直接启动tcpdump将监视第一个网络接口上所有流过的数据包
tcpdump -i eth1 # 监视指定接口eth1的数据包
tcpdump host 210.27.48.1 # 指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包
tcpdump host helios and \( hot or ace \) # 打印helios 与 hot 或者与 ace 之间通信的数据包
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) # 截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信
tcpdump ip host ace and not helios # 打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.
tcpdump ip host 210.27.48.1 and ! 210.27.48.2 # 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump -i eth0 src host hostname # 截获主机hostname发送的所有数据
tcpdump -i eth0 dst host hostname # 监视所有送到主机hostname的数据包
tcpdump tcp port 23 host 210.27.48.1 # 监视指定主机和端口的数据包
tcpdump udp port 123 # 对本机的udp 123 端口进行监视 123 为ntp的服务端口
tcpdump net ucb-ether # 监视指定网络的数据包,打印网络地址为ucb-ether的所有数据包
tcpdump 'gateway snup and (port ftp or ftp-data)' # 打印所有通过网关snup的ftp数据包,gateway后必须是网关名称
tcpdump ip and not net localnet # 打印所有源地址或目标地址是本地主机的IP数据包
tcpdump -i any port 80 -A # 抓取80端口的HTTP报文并以文本形式展示
```
Reference in new issue View Git Blame Copy Permalink