抓包工具tcpdump

Posted zoe233

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了抓包工具tcpdump相关的知识,希望对你有一定的参考价值。

 

[root@oldboy ~]# tcpdump -n icmp -i eth3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth3, link-type EN10MB (Ethernet), capture size 65535 bytes
17:56:11.790672 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 1, length 64
17:56:11.836467 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 1, length 64
17:56:11.996984 IP 192.168.0.109 > 8.8.8.8: ICMP 192.168.0.109 udp port 60926 unreachable, length 126
17:56:12.792953 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 2, length 64
17:56:12.843703 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 2, length 64
17:56:13.795072 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 3, length 64
17:56:13.839374 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 3, length 64
17:56:14.796599 IP 192.168.0.109 > 183.232.231.172: ICMP echo request, id 3859, seq 4, length 64
17:56:14.841945 IP 183.232.231.172 > 192.168.0.109: ICMP echo reply, id 3859, seq 4, length 64
17:58:32.175915 IP 192.168.0.102 > 8.8.8.8: ICMP 192.168.0.102 udp port 58912 unreachable, length 36
17:58:32.344478 IP 192.168.0.102 > 8.8.8.8: ICMP 192.168.0.102 udp port 58912 unreachable, length 36

 

 

tcpdump的表达式介绍

表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。

在表达式中一般如下几种类型的关键字:

  • 第一种是关于类型的关键字,主要包括host,net,port
    • 例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,
    • net 202.0.0.0指明202.0.0.0是一个网络地址,
    • port 23 指明端口号是23。
    • 如果没有指定类型,缺省的类型是host。
  • 第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。
    • src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 ,
    • dst net 202.0.0.0 指明目的网络地址是202.0.0.0。
    • 如果没有指明 方向关键字,则缺省是src or dst关键字。
  • 第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
    • Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
    • 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。
  • 除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater
  • 三种逻辑运算,
    • 取非运算是 ‘not ‘ ‘! ‘,
    • 与运算是’and’,’&&’;
    • 或运算是’or’ ,’||’;

这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

 

 

 

 

参考:https://blog.csdn.net/fujibao/article/details/84638542https://www.cnblogs.com/yhaing/p/8706572.html

 

 

 

以上是关于抓包工具tcpdump的主要内容,如果未能解决你的问题,请参考以下文章

tcpdump抓包分析详解

tcpdump抓包分析详解

TCPdump抓包命令详解

关于Tcpdump抓包总结

TCPDUMP 抓包 怎么查看 抓的包的内容

tcpdump iOS iphone 手机 抓包 流量分析