Linux中tcpdump命令实例详解
发布时间:2025-01-19 点击:46
服务器
前言
tcpdump是一款类unix/linux环境下的抓包工具,允许用户截获和显示发送或收到的网络数据包。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump 是一个在bsd许可证下发布的自由软件。
下面这篇文章将给大家详细介绍关于linux中tcpdump命令的相关内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍吧。
一、命令格式
tcpdump [ -abddefhllnnopqrstuuvxx ] [ -b buffer_size ] [ -c count ] [ -c file_size ] [ -f file ] [ -g rotate_seconds ] [ -i interface ] [ -m module ] [ -m secret ] [ -r file ] [ -s snaplen ] [ -t type ] [ -w file ] [ -w filecount ] [ -e spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -z user ] [ expression ]二、选项说明
-a:以ascii码方式显示每一个数据包(不会显示数据包中链路层头部信息)。在抓取包含网页数据的数据包时, 可方便查看数据-b:print the as number in bgp packets in asdot notation rather than asplain notation-b [buffer_size],--buffer-size=buffer_size:设置操作系统捕捉缓冲大小,单位kb-c [数据包数目]:收到指定的数据包数目后,就停止进行捕获操作-c [file-size]:与-w [file]选项配合使用。该选项使得tcpdump在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size。如果超过了,将关闭此文件,另创一个文件继续保存原始数据包。新创建的文件名与-w选项指定的文件名一致, 但文件名后多了一个数字,该数字会从1开始随着新创建文件的增多而增加。 file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1m计算所得, 即1m=1024*1024 =1,048,576)-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出-dd:把编译过的数据包编码转换成c语言的格式,并倾倒到标准输出-ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出-d,--list-interfaces:打印系统中所有tcpdump可以在其上进行抓包的网络接口。每一个接口会打印出数字编号, 相应的接口名字, 以及一个可能的网络接口描述。其中网络接口名字和数字编号可以用在tcpdump的-i [flag]选项(nt:把名字或数字代替flag), 来指定要在其上抓包的网络接口。此选项在不支持接口列表命令的系统上很有用(nt: 比如, windows 系统, 或缺乏 ifconfig -a 的unix系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用。如果tcpdump编译时所依赖的libpcap库太老,-d 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数-e:每行打印输出中将包括数据包的数据链路层头部信息 -f:显示外部的ipv4地址时(nt:foreign ipv4 addresses, 可理解为非本机ip地址), 采用数字方式而不是名字。此选项是用来对付sun公司的nis服务器的缺陷(nt: nis, 网络信息服务, tcpdump 显示外部地址的名字时会用到它提供的名称服务): 此nis服务器在查询非本地地址名字时,常常会陷入无尽的查询循环)由于对外部(foreign)ipv4地址的测试需要用到本地网络接口(nt: tcpdump 抓包时用到的接口)及其ipv4 地址和网络掩码. 如果此地址或网络掩码不可用, 或者此接口根本就没有设置相应网络地址和网络掩码(nt: linux 下的 \\\'any\\\' 网络接口就不需要设置地址和掩码, 不过此\\\'any\\\'接口可以收到系统中所有接口的数据包), 该选项不能正常工作。-f [file]: 使用file文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略-g [rotate_seconds]:类似于-c [file_size]命令选项,-c按文件大小来新建文件存储数据包,-g则根据指定的时间周期,将监听到的数据包写入新的文件,新建的文件名由-w选项指定,并且文件名后接有时间串,时间串的格式由strftime(3)指定。如果没有指定时间串的格式,新的文件将覆盖旧的文件。如果与-c option同时使用的话,文件名称格式将是file<count>。-h,--help:打印tcpdump的帮助信息和libpcap的版本信息。(nt:libpcap是unix/linux平台下的网络数据包捕获函数包)--version:打印tcpdump和libpcap的version。-i [interface],--interface=interface: 指定tcpdump 需要监听的接口. 如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).一但找到第一个符合条件的接口, 搜寻马上结束。在采用2.2版本或之后版本内核的linux操作系统上, \\\'any\\\'这个虚拟网络接口可被用来接收所有网络接口上的数据包(nt: 这会包括目的是该网络接口的,也包括目的不是该网络接口的)。需要注意的是如果真实网络接口不能工作在\\\'混杂模式\\\'(promiscuous)下,则无法在\\\'any\\\'这个虚拟网络接口上抓取其数据包。如果-d标志被指定, tcpdump会打印系统中的接口编号,而该编号就可用于此处的interface参数-l:对标准输出进行行缓冲(nt: 使标准输出设备遇到一个换行符就马上把这行的内容打印出来)-l:列出指定网络接口所支持的数据链路层的类型后退出.(nt: 指定接口通过-i 来指定)-n:不把主机的网络地址转换成名字-m [module]:通过module指定的file装载smi和mib模块(nt: smi,structure of management information, 管理信息结构;mib, management information base, 管理信息库。可理解为,这两者用于snmp(simple network management protoco)协议数据包的抓取。具体snmp 的工作原理未知, 另需补充)。此选项可多次使用, 从而为tcpdump装载不同的mib模块-m [secret]:如果tcp数据包(tcp segments)有tcp-md5选项(在rfc 2385有相关描述), 则为其摘要的验证指定一个公共的密钥secret-n:不将地址(比如主机地址、端口号等)转换到对应的名字-n:不要打印主机名的域名资格,比如打印\\\'nic\\\'而不是\\\'nic.ddn.mil\\\'-o,--no-optimize:不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用-p,--no-promiscuous-mode:把网络接口设置为非\\\'混杂\\\'模式。但必须注意,在特殊情况下此网络接口还是会以\\\'混杂\\\'模式来工作;从而,-p的设与不设,不能当做以下选项的代名词:\\\'ether host {local-hw-add}\\\'或\\\'ether broadcast\\\'(nt: 前者表示只匹配以太网地址为host的包, 后者表示匹配以太网地址为广播地址的数据包-q :快速打印输出,即打印很少的协议相关信息, 从而输出行都比较简短-r [file]:从指定的文件读取数据包,如果file为\\\'-\\\'符号, 则tcpdump会从标准输入中读取包数据-r:设定tcpdump对esp/ah数据包的解析按照rfc1825而不是rfc1829(nt:ah:认证头,esp:安全负载封装,这两者会用在ip包的安全传输机制中)。如果此选项被设置,tcpdump将不会打印出\\\'禁止中继\\\'域(nt: relay prevention field)。另外,由于esp/ah规范中没有规定esp/ah数据包必须拥有协议版本号域,所以tcpdump不能从收到的esp/ah数据包中推导出协议版本号-s [snaplen],--snapshot-length=snaplen: 设置tcpdump的数据包抓取长度为snaplen,而不是默认的262144字节。如果产生包截短这种情况, tcpdump的相应打印输出行中会出现\\\'\\\'[|proto]\\\'\\\'的标志(proto 实际会显示为被截短的数据包的相关协议层次). 需要注意的是, 采用长的抓取长度(nt
注册好几天了还是资料审核中
公有云和服务器区别
华云数据:聚焦七步法则,打造数字化企业级云平台
快云服务器搭建网站
已经电话核验了-备案平台
轻量级云服务器购买指南
帮忙看下cc防护-云服务器问题
转租阿里云服务器
前言
tcpdump是一款类unix/linux环境下的抓包工具,允许用户截获和显示发送或收到的网络数据包。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump 是一个在bsd许可证下发布的自由软件。
下面这篇文章将给大家详细介绍关于linux中tcpdump命令的相关内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍吧。
一、命令格式
tcpdump [ -abddefhllnnopqrstuuvxx ] [ -b buffer_size ] [ -c count ] [ -c file_size ] [ -f file ] [ -g rotate_seconds ] [ -i interface ] [ -m module ] [ -m secret ] [ -r file ] [ -s snaplen ] [ -t type ] [ -w file ] [ -w filecount ] [ -e spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -z user ] [ expression ]二、选项说明
-a:以ascii码方式显示每一个数据包(不会显示数据包中链路层头部信息)。在抓取包含网页数据的数据包时, 可方便查看数据-b:print the as number in bgp packets in asdot notation rather than asplain notation-b [buffer_size],--buffer-size=buffer_size:设置操作系统捕捉缓冲大小,单位kb-c [数据包数目]:收到指定的数据包数目后,就停止进行捕获操作-c [file-size]:与-w [file]选项配合使用。该选项使得tcpdump在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size。如果超过了,将关闭此文件,另创一个文件继续保存原始数据包。新创建的文件名与-w选项指定的文件名一致, 但文件名后多了一个数字,该数字会从1开始随着新创建文件的增多而增加。 file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1m计算所得, 即1m=1024*1024 =1,048,576)-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出-dd:把编译过的数据包编码转换成c语言的格式,并倾倒到标准输出-ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出-d,--list-interfaces:打印系统中所有tcpdump可以在其上进行抓包的网络接口。每一个接口会打印出数字编号, 相应的接口名字, 以及一个可能的网络接口描述。其中网络接口名字和数字编号可以用在tcpdump的-i [flag]选项(nt:把名字或数字代替flag), 来指定要在其上抓包的网络接口。此选项在不支持接口列表命令的系统上很有用(nt: 比如, windows 系统, 或缺乏 ifconfig -a 的unix系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用。如果tcpdump编译时所依赖的libpcap库太老,-d 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数-e:每行打印输出中将包括数据包的数据链路层头部信息 -f:显示外部的ipv4地址时(nt:foreign ipv4 addresses, 可理解为非本机ip地址), 采用数字方式而不是名字。此选项是用来对付sun公司的nis服务器的缺陷(nt: nis, 网络信息服务, tcpdump 显示外部地址的名字时会用到它提供的名称服务): 此nis服务器在查询非本地地址名字时,常常会陷入无尽的查询循环)由于对外部(foreign)ipv4地址的测试需要用到本地网络接口(nt: tcpdump 抓包时用到的接口)及其ipv4 地址和网络掩码. 如果此地址或网络掩码不可用, 或者此接口根本就没有设置相应网络地址和网络掩码(nt: linux 下的 \\\'any\\\' 网络接口就不需要设置地址和掩码, 不过此\\\'any\\\'接口可以收到系统中所有接口的数据包), 该选项不能正常工作。-f [file]: 使用file文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略-g [rotate_seconds]:类似于-c [file_size]命令选项,-c按文件大小来新建文件存储数据包,-g则根据指定的时间周期,将监听到的数据包写入新的文件,新建的文件名由-w选项指定,并且文件名后接有时间串,时间串的格式由strftime(3)指定。如果没有指定时间串的格式,新的文件将覆盖旧的文件。如果与-c option同时使用的话,文件名称格式将是file<count>。-h,--help:打印tcpdump的帮助信息和libpcap的版本信息。(nt:libpcap是unix/linux平台下的网络数据包捕获函数包)--version:打印tcpdump和libpcap的version。-i [interface],--interface=interface: 指定tcpdump 需要监听的接口. 如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).一但找到第一个符合条件的接口, 搜寻马上结束。在采用2.2版本或之后版本内核的linux操作系统上, \\\'any\\\'这个虚拟网络接口可被用来接收所有网络接口上的数据包(nt: 这会包括目的是该网络接口的,也包括目的不是该网络接口的)。需要注意的是如果真实网络接口不能工作在\\\'混杂模式\\\'(promiscuous)下,则无法在\\\'any\\\'这个虚拟网络接口上抓取其数据包。如果-d标志被指定, tcpdump会打印系统中的接口编号,而该编号就可用于此处的interface参数-l:对标准输出进行行缓冲(nt: 使标准输出设备遇到一个换行符就马上把这行的内容打印出来)-l:列出指定网络接口所支持的数据链路层的类型后退出.(nt: 指定接口通过-i 来指定)-n:不把主机的网络地址转换成名字-m [module]:通过module指定的file装载smi和mib模块(nt: smi,structure of management information, 管理信息结构;mib, management information base, 管理信息库。可理解为,这两者用于snmp(simple network management protoco)协议数据包的抓取。具体snmp 的工作原理未知, 另需补充)。此选项可多次使用, 从而为tcpdump装载不同的mib模块-m [secret]:如果tcp数据包(tcp segments)有tcp-md5选项(在rfc 2385有相关描述), 则为其摘要的验证指定一个公共的密钥secret-n:不将地址(比如主机地址、端口号等)转换到对应的名字-n:不要打印主机名的域名资格,比如打印\\\'nic\\\'而不是\\\'nic.ddn.mil\\\'-o,--no-optimize:不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用-p,--no-promiscuous-mode:把网络接口设置为非\\\'混杂\\\'模式。但必须注意,在特殊情况下此网络接口还是会以\\\'混杂\\\'模式来工作;从而,-p的设与不设,不能当做以下选项的代名词:\\\'ether host {local-hw-add}\\\'或\\\'ether broadcast\\\'(nt: 前者表示只匹配以太网地址为host的包, 后者表示匹配以太网地址为广播地址的数据包-q :快速打印输出,即打印很少的协议相关信息, 从而输出行都比较简短-r [file]:从指定的文件读取数据包,如果file为\\\'-\\\'符号, 则tcpdump会从标准输入中读取包数据-r:设定tcpdump对esp/ah数据包的解析按照rfc1825而不是rfc1829(nt:ah:认证头,esp:安全负载封装,这两者会用在ip包的安全传输机制中)。如果此选项被设置,tcpdump将不会打印出\\\'禁止中继\\\'域(nt: relay prevention field)。另外,由于esp/ah规范中没有规定esp/ah数据包必须拥有协议版本号域,所以tcpdump不能从收到的esp/ah数据包中推导出协议版本号-s [snaplen],--snapshot-length=snaplen: 设置tcpdump的数据包抓取长度为snaplen,而不是默认的262144字节。如果产生包截短这种情况, tcpdump的相应打印输出行中会出现\\\'\\\'[|proto]\\\'\\\'的标志(proto 实际会显示为被截短的数据包的相关协议层次). 需要注意的是, 采用长的抓取长度(nt
注册好几天了还是资料审核中
公有云和服务器区别
华云数据:聚焦七步法则,打造数字化企业级云平台
快云服务器搭建网站
已经电话核验了-备案平台
轻量级云服务器购买指南
帮忙看下cc防护-云服务器问题
转租阿里云服务器
上一篇:腾讯云服务器怎么抢券
下一篇:微信公司邮箱怎么登陆