Linux tcpdump命令的用法详细解析_unix linux

英文原意是dump traffic on a network ,即截获网络上的数据报,可以根据指定的网络接口来截获不同的数据报。它会输出在某个网络接口上符合匹配表达式的报内容的描述。当tcpdump完成抓包后,会打印出类似下面的内容: 

9 packets captured
56 packets received by filter
17 packets dropped by kernel

当然,在读取网络上的数据包时,得需要特权,比如linux上的超级用户

tcpdump用法

tcpdump -A 用ascii打印出每个包信息,这个对于截获网页很方便
tcpdump -D 打印出当前系统的可用的网络接口。可以用-i选项来指定特定的接口

tcpdump -F 使用文件作为输入的过滤表达式

tcpdump -i 在指定的接口上进行监听。如果未指定,tcpdump会从interface list 中寻找最低数字作为监听的接口

tcpdump -l  使标准输出成为缓冲区,如果你想在截获数据包的同时也查看数据,则可以使用下面命令
tcpdump -l > dat & tail -f dat
tcpdump -S 打印出TCP绝对的序列号
tcpdump -w 将截获的数据包写到一个文件中
如果没有表达式,则网络上所有的包都会被截获

例子TCP Packets

下面就是TCP 报文的格式

src > dst : flags data-segno ack window  urgent options(MSS, 时间戳,窗口规模选项)
1. 要截获特定标志位的TCP 包:在TCP header中,有8位是控制位

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

有TCP 头的结构中

       0                            15                                     31
       -------------------------------------------------------------------------
       |          source port          |       destination port      |
       -------------------------------------------------------------------------
       |                        sequence number                       |
       -------------------------------------------------------------------------
       |                     acknowledgment number                |

       --------------------------------------------------------------------------
       |  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size   |
       --------------------------------------------------------------------------
       |         TCP checksum          |       urgent pointer    |
       --------------------------------------------------------------------------

8为控制位是TCP头中的第13个 8-bits组

                       |                        |
                       |------------------------|
                       |C|E|U|A|P|R|S|F|
                       |------------------------|
                       |7     5    3        0|

当SYN位为1时

则该8-bits组的二进制表示为:00000010  -> 2
所以只截获TCP中标志位为SYN=1的表达式为
tcpdump -i 2 tcp[13]==2  
tcp[13]==2  就是让TCP数据报中的第13个8bits组的值为2

2. 如果TCP报文中带有SYN-ACK,我们认为他是带SYN的报文,那么该咋截获呢

                       |                        |
                       |------------------------|
                       |C|E|U|A|P|R|S|F|
                       |------------------------|
                       |7     5    3        0|

此时该8bits组的二进制表示为 00010010 ->18

此时应该不是 tcp[13] == 18,这样只能截获ACK-SYN报文,而不能再截获SYN报文啦,这时我们应该要维持SYN所在位的值,可以用上逻辑与运算,即如下

‘tcp[13] & 2 == 2' ,就可以啦

注意:下面截图的TCP报文的第二条的标志位 [S.]

UDP Packets

UDP 报文的格式为

  actibude.who > broadcast.who : udp 84

who 为端口号,artinide,broadcast都是主机的网络地址, 84为UDP数据报的大小

UDP name Server Requests

请求报文的格式为

src > dst : id op? flags qtype qclass name(len)

h2opolo.1538 > helios.domain : 3+ A? ucbvax.berkeley.edu (37)

主机hopolo询问主机helios上的domain服务的地址记录(qtype=A),该机路与ucbvax.berkeley,edu相关联

查询id为3,‘+'表明 recursion-desired flag 被设置,query的长度为37字节,没有包括UDP与IP的头长度

UDP Name Server Responses
src > dst : id op rcode flags a/n/au type class data(len)
 helios.domain > h2opolo.1538 : 3 3/3/7 A 128.32.137.3 (273)

该报文是helios响应来自h2opolo的query id 为3,且带有3个answer record,3 个name server records 和 7 个additional records

第一个 answer record 是type A ,它数据的大小为273字节,包括UDP和IP报文头

时间: 2024-09-16 15:36:26

Linux tcpdump命令的用法详细解析_unix linux的相关文章

linux mount命令的用法详细解析_unix linux

挂接命令(mount)首先,介绍一下挂接(mount)命令的使用方法,mount命令参数非常多,这里主要讲一下今天我们要用到的.命令格式:mount [-t vfstype] [-o options] device dir其中: 1.-t vfstype 指定文件系统的类型,通常不必指定.mount 会自动选择正确的类型.常用类型有:光盘或光盘镜像:iso9660DOS fat16文件系统:msdosWindows 9x fat32文件系统:vfatWindows NT ntfs文件系统:ntf

linux中uptime命令的用法详细解析_unix linux

系统中的uptime命令主要用于获取主机运行时间和查询linux系统负载等信息.uptime命令可以显示系统已经运行了多长时间,信息显示依次为:现在时间.系统已经运行了多长时间.目前有多少登陆用户.系统在过去的1分钟.5分钟和15分钟内的平均负载. uptime命令用法十分简单:直接输入uptime即可.另外还有一个参数  -V ,是用来查询版本的. (注意是大写的字母v)[linux @ localhost]$ uptime –Vprocps version 3.2.7[linux @ loc

Linux操作系统口令文件安全问题详细解析_unix linux

几乎所有的类Unix操作系统的口令文件的格式都雷同,Linux亦不例外.口令安全是Linux操作系统的传统安全问题之一. 传统口令与影子口令 /etc/passwd是存放用户的基本信息的口令文件.该口令文件的每一行都包含由6个冒号分隔的7个域: username: passwd: uid: gid: comments: directory: shell 以上从左到右7个域分别叙述如下: username:是用户登陆使用的名字. passwd:是口令密文域.密文是加密过的口令.如果口令经过shad

Linux IPC命令的用法详解_unix linux

进程间通信概述 进程间通信有如下的目的:1.数据传输,一个进程需要将它的数据发送给另一个进程,发送的数据量在一个字节到几M之间: 2.共享数据,多个进程想要操作共享数据,一个进程对数据的修改,其他进程应该立刻看到: 3.通知事件,一个进程需要向另一个或一组进程发送消息,通知它们发生了某件事情: 4.资源共享,多个进程之间共享同样的资源.为了做到这一点,需要内核提供锁和同步机制: 5.进程控制,有些进程希望完全控制另一个进程的执行(如Debug进程),此时控制进程希望能够拦截另一个进程的所有陷入和

Linux下的压缩与解压缩命令详细解析_unix linux

linux zip命令 zip -r myfile.zip ./*将当前目录下的所有文件和文件夹全部压缩成myfile.zip文件,-r表示递归压缩子目录下所有文件. 2.unzipunzip -o -d /home/sunny myfile.zip把myfile.zip文件解压到 /home/sunny/-o:不提示的情况下覆盖文件:-d:-d /home/sunny 指明将文件解压缩到/home/sunny目录下: 3.其他zip -d myfile.zip smart.txt删除压缩文件中

Linux下的Chrome快捷键详细整理_unix linux

Linux下的Chrome快捷键详细整理 标签页和窗口快捷键 Ctrl+N 打开新窗口. Ctrl+T 打开新标签页. Ctrl+Shift+N 在隐身模式下打开新窗口. 按 Ctrl+O,然后选择文件. 在 Chrome 浏览器中打开计算机中的文件. 按住 Ctrl 键的同时点击链接.或用鼠标中键(或鼠标滚轮)点击链接. 从后台在新标签页中打开链接. 按住 Ctrl+Shift 的同时点击链接.或按住 Shift 键的同时用鼠标中键(或鼠标滚轮)点击链接. 在新标签页中打开链接并切换到刚打开的

Linux top命令的用法详细详解_unix linux

查看多核CPU命令mpstat -P ALL  和  sar -P ALL    说明:sar -P ALL > aaa.txt   重定向输出内容到文件 aaa.txt top命令经常用来监控linux的系统状况,比如cpu.内存的使用,程序员基本都知道这个命令,但比较奇怪的是能用好它的人却很少,例如top监控视图中内存数值的含义就有不少的曲解. 本文通过一个运行中的WEB服务器的top监控截图,讲述top视图中的各种数据的含义,还包括视图中各进程(任务)的字段的排序. top进入视图 top

Linux ipcs命令与ipcrm命令的用法详解_unix linux

是linux/uinx上提供关于一些进程间通信方式的信息,包括共享内存,消息队列,信号 ipcs用法 ipcs -a  是默认的输出信息 打印出当前系统中所有的进程间通信方式的信息ipcs -m  打印出使用共享内存进行进程间通信的信息ipcs -q   打印出使用消息队列进行进程间通信的信息ipcs -s  打印出使用信号进行进程间通信的信息 输出格式的控制ipcs -t   输出信息的详细变化时间 ipcs -p  输出ipc方式的进程IDipcs -c  输出ipc方式的创建者/拥有者 i

linux 内存管理机制详细解析_unix linux

物理内存和虚拟内存我们知道,直接从物理内存读写数据要比从硬盘读写数据要快的多,因此,我们希望所有数据的读取和写入都在内存完成,而内存是有限的,这样就引出了物理内存与虚拟内存的概念. 物理内存就是系统硬件提供的内存大小,是真正的内存,相对于物理内存,在linux下还有一个虚拟内存的概念,虚拟内存就是为了满足物理内存的不足而提出的策略,它是利用磁盘空间虚拟出的一块逻辑内存,用作虚拟内存的磁盘空间被称为交换空间(Swap Space). 作为物理内存的扩展,linux会在物理内存不足时,使用交换分区的