雖然tcpdump命令的選項(xiàng)特別多，但是常用的選項(xiàng)也就上面那幾個(gè)，我這里將更多的把注意力放在使用實(shí)例上，通過使用實(shí)例來學(xué)習(xí)tcpdump這個(gè)命令。

過濾器

先進(jìn)行使用實(shí)例詳解時(shí)，有必要先掌握tcpdump一些基本的使用理論知識，先來說說過濾器。

在服務(wù)器上的網(wǎng)絡(luò)報(bào)文是異常的多，很多時(shí)候我們只關(guān)注和具體問題有關(guān)的數(shù)據(jù)報(bào)文，而這些有用的報(bào)文只占到很小的一部分，為了不讓我們在報(bào)文的海洋里迷失自己，我們就非常有必要學(xué)習(xí)一下tcpdump提供的靈活而且功能強(qiáng)大的過濾器。

過濾器也可以簡單地分為三類：type，dir和proto。

type：主要用來區(qū)分過濾報(bào)文源類型，主要由host主機(jī)報(bào)文，net網(wǎng)段報(bào)文和port指定端口的報(bào)文組成；

dir：只過濾報(bào)文的源地址和目的地址，主要包括src源地址和dst目的地址；

proto：只過濾報(bào)文的協(xié)議類型，支持tcp，udp和icmp等；使用的時(shí)候可以省略proto關(guān)鍵字：

tcpdump -i eth1 arptcpdump -i eth1 iptcpdump -i eth1 tcptcpdump -i eth1 udptcpdump -i eth1 icmp

在我們使用tcpdump命令時(shí)是離不開這些過濾器的。

條件組合

在茫茫網(wǎng)絡(luò)中，想要找到那個(gè)你想要的網(wǎng)絡(luò)包，還是有一定難度的。為了抓住那個(gè)我們想要的網(wǎng)絡(luò)包，在我們抓包命令中，包含越多的限制條件，抓的無關(guān)包就會越少，所以在進(jìn)行抓包時(shí)，我們可以使用“與”（and、&&）、“或”（or、||）和“非”（not、!）來將多個(gè)條件組合起來。這對我們需要基于某些條件來分析網(wǎng)絡(luò)包是非常有用的。

使用實(shí)例

命令：tcpdump -i eth1

說明：監(jiān)視指定網(wǎng)絡(luò)接口的數(shù)據(jù)包

命令：tcpdump host 210.27.48.3

說明：截獲210.27.48.3主機(jī)收到的和發(fā)出的所有數(shù)據(jù)包

命令：tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6)

說明：截獲210.27.48.3主機(jī)和210.27.48.5或者210.27.48.6主機(jī)進(jìn)行通信的所有數(shù)據(jù)包

命令：tcpdump net 192.168.1.0/24

說明：截獲192.168.1.0/24整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包

命令：tcpdump -i eth0 src host 210.27.48.3

說明：監(jiān)視eth0網(wǎng)卡上源地址是210.27.48.3的所有網(wǎng)絡(luò)包

命令：tcpdump -i eth0 dst host 210.27.48.3

說明：監(jiān)視eth0網(wǎng)卡上目的地址是210.27.48.3的所有網(wǎng)絡(luò)包

命令：tcpdump tcp port 23 and host 210.27.48.3

說明：獲取主機(jī)210.27.48.3上端口為23的應(yīng)用發(fā)出和接收的所有TCP協(xié)議包

命令：tcpdump udp port 123

說明：獲取本機(jī)123端口發(fā)出和接收的所有UDP協(xié)議包

命令：tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24

說明：截獲源主地址為10.126.1.222，目的地址是10.126.1.0/24整個(gè)網(wǎng)絡(luò)

命令：tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap

說明：抓取報(bào)文后按照指定時(shí)間間隔保存；-G選項(xiàng)后面接時(shí)間，單位為秒；上述命令就是每隔60秒生存一個(gè)文件

命令：tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap

說明：抓取報(bào)文后按照指定報(bào)文大小保存；-C選項(xiàng)后接文件大小，單位為MB；上述命令就是每抓包文件達(dá)到1MB時(shí)就使用一個(gè)新的文件保存新抓的報(bào)文

上面說到tcpdump抓包后生成對應(yīng)的文件，那這個(gè)文件如何進(jìn)行分析呢？是的，有這么樣一個(gè)叫做“Wireshark”的軟件，可以非常完美的和tcpdump進(jìn)行結(jié)合，提供可視化的分析界面；有興趣的話可以去學(xué)習(xí)一下。





猜你還會喜歡下面的內(nèi)容

• 我不懂技術(shù)可以購買你們的云服務(wù)器嗎？
• linux sz命令
• 寶塔面板linux如何安裝
• linux怎么禁用ipv6
• 云服務(wù)器linux系統(tǒng)好嗎
• docker容器是什么系統(tǒng)
• Docker能否成為下一個(gè)“Linux”
• linux集群是什么
• linux中啟動yarn集群的命令
• 云服務(wù)器怎么搭建lamp
• Linux強(qiáng)制釋放占用端口以及Linux防火墻端口開放方法詳解
• Linux如何一次重命名多個(gè)文件詳解
• Linux中如何查看已掛載的文件系統(tǒng)類型詳解
• 在Linux命令行中使用tcpdump抓包的一些功能
• linux中ssh免密通信的實(shí)現(xiàn)
• Linux查看進(jìn)程的所有信息的方法示例

熱門標(biāo)簽

其他問題云服務(wù)器問題域名及賬戶問題企業(yè)郵局市場咨詢云服務(wù)器云建站/云站群/小程序虛擬主機(jī)網(wǎng)絡(luò)知識企業(yè)郵箱域名注冊域名備案域名商標(biāo)注冊云主機(jī)更多標(biāo)簽...

大家感興趣的內(nèi)容