博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
簡單使用 tcpdump GNU Linux 範例
阅读量:5875 次
发布时间:2019-06-19

本文共 3128 字,大约阅读时间需要 10 分钟。

hot3.png

man tcpdump

 

------------------------------------------------------------------------------------------------------

全文來至 managing security with snort and ids tools, Cox & Gerg

目前尚不懂作者提出不要在本機使用,應 ssh 到另一臺機使用,應會一直收到本機 terminal 的信息???

作者強力要求暸解 tcp/ip header 包頭

精密讀通信

tcpdump -v

以十六進制顯示

tcpdump -x

作者建議不要直接讀,應寫出記錄檔

寫出記錄檔,可後再用 wireshark 讀

tcpdump -w /tmp/差刹诧.out

tcpdump -r /tmp/插茶诧.out

使用 tcpdump 記錄過濾條件

tcpdump -F /home/tmd/tcp.filter

不要轉换 ip 地址成名稱

tcpdump -n

不要轉换 ip 地址,協議,端口成名稱

tcpdump -nn

不要轉换 ip 地址,只顯示 mac 位址

tcpdump -e

只抓 100 個包

tcpdump -c 100

限制捕包長度

tcpdump -s 1500

不捕端口 22 或 ssh

tcpdump -r /tmp/tcpdump.out not port ssh

作者強力要求暸解 tcp/ip header 包頭,有利用於過濾條件

只捕特定 ip 位址,且不捕端口 22 或 ssh

tcpdump -r /tmp/tcpdump.out host 192.168.10.5 and not port ssh

只捕特定 ip 位址,特定端口,不轉换 ip 地址

tcpdump -r /tmp/tcpdump.out -n host 192.168.10.5 and port 80

只捕兩 ip 地址的通信

tcpdump -r /tmp/tcpdump.out host 192.168.10.5 and host 192.168.10.10

---------------------------------------------------------------------------------------------

 

全文來至 Ethereal Packet Sniffing,Orebaugh

指定 IPv4 位置

tcpdump host 12.34.56.刹叉诧

指定 IPv6 位置

tcpdump host 2::8100:2:301:c392:fc5a

指定主機名稱或域名系統

tcpdump host gnu-linux-debiantcpdump host www.oschina.net

指定信息源

tcpdump host src 192.168.1.1或可免 hosttcpdump src 192.168.1.1

指定目地源

tcpdump dst host 192.168.1.1或可免 hosttcpdump dst 192.168.1.1

無類别域間路由

tcpdump src net 192.168.100.0/24

指定 MAC 地址

tcpdump ether host ff:ff:ff:ff:ff:ff

tcpdump ether dst host ff:ff:ff:ff:ff:ff

tcpdump ether dst ff:ff:ff:ff:ff:ff
tcpdump ether src host 00:f9:06:aa:01:03

tcpdump ether src 00:f9:06:aa:01:03

指定端口

tcpdump port 80

指定協議和端口

tcpdump tcp port 80

如果 http 有解識在 /etc/services

tcpdump port http

嗅探 UDP 要求 DNS 服務器

tcpdump udp dst port 53

嗅探 DNS 服務器 的 UDP 回應

tcpdump udp src port 53

除端口 53

tcpdump not port 53

www.oschina.net 的 telenet 端口

tcpdump host www.oschina.net and port telnet

端口 telnet 或 端口 ssh

tcpdump port telnet or port ssh

開源中國的端口 telent 或 開源中國的端口 ssh

tcpdump host www.oschina.net and ( port telnet or port ssh )

開源中國的端口 telent 或 端口 ssh

tcpdump host www.oschina.net and port telnet or port ssh

除協議 IPX

tcpdump not ipx

有些協議有在包裡告知加載協議,IP 在 /etc/protocols 有表明

tcpdump ip proto 6有如tcpdump tcp

指定 ICMPv4 type,[0]為第一個 byte,ICMP 是 Type

tcpdump 'icmp[0] == 8' # ping requesttcpdump 'icmp[0] == 0' # ping replies

指定 ICMPv4 type,關鍵字

tcpdump 'icmp[icmptype] == icmp-echo'tcpdump 'icmp[icmptype] == icmp-echoreply'

只有 TCP SYN 旗

tcpdump 'tcp[tcpflag] == 0x02'tcpdump 'tcp[tcpflag] == tcp-syn'

只要有 TCP SYN 旗

tcpdump tcp[tcpflag] & 'tcp-syn == 0x02'tcpdump tcp[tcpflag] & 'tcp-syn == tcp-syn'

小於 100 bytes

tcpdump 'len < 100'

IP 包大於 255 個 octets,IP 第二個兩個 byte 是 Total Length???

tcpdump 'ip[2:2] > 0xff'

 

不限長度捕抓封包寫至 capture_all 檔

tcpdump -s 0 -w capture

不限長度捕抓 ICMPv4 封包寫至 icmp_capture 檔

tcpdump -s 0 -w icmp_capture ip proto \\icmp

不限長度捕抓目地 192.168.1.1 TCP 端口二十一封包寫至 ftp_capture 檔

tcpdump -s 0 0w ftp_capture 'dst host 192.168.1.1 && tcp port 21'

不限長度捕抓 TCP 封包超精密以十六進制,ASCII 寫至 tcp_capture 檔

tcpdump -vvv -X -s 0 -w tcp_capture ip[9]=6

讀取 etheral_capture 檔並顯示

tcpdump -r ethereal_capture

 

TCPDUMP 只捉前六十八字節

 

转载于:https://my.oschina.net/chuangpoyao/blog/67359

你可能感兴趣的文章
使用 maven 自动将源码打包并发布
查看>>
ES6 对象的扩展
查看>>
Spark:求出分组内的TopN
查看>>
Python爬取豆瓣《复仇者联盟3》评论并生成乖萌的格鲁特
查看>>
关于跨DB增量(增、改)同步两张表的数据小技巧
查看>>
飞秋无法显示局域网好友
查看>>
学员会诊之03:你那惨不忍睹的三层架构
查看>>
vue-04-组件
查看>>
Golang协程与通道整理
查看>>
解决win7远程桌面连接时发生身份验证错误的方法
查看>>
C/C++ 多线程机制
查看>>
js - object.assign 以及浅、深拷贝
查看>>
python mysql Connect Pool mysql连接池 (201
查看>>
Boost在vs2010下的配置
查看>>
android camera(四):camera 驱动 GT2005
查看>>
一起谈.NET技术,ASP.NET伪静态的实现及伪静态的意义
查看>>
20款绝佳的HTML5应用程序示例
查看>>
string::c_str()、string::c_data()及string与char *的正确转换
查看>>
11G数据的hive初测试
查看>>
如何使用Core Text计算一段文本绘制在屏幕上之后的高度
查看>>