转载请注明出处:
TCPDump是一个功能强大的网络抓包工具,它能够在命令行界面捕获、分析和解析网络数据包。下面是TCPDump命令的使用总结,包括使用语法、常用参数说明等:
使用语法:tcpdump [options] [expression]
-i <interface>:指定要监听的网络接口。
-n:禁用主机名解析,只显示IP地址。
-l:使输出行立即被缓冲并且刷新到标准输出,而不是按照缓冲区大小进行缓冲。
-c <count>:设置捕获数据包的数量限制。
-s <snaplen>:设置每个数据包的最大捕获长度。
-w <filename>:将捕获的数据包写入文件。
expression:可以是过滤器表达式,用于选择要捕获的数据包。
常见用法示例:
tcpdump -i eth0:捕获并显示来自eth0接口的所有网络数据包。
tcpdump -n -l -c 10:捕获并输出前10个数据包的IP地址(禁用主机名解析)。
tcpdump -i any tcp port 80:捕获并显示所有通过任意接口的源或目的端口为80的TCP数据包。
一些常用过滤器表达式:
host <ip>:捕获指定主机的数据包。
net <network>:捕获指定网络的数据包。
port <port>:捕获指定端口的数据包。
src <ip>:捕获源IP地址为指定IP的数据包。
dst <ip>:捕获目的IP地址为指定IP的数据包。
高级选项:
-A:以ASCII形式显示捕获到的数据包内容。
-X:以十六进制和ASCII组合形式显示捕获到的数据包内容。
-vvv:显示更详细的输出信息,如协议解析和标志位。
使用示例1:
tcpdump -n -l -i any tcp port 24009
响应示例:
这段抓包响应显示了网络流量捕获结果。下面是对每个捕获数据包的分析:
第一个数据包:
时间戳:13:30:46.092550
源IP地址和端口:192.168.118.11.62964
目标IP地址和端口:192.168.118.32.24009
标志(Flags):[S],表示这是一个建立连接的请求数据包
序列号(seq):507702909
窗口大小(win):64512
选项:mss 1460, nop, wscale 3, sackOK, TS val 775689058 ecr 0
长度:0
第二个数据包:
时间戳:13:30:46.092594
源IP地址和端口:192.168.118.32.24009
目标IP地址和端口:192.168.118.11.62964
标志(Flags):[R.],表示连接被重置(reset)
序列号(seq):0
确认序列号(ack):507702910
窗口大小(win):0
长度:0
使用示例2:
tcpdump -n -l -i any tcp port 24009 and src 50.1.1.2 -A -s0 |strings
参数介绍:
tcpdump 是用于捕获网络数据包的命令。-n 禁用主机名解析,显示IP地址而不是域名。-l 设置行缓冲模式,改善实时输出效果。-i any 指定在任意网络接口上进行捕获。tcp 过滤出只显示TCP流量的数据包。port 24009 捕获源或目标端口为24009的流量。and src 50.1.1.2 过滤出源IP地址为50.1.1.2的数据包。-A 以ASCII格式显示数据包内容,使其可读。-s0 设置快照长度为0,捕获完整的数据包。| strings 将输出结果通过管道发送给"strings"命令,该命令过滤非打印字符。
TCP协议中的标志(Flags)字段用于在数据包中传递特定的控制信息。
下面是常见的TCP标志及其说明:
SYN (Synchronize):用于建立连接的请求标志。当一个主机尝试与另一个主机建立连接时,它会发送一个带有SYN标志的数据包。
ACK (Acknowledgment):确认标志。表示收到了对方发送的数据包,并发送了确认响应。
RST (Reset):重置标志。用于终止连接或表示连接出现错误。当一方收到无效的、不可接受的数据包时,可以发送RST标志来告知对方重置连接。
FIN (Finish):结束标志。用于终止连接的请求。当发送方发送了所有数据后,会发送一个带有FIN标志的数据包,请求关闭连接。
PSH (Push):推送标志。指示接收方应该立即将数据交给应用层,而不是等待缓冲区填满或者等待其他条件。
URG (Urgent):紧急标志。表示数据包中有紧急数据需要优先处理。
这些标志可以单独使用或组合在一起,以便传递更多的控制信息。例如,一个数据包可以同时设置SYN和ACK标志,表示建立连接并进行确认。