tcpdump 抓包和记录、tshark 过滤抓包

news2024/11/24 5:22:38

目录

tcpdump

一、包名

二、可用参数

tcpdump -nn   

tcpdump -nn -i  网卡名   —— 指定显示的网卡

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

tshark

一、包名

二、常用命令

抓取外部访问http80端口服务的通信


tcpdump

一、包名

tcpdump

二、可用参数

tcpdump -nn   

第一个 n 表示ip会用数字显示,否则显示为主机名

第二个n 表示端口用数字显示,否则显示为服务名

以下这个提示说明还需要指定网卡 

tcpdump -nn -i  网卡名   —— 指定显示的网卡

显示内容如下:

 时间    ip   源ip.源端口   >   目标ip.目标端口    数据包信息   length数据包长度

 通常80端口的通信都是成对的。

tcpdump -nn  -i  网卡名  port   端口名    ——  指定显示的端口 

tcpdump -nn  -i  网卡名  not  port   端口名   ——  排除指定的端口不显示

tcpdump -nn  -i  网卡名  port   端口名  and  host  192.168.36.32   —— 指定显示的ip

tcpdump -nn  -i  网卡名 -c  抓取包数量 —— 只抓取指定数量的数据包次,够了就结束

tcpdump -nn  -i  网卡名 -c 100 -w  /tmp/tcpdump.log——抓取并write写入指定文件

 抓取到足够数量时候会提示。

file  文件名    ——  查看-w抓取记录的文件的基本信息。

tcpdump -r  文件名  —— read查看-w抓取记录文件的内容(数据流)。

这个文件不能直接cat 查看,这里面写入的是从网卡里捕获的真实通信数据(数据包)。

(虽然能用 tcpdump -r 能读出该文件,但仅仅是数据流的流向,真实包含的内容远不止于此

一开始记录成文件的时候命令没有 -nn 就会记成主机名的模式。

收到udp大量可能是DDos攻击,DDos的udp攻击量可多达300G ,这种需要专门的防攻击的服务商,比如创宇

tshark

一、包名

wireshark

二、常用命令

抓取外部访问http80端口服务的通信

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

tshark -n -t a -R http.request -T fields -e “frame.time” -e “ip.src” -e “http.host” -e “http.request.method” -e “http.request.uri”

参数解释:

tshark -t a   时间标签。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间

-i     捕获的网卡

-n    禁止网络对象名称解析

-R    过滤条件。   -R  http.request  过滤出http请求。

-f 'tcp dst port 80'      只捕获http协议,目标端口为80 

-s   只抓取前多少字节

-T   格式化输出,默认是txt

-e    设置打印输出哪些字段(和-T连用)

-c   抓取多少个包以后结束 

>   重定向则结果输出为文件

参考文献

命令行工具tshark使用小记

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/553002.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JavaWeb15 - web 应用常用功能 -文件上传下载

1. 基本介绍 文件的上传和下载,是常见的功能。后面项目就使用了文件上传下载。如果是传输大文件,一般用专门工具或者插件文件上传下载需要使用到两个包 , 需要导入说明: 2. 文件上传 2.1 文件上传的基本原理 ● 文件上传原理示意图, 一图胜千言 …

进程调度策略

1 先进先出 FIFO 2 最短任务优先 SJF https://blog.51cto.com/u_13064014/5079546?btotalstatistic

机器学习和大数据:如何利用机器学习算法分析和预测大数据

第一章:引言 近年来,随着科技的迅速发展和数据的爆炸式增长,大数据已经成为我们生活中无法忽视的一部分。大数据不仅包含着海量的信息,而且蕴含着无数的商机和挑战。然而,如何从这些海量的数据中提取有价值的信息并做…

【CANN训练营0基础赢满分秘籍】昇腾AI入门课(PyTorch)

1 昇腾AI全栈架构 昇腾计算产业是基于昇腾系列处理器和基础软件构睫的全栈Al计算基础设施.行业应用及服务,包括昇腾系列处理器、Atlas系列硬件、CANN (Compute Architecture for Neural Networks,异构计算架构》、Al计算框架、应用使能、全流…

LeetCode_Day4 | 好有难度的一个环形链表啊(在最后)!

LeetCode_链表 24. 两两交换链表中的节点1.题目描述2.虚拟头节点法1.思路2.代码实现 3.递归法1.思路2.代码实现 19. 删除链表的倒数第n个节点1.题目描述2.思路:双指针法3.代码实现 面试题 02.07. 链表相交1.题目描述2.思路3.代码实现 142. 环形链表 II1. 题目描述2.…

【SNAT和DNAT的原理与应用】

目录 一、SNAT原理与应用1、SNAT概述2、SNAT的应用环境3、进行SNAT转换后的情况 二、SNAT实验三、DNAT1、DNAT策略概述2、DNAT 实验 一、SNAT原理与应用 1、SNAT概述 SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常…

网络知识点之-静态路由

静态路由(英语:Static routing)是一种路由的方式,路由项(routing entry)由手动配置,而非动态决定。与动态路由不同,静态路由是固定的,不会改变,即使网络状况已…

进程控制(总)

目录 进程创建 fork函数初识: 写时拷贝: fork常规用法: fork调用失败的原因: 进程终止 进程退出场景: 进程常见退出方法: _exit函数 exit函数 return退出: 进程等待 进程等待的必…

UE5实现模型压平效果

文章目录 1.实现目标2.实现过程2.1 实现原理2.2 蓝图实现2.3 闪面问题与压平精度3.参考资料1.实现目标 模型压平功能是GIS系统中的一个常用功能,可以用于模型的替换,数据的对比等。本文在UE5中通过修改材质的方式实现,实现模型压平的功能,包括常规建模的StaticMesh,以及C…

2023年网络安全竞赛——Windows操作系统渗透测试Server2124

任务五:Windows操作系统渗透测试 任务环境说明: 服务器场景:Server2124(关闭链接)服务器场景操作系统:Windows(版本不详)通过本地PC中渗透测试平台Kali对服务器场景Server2124进行系统服务及版本扫描渗透测试,并将该操作显示结果中1433端口对应的服务版本信息作为Fla…

【C++ 学习 ⑥】- C++ 动态内存管理详解

目录 一、new 表达式和 delete 表达式的工作机理 二、operator new 和 operator delete 函数 2.1 - 标准库定义 2.2 - 重载 三、定位 new 表达式 四、常见面试题 4.1 - malloc/free 和 new/delete 的区别 4.2 - 内存泄漏 在 C 中,new 和 delete 既是关键字&…

Linux系统c语言socket实现TCP通信

socket通信用到的函数 int socket( int af, int type, int protocol); af:一个地址描述。仅支持AF_INET格式,也就是说ARPA Internet地址格式。 type:指定socket类型。新套接口的类型描述类型,如TCP(SOCK_STREAM&#…

IMX6ULL裸机篇之DDR3参数配置分析

一. DDR3L 初始化简介 上一篇博文进行了 DDR参数的初始化,通过一个 execl表进行配置,生成脚本文件。文章网址如下: IMX6ULL裸机篇之DDR3初始化_凌雪舞的博客-CSDN博客 本文对 DDR的参数配置进行详细的说明。即对 "Register Configur…

前端026_菜单模块_新增功能

菜单模块_新增功能 1、需求分析2、新增组件实现3、列表引用新增组件4、关闭弹出窗口5、校验表单数据6、提交表单数据6.1、Mock 添加新增模拟接口6.2、Api 调用接口6.3、测试新增功能1、需求分析 菜单管理中有两处有 新增 按钮: 条件区域的是新增一级菜单,传递的参数是0。列表…

java多线程同步技术基础

说明 当程序中出现多个进程对同一资源进行操作时,因为对数据的操作非常密集,可能会对资源过度操作,这时就需要用到线程的同步技术。 以一个抢红包程序为例,红包数量为3个,开启5个线程来模拟抢红包行为,红…

[MAUI]在.NET MAUI中复刻苹果Cover Flow

文章目录 原理3D旋转平行变换 创建3D变换控件绘制封面图片应用3D旋转应用平行变换绘制倒影创建绑定属性 创建绑定数据创建布局计算位置计算3D旋转 创建动效项目地址 Cover Flow是iTunes和Finder中的一个视图选项,允许用户使用水平滚动的图像查看他们的音乐库或文件。…

使用Qt Creator编写窗体程序并打包发布

1、设置编辑器显示语言为中文(个人习惯) 2、新建窗体应用程序 3、简单修改一下代码 3.1 双击ui文件进入设计模式 3.2 从左侧组件中直接将需要使用的组件拖拽到窗体中 3.3 添加槽函数 选中按钮,右键菜单中 点击 转到槽,头文件和.cpp文件会自动添加对…

中间件_RabbitMQ五种消息模型

文章目录 1.简单消息队列模型2.Work工作队列模型3.发布订阅模型3.1.Fanout广播3.2.Direct路由3.3.Topics通配符 RabbitMQ官方文档 RabbitMQ 提供了5种常用消息模型。但是其实3、4、5这三种都属于订阅模型,只不过进行路由的方式不同。 1.简单消息队列模型 简单消息队…

C语言入门篇——编译篇

目录 1、程序环境 1.1 ANSI C 标准 1.2程序的翻译环境和执行环境 1.3运行环境 2、预处理详解 2.1、预定义符号 2.2、#define 2.2.1#define定义表示符 2.2.2#define定义宏 2.2.3#define替换规则 2.4#和## 2.2.5带副作用的宏参数 2.2.6宏和函数对比 3、#undef 4、…

项目1:登录功能设计

需求 后端接口设计MySQL表常用功能模块 后端总和前端实现方案 home页面 需求 实现一个登录功能 实现的功能 注册(邮箱注册) 登录(邮箱密码) 重置密码 查看操作记录(登录, 注册, 重置密码, 登出. 都算操作) 登出 后端接口设计 1. 人机验证 只要下面出现 人机验证 的功能都需要使…