编程教育资源分享平台

网站首页 > 后端开发 正文

TCPdump抓包软件之抓包过滤器

luoriw 2024-02-01 14:26:12 后端开发 13 ℃ 0 评论


概述

众所周知,Linux系统环境下常用的抓包软件是tcpdump。一般我们会把tcpdump抓取的报文下载到windows系统,然后使用wireshark进行图形化分析,本期文章向各位分享tcpdump抓包的相关方法,希望各位小伙伴有所收获。

Tcpdump抓包

Tcpdump命令使用帮助

在linux系统中,我们可以使用下面两个命令知悉tcpdump命令的具体用法,其中第2条命令可查看tcpdump命令详细的使用方法以及相关使用案例。

  1. tcpdump –help
  2. man tcpdump

Tcpdump常见的抓包过滤设置

通过10个小问题来介绍tcpdump常见的抓包过滤设置,如下所示:

一、问题清单

  1. 如何抓取ARP数据包?
  2. 如何设置抓取数据包长度?
  3. 如何抓取特定主机的数据包?
  4. 如何抓取ICMP报文?
  5. 如何抓取ICMP数据包中ICMP echo request数据包?
  6. 如何抓取特定主机的ICMP报文?
  7. 如何抓取指定目标主机或者源主机的数据包?
  8. 如何抓取UDP或TCP特定端口的数据包?
  9. 如何抓取详细的数据报文?
  10. 如何保存抓取的数据包?

二、问题解决方案清单

1.如何抓取ARP数据包?

tcpdump 'arp' -c 3

备注:

-c 3 ;仅抓取3个数据包;

262144 bytes ;默认的抓包长度是262144 bytes,不同版本的Linux系统抓包长度默认值不同;

2.如何设置抓取数据包长度?

tcpdump 'arp' -c 3 -s 100

3.如何抓取特定主机的数据包?

tcpdump host 192.168.1.254 -c 3

4.如何抓取ICMP报文?

tcpdump 'icmp' -c 4

5.如何抓取ICMP数据包中ICMP echo request数据包?

tcpdump 'icmp[icmptype] == icmp-echo' -c 4

6.如何抓取特定主机的ICMP报文?

tcpdump 'icmp' -c 4 and host 192.168.1.101

7.如何抓取指定目标主机或者源主机的数据包?

tcpdump dst 192.168.1.254 -c 4

tcpdump src 192.168.1.254 -c 4

备注:

src ;源主机

dst ;目标主机

8.如何抓取特定主机和特定端口的数据包?

tcpdump host 192.168.1.254 and tcp port 22 -c 4

tcpdump host 192.168.1.200 and port 123 -c 4

9.如何抓取详细的数据报文?

tcpdump -vv 'icmp' -c 4

备注:

-vv ;即可抓取详细的数据包;

10.如何保存抓取的数据包?

tcpdump -vv -i any -s 1000 -w radius.pcap port 1812 or port 1813

备注:

-i any ;抓取系统主机所有的接口;

-w radius.pcap;抓取数据包保存到radius.pcap文件中;

1812和1813端口是radius协议交互端口。RADIUS服务器和NAS设备通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。

总结

本文通过问答及实际模拟的方式向各位分享tcpdump抓包工具的使用方式,列出使用方式有限,欢迎各位小伙伴一起分享、交流、解锁。

本期文章不足之处也请各位小伙伴予以指正。

备注:

tcpdump抓包工具逻辑运算符:

  1. ! 等同 not
  2. && 等同 and
  3. || 等同 or
  4. ==
  5. !=

Tags:

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表
最新留言