1.tcpdump、wireshark常用用法

一、tcpdump常用选项

参考:https://www.cnblogs.com/maifengqiang/p/3863168.html

1、tcpdump关键字

第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是‘and‘,‘&&;或运算 是‘or‘ ,‘||‘;

2、例

tcpdump命令格式:
# tcpdump option filter
option 举例 -n, -i any 等
filter 是过滤包的条件,举例: tcp, portrange 1-1000, src port 58895, host www.xxx.com

例:

# tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包,不指定tcpdump只会监视第一个网络接口,一般是eth0
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
(9) -n 以数字显示主机及端口

 #tcpdump -X 以十六进制以及ASCII的形式打印数据内容

 #tcpdump -x 除了打印出header外,还打印packet里面的数据(十六进制的形式)

监视指定主机的数据包
# tcpdump -i eth0 host  52.9.137.165

 抓取HTTP协议的包

# tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 -w out.pcap
0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"

查看HTTP GET请求

# tcpdump -s 0 -A ‘tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420‘

查看HTTP POST请求

# tcpdump -s 0 -A ‘tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)‘

查看HTTP请求响应头以及数据

# tcpdump -X -s 0 ‘tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)‘ -w a.pcap

二、wireshark常用filter

过滤IP:

 ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107  或 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

过滤端口:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
tcp.port >= 1 and tcp.port <= 80    过滤端口范围

过滤协议:

tcp  udp  arp  icmp  http smtp  ftp dns msnms ip ssl  bootp(dhcp)

过滤Mac:

eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

http模式过滤:

http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

原文地址:https://www.cnblogs.com/cmxu/p/12357063.html

时间: 2024-10-23 16:36:34

1.tcpdump、wireshark常用用法的相关文章

tcpdump常用用法+wireshark分析cap包

工作中的常用用法一.tcpdump常用用法: 1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 :抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn 2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp:抓取某个网口上发往或来自某个IP.并且指定端口的报文tcpdump -i ethX host 192.168.1.100 and tcp port 22(端口号) -

Tcpdump 的简单用法

Tcpdump 的简单用法 tcpdump是Linux命令行下使用最广泛的网络分析工具,运行的时候会将网卡运行在混杂模式下,需要root权限才能执行 下面是几个比较常见的参数: -w  保持到指定的文件 -i  指定监听的网卡,缺省显示第一块网卡 -nn 以IP方式显示host -v  显示详细信息 -s  指定数据包大小,缺省是65535 -t  不显示时间 ,缺省是显示时间戳 -c  获取数据包数量,缺省不限制,需要用Ctrl+c来终止 下面是关于命令关键字的说明 1.主要包括host,ne

tcpdump wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 实例介绍

tcpdump wireshark 实用过滤表达式(针对ip.协议.端口.长度和内容) 实例介绍 标签: 网络tcpdst工具windowslinux 2012-05-15 18:12 3777人阅读 评论(0) 收藏 举报  分类: linuxwindows系统工具(7)  目录(?)[+] 一.针对wireshark最常用的自然是针对IP地址的过滤.其中有几种情况: (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包.         表达式为:ip.src == 1

wireshark基本用法及过虑规则

Wireshark 基本语法,基本使用方法,及包过虑规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图. ip.src eq 10.175.168.182 截图示例: 提示: 在Filter编辑框中,收入过虑

log4j的常用用法

最近一段时间一直在用别人封装好,配置好的日志类记录日志,感觉挺好奇的.下面就记录一下用log4j处理日志的常用用法. 至于log4j是什么,我不清楚,暂时也觉得没必要太深入,只知道是处理日志比较好的选择. Game Starts 参考文档 1)官方pdf文档 2)配置log4j(和详细) 3)Log4j 的日志级别 依赖jar包 1)log4j-api-2.0.2.jar    2)log4j-core-2.0.2.jar [D] 主要的类 1)Logger 看名字也就知道是干什么的了,就是靠他

Objective-C NSString的常用用法

//1.创建常量字符串. NSString *astring = @"This is a String!";   //2.创建空字符串,给予赋值. NSString *astring = [[NSString alloc] init]; astring = @"This is a String!"; [astring release]; NSLog(@"astring:%@",astring);//NSString *astring = [[NS

关于function的一种常用用法

关于function的一种常用用法 void Share::InitAcrossManager() { GsMgrEvent gsMgrEvents;//保存function的结构体 gsMgrEvents.fnSendData2Client = [this](int nChannelId, void* pData, int nLen)//lambda绑定,当然也可以用std::bind进行绑定 { SendCmd2C(nChannelId, s2c_prop_opt, pData, nLen)

linux下tar命令常用用法

tar参数列表: -c: 建立压缩档案-x:解压-t:查看内容-r:向压缩归档文件末尾追加文件-u:更新原压缩包中的文件 这五个是独立的命令,压缩解压都要用到其中一个,可以和别的命令连用但只能用其中一个.下面的参数是根据需要在压缩或解压档案时可选的. -z:有gzip属性的-j:有bz2属性的-Z:有compress属性的-v:显示所有过程-O:将文件解开到标准输出 下面的参数-f是必须的 -f: 使用档案名字,切记,这个参数是最后一个参数,后面只能接档案名. 常用的命令参数有 -c,-x,-z

NSString,NSSarray的常用用法

//初始化         //iniWithString------Returns an NSString object initialized by copying the characters from another given string.        // 返回一个NSString对象初始化复制来自另一个给定字符串的字符.         NSString *str = @"liuyafang";         NSString *str1 = [[NSString