各种工具使用手册:http://www.itshouce.com.cn/linux/linux-tcpdump.html

关于tcpdump!!!!

实用tcpdump命令

  //查看本机与mysql的操作命令 注意 -i any表示监听所有网络接口,我们也根据自身情况选择网络接口

  #tcpdump -i any -w - dst port 3306 |strings  

  //查看本机58895上与mysql的命令   注意 -i any 表示监听所有网络接口,我们需要根据自身情况选择网络接口

  #tcpdump -i any -w - dst port 3306 and src port 58895 |strings  

  同理,也可以使用上面的命令,查看kafka,etcd,redis,mc等的命令情况,只要是明文协议都可以

tcpdump命令格式

  #tcpdump option filter

    option 举例 -n, -i any 等

    filter 是过滤包的条件,举例: tcp, portrange 1-1000, src port 58895, host www.itshouce.com.cn,

      filter可以进行组合 比如:

        dst port 3306 and src port 58895

        portrange 1-1000 or src port 58895

        not dst port 3306

                  option                  filter

  举例: tcpdump   -i any -n    portrange 1-3306 or portrange 10000-58895

tcpdump option

  //在en2这个网络接口监听,如果不指定,那么会搜索所有的网络接口,在数字最小的网络端口上监听

  //也就是tcpdump -D  上左边数字最小的

  #tcpdump -i en2   

  //linux 2.2以上支持 -i any

  #tcpdump -i any     可以监听所有端口

  -n   不要把ip转换为机器名字

  #tcpdump -n

  // -w -     // -w为把内容write到某个地方, -表示标准输出  也就是输出到标准输出中

  #tcpdump  -w - |strings    这是一个超级有用的命令,把包的数据,用字符展示出来

  // -w a.cap   把抓包结果写入a.cap中

  // -C 1      如果a.cap 超过1M 大小,则新开一个文件,  -C fileSize , 单位是MB

  #tcpdump  -C 1  -w a.cap

  #ll

    -rw-r--r--   1 root  wheel  1000092 Apr 21 21:05 a.cap    //超过1MB了

    -rw-r--r--   1 root  wheel   849388 Apr 21 21:05 a.cap1

  //-r 从某个文件读取

  #tcpdump -n -r a.cap  

  #tcpdump -X    以十六进制以及ASCII的形式打印数据内容

  #tcpdump -x     除了打印出header外,还打印packet里面的数据(十六进制的形式)

  #tcpdump -xx  以十六进制的形式打印header, data内容

  // -A  把每一个packet都用以ASCII的形式打印出来

  #tcpdump -A  host www.itshouce.com.cn   

  // -c 3 表示收到3个packet就退出

  #tcpdump -A -c 3  host www.itshouce.com.cn

    ...

    3 packets captured

    65 packets received by filter

    0 packets dropped by kernel

  //看目前机器上有哪些网络接口

  #tcpdump -D

    1.en0

    2.awdl0

    3.bridge0

    4.utun0

    5.en1

    6.en2

    7.p2p0

    8.lo0

  //-e  把连接层的头打印出来

  #tcpdump -e

    21:15:27.665159 *:*:60:dc:d0:d9 (oui Unknown) > *:*:07:10:81:36 (oui Unknown), ethertype IPv4 (0x0800), length 79: zj-db0355dembp.lan.51318 > hiwifi.lan.domain: 20430+ A? www.itshouce.com.cn. (37)

  #tcpdump -j timestamp type   可以修改输出的时间格式,貌似centos6.5不支持

  #tcpdump -J  显示支持的时间格式

  //-l  把stdout bufferd住,当你既想在屏幕上看结果,又想把结果输出到文件中时,比较有用

  #tcpdump -l 

  //tee是一个命令,在屏幕上显示dump内容,并把内容输出到dump.log中

  #tcpdump -l |tee dump.log       

  #tcpdump -l > dump.log &tail -f dump.log  

  //-q 就是quiect output, 尽量少的打印一些信息

  #tcpdump -q 

  //-S  打印真实的,绝对的tcp seq no

  #tcpdump -S

    21:33:06.569478 IP *dembp.lan.54864 > ***: Flags [P.], seq 3980049501:3980049596, ack 3916671858, win 4091, options [nop,nop,TS val 1201572125 ecr 1490447193], length 95

  //默认抓取包长度是65535,

  #tcpdump         //capture sieze 65535

    listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes

  //我们设置为256 该参数目的:减少抓包文件的大小

  #tcpdump -s  256

    listening on pktap, link-type PKTAP (Packet Tap), capture size 256 bytes

  #tcpdump -t   不要打时间戳

  #tcpudmp -tt   打出timstamp,从1970-1-1 以来的秒数,以及微秒数

  #tcpdump -v    打印出详细结果  如ttl

  #tcpdump -vv   打印出更加详细的结果  如window, checksum等

tcpdump过滤项

  下面所有测试中都有 -i any的选项,表示抓取所有网络接口上的包,只是为了让测试方便

  //抓取arp协议的包,然后host为192.168.199.*  测试时需要在另一个session,做一个ifconfig指令

  //arp可以换为tcp,udp等

  #tcpudmp -i any -n arp host 192.168.199

    22:39:58.991043 ARP, Request who-has 192.168.199.125 tell 192.168.199.1, length 28

    22:39:58.991059 ARP, Reply 192.168.199.125 is-at a4:5e:60:dc:d0:d9, length 28

  //抓取访问destination 80端口的包,然后我们做一个curl www.baidu.com的操作

  #tcpdump -i any -n dst port 80

  22:53:06.041382 IP 192.168.199.125.63161 > 119.75.219.45.80: Flags [F.], seq 0, ack 1, win 65535, length 0

  //抓取源上端口是80的包

  #tcpdump -i any -n src port 80

    22:57:48.343422 IP 112.80.248.73.80 > 192.168.199.125.63275: Flags [.], seq 38478:39918, ack 78, win 193, length 1440

  //抓取源或者目标端口都是80的包

  #tcpdump -i any -n port 80

    22:58:51.165333 IP 112.80.248.74.80 > 192.168.199.125.63298: Flags [F.], seq 100439, ack 79, win 193, length 0

    22:58:51.165349 IP 192.168.199.125.63298 > 112.80.248.74.80: Flags [R], seq 703147494, win 0, length 0

  //表示抓取destination prot 在1到80之间的端口的数据

  #tcpdump  -i any -n dst portrange 1-80   在另外的面做curl www.baidu.com   以及  telnet 192.168.21.1

    23:00:13.550006 IP 192.168.199.125.63310 > *.*.248.73.80: Flags [.], ack 71649, win 8012, length 0

    23:01:27.363723 IP 192.168.199.125.63327 > 192.168.21.1.23: Flags [S], seq 621213649, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1240986522 ecr 0,sackOK,eol], length 0

  //抓取源的端口是20-80的包

  #tcpdump -i any -n src portrange 20-80  

  //抓取端口是20-80的包,不考虑源

  #tcpdump -i any -n portrange 20-80  

  //抓取destination为www.baidu.com的包

  #tcpdump -i any dst www.baidu.com    然后ping www.baidu.com ,以及 在浏览器中访问www.baidu.com

    22:22:17.445872 IP *0355dembp.lan > 112.80.248.73: ICMP echo request, id 26478, seq 0, length 64

    2:22:50.108236 IP  *0355dembp.lan.62371 > 112.80.248.74.https: Flags [S], seq 2884215363, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1238683151 ecr 0,sackOK,eol], length 0

  //抓取destination为192.168.1.2的包

  #tcpdump -i any dst 192.168.1.2

    22:26:46.808706 IP zj-db0355dembp.lan > 192.168.1.2: ICMP echo request, id 31854, seq 0, length 64

  //抓取destination为192.168.1.[0-255]的包

  #tcpdump -i any dst 192.168.1    可以指定范围

  #ifconfig  可以看出我本机的ip是192.168.199.125

  //抓取source为192.168.*.*的包, 使用-n 则只是为了显示ip,而不是主机名,

  #tcpdump -i any -n src 192.168

    22:30:50.490355 IP 192.168.199.125.61086 > *.*.*.*.341: Flags [.], ack 56, win 8185, options [nop,nop,TS val 1239157627 ecr 1580310986], length 0

  //抓取192.168的包(不管是source还是destination )

  #tcpdump -i any -n host 192.168

    22:38:07.580567 IP *.*.*.*.34186 > 192.168.199.125.61086: Flags [P.], seq 787907565:787907668, ack 871423065, win 126, options [nop,nop,TS val 1580748123 ecr 1239593243], length 103

    22:38:08.453788 IP 192.168.199.125.61086 > *.*.*.*.34186: Flags [P.], seq 9481:10147, ack 5769, win 8179, options [nop,nop,TS val 1239594178 ecr 1580748994], length 666

  //抓取包长度小于800的包

  #tcpudmp -i any -n less 800

    21:09:17.687673 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385

  //抓取包长度大于800的包

  #tcpdump -i any -n greater 800

    21:13:21.801351 IP 192.168.199.125.64826 > *.*.*.*.80: Flags [P.], seq 2155:3267, ack 44930, win 8192, length 1112

  //只抓取tcp包

  #tcpdump -i any -n tcp

    1:21:18.777815 IP 192.168.199.125.50249 > *.*.*.*.443: Flags [.], ack 75, win 4093, options [nop,nop,TS val 1269008649 ecr 44997038], length 0

  //只抓取udp包

  #tcpdump -i any -n udp

    21:22:48.434449 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385

  //只抓取icmp的包,internet控制包

  #tcpdump -i any -n icmp

    21:25:42.550374 IP 192.168.199.1 > 192.168.199.125: ICMP *.*.*.* unreachable - need to frag (mtu 1480), length 556

各种工具使用手册:http://www.itshouce.com.cn/linux/linux-tcpdump.html 关于tcpdump!!!!的更多相关文章

  1. SQuirrel-GUI工具安装手册-基于phoenix驱动

    背景描述: SQuirrel sql client 官方地址:http://www.squirrelsql.org/index.php?page=screenshots 一个图形界面的管理工具 安装手 ...

  2. arcconf工具操作手册V1.0

    arcconf工具操作手册 1.1.1  arcconf工具初始化和去初始化硬盘 [命令功能] PMC阵列卡系统下初始化硬盘,可以将raw盘状态变成ready状态,以便进一步组建raid和设置热备盘: ...

  3. 【转载】GAWK AWK工具使用手册

    IBM GAWK入门资料http://www.ibm.com/developerworks/cn/education/aix/au-gawk/ AWK 是什么? 最简单地说,AWK 是一种用于处理文本 ...

  4. kafka-consumer-groups 命令行工具使用手册

    kafka-consumer-groups 命令行工具使用手册 该手册原文出自 $KAFKA_HOME\bin\windows\kafka-consumer-groups.bat --help 命令的 ...

  5. 开发文档生成工具----强大的Doxygen工具使用手册

    张三:假如我们自己开发了一个类库,怎么做一个方便阅读的文档呢? 李四:一个方法一个方法地写呗,就像写Excel文档一下. 张三:啊,你out了,这多慢呀.为什么不玩玩doxygen工具,它能帮你生成文 ...

  6. BTrace 问题辅助排查工具使用手册

    BTrace是调试神器,可以通过自己编写的脚本,获取应用的一切调用信息.而不需要重启应用! Btrace 项目源码信息(你行你上~) 项目地址:http://github.com/btraceio/b ...

  7. TestLink工具使用手册介绍

    工具名称:TestLink 工具介绍:TestLink遵循Apache2开源协议,免费试用.TestLink用于进行测试过程中的管理,通过使用TestLink提供的功能,可以将测试过程从测试需求.试设 ...

  8. Slickflow.Graph 开源工作流引擎快速入门之四: 图形编码建模工具使用手册

    前言: 业务人员绘制流程时,通常使用图形GUI界面交互操作来完成,然而对于需要频繁操作或者管理较多流程的系统管理用户,就需要一款辅助工具,来帮助他们快速完成流程的创建和编辑更新.Slickflow.G ...

  9. JVM调优工具使用手册

    ​ 作为Java开发人员,我们肯定知道JDK的bin目录下有"java.exe"."javac.exe"这两个命令工具,这也是我们平时用得最多的工具.但其实bi ...

随机推荐

  1. Expression 表达式树学习整理

    整理了一下表达式树的一些东西,入门足够了 先从ConstantExpression 开始一步一步的来吧  它表示具有常量值的表达式 我们选建一个控制台应用程序 ConstantExpression _ ...

  2. [c#基础]堆和栈

    前言 堆与栈对于理解.NET中的内存管理.垃圾回收.错误和异常.调试与日志有很大的帮助.垃圾回收的机制使程序员从复杂的内存管理中解脱出来,虽然绝大多数的C#程序并不需要程序员手动管理内存,但这并不代表 ...

  3. 第九章:Javascript类和模块

    (过年了,祝大家新年好!) 第6章详细介绍了javascript对象,每个javascript对象都是一个属性集合,相互之间没有任何联系.在javascript中也可以定义对象的类,让每个对象都共享某 ...

  4. 一款轻量级移动web开发框架

    本帖最后由 yangzhu230 于 2013-9-11 00:39 编辑 如果我说要推荐zepto你肯定说“切,这地球人都知道,又一个标题党” 不卖关子,开门见山我推荐的是[百度]的GMU GMU是 ...

  5. 笔记:js的replace函数

    replace函数 js的replace函数与c#的有一个不同,js的只替换第一个字符 例如,var a=',1,2' var b=a.replace(',','') 结果b='1,2'(ps:这是一 ...

  6. Daily Scrum – 1/11

    Meeting Minutes 发现了一个新的bug,即当背诵单词过多时,会出现统计信息超出文字框的现象: 更新了tfs,明白了打包的方式: Burndown     Progress   part ...

  7. use case

  8. Spring aop的实现原理

    简介 前段时间写的java设计模式--代理模式,最近在看Spring Aop的时候,觉得于代理模式应该有密切的联系,于是决定了解下Spring Aop的实现原理. 说起AOP就不得不说下OOP了,OO ...

  9. MyEclipse内存不足问题

    1.修改eclipse.ini 在Myeclipse安装目录下G:\MyEclipse8.5\Genuitec\MyEclipse 8.5有一个myeclipse.ini配置文件,设置如下: -vma ...

  10. BZOJ-1876 SuperGCD Python(欧几里德算法)

    第一次感觉Python艹题的快感 1876: [SDOI2009]SuperGCD Time Limit: 4 Sec Memory Limit: 64 MB Submit: 2461 Solved: ...