tcpdump重要笔记
无关痛痒的參数就不写了。仅仅说一些我觉得值得注意的。
1 tcpdump參数
-s 最早在公司旧机器上截包时发现总是不完整,于是知道了这个參数,之后就一直用-s0了。近期一次在家里,忘记输入-s发现包居然还是完整的,赶紧用man查询了下,人家说的非常明确缺省值是“65535 bytes”,这下把我搞蒙了。终于才发现,原来至少在4.1之后的tcpdump使用的缺省值都是65535了,公司的tcpdump是3.9缺省值是96字节。所以如今网上资料里普遍提到的"默认tcpdump抓包限制大小在96个byte"是非常古老的说法了,至少在2012年的版本号里,其缺省值已经变成65535。
-l 仅仅有在使用管道或者输出重定向会用到它,在这样的情况下必须加上这个參数,它能保每行内容都会被及时输出给后端。
-w 保存成文件,尽管直接使用输出重定向">"也能够输出到文件,可是要注意,-w才干正确的保存成二进制格式,也就是wireshark能够查看的格式,而输出重定向仅仅是保存了16进制的文本。
-X 要看每一个包的16进制内容就必须使用这个參数,多数时候我都须要这个參数。
-i 指定网络接口,也就是ifconfig看到的最左面的名字“eth0, eth1, lo”,注意这个參数假设不加不代表抓取全部的接口,而是使用列表里最小的那个,最小的往往都不是我们希望使用的那个,所以这个參数差点儿也是必须的。
2 tcpdump表达式
这种表达式过滤数据很方便,能够通过头部内容过滤,基本上是使用这种格式 proto[index:length] (proto是协议名不限于ip/tcp,index是以0为开头的字节数,length是从开头往后跨越的字节数),通过简单的算术运算和布尔运算,差点儿能够对不论什么条件进行筛选了。尽管能够用tcp[tcpflags] & tcp-push这种命名式写法,但个人认为还是数字然后配合ip/tcp结构图更方便,由于我怎样在不查资料的情况下知道应该写成“tcp[tcpflags] & tcp-push”还是"tcp[tcpflags]
& push"呢?多了个命名就多了一个查询的步骤。附带几个样例:
//仅仅显示目的端口是20835的push包
tcpdump 'tcp[13] & 8 != 0 && dst prot 20835' -i eth1 -nn -X //0x4745 为字母"GE"(GET),0x4854 为字母"HT"(HTTP),这样的方式仅仅显示HTTP相关的包(某博客学来)
tcpdump "tcp[20:2]=0x4745 or tcp[20:2]=0x4854" -i eth1 -nn -X //仅仅显示有数据的包,SYN,FIN和纯粹的ACK会被过滤掉(man学来的)
tcpdump "tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" -i eth1 -nn -X
3 定位应用层数据
这块内容在之前的文章"给tcpdump加点颜色"已经提及,要找到应用层数据的开头,注意以下3点
1 IP头和TCP头都是可变长度,实际使用中来说,我非常少遇到IP头的选项部分,但TCP可选项常常使用。
2 IP头的长度位于第一个字节的高地址部分,TCP头的长度位于第13个字节的低地址部分
3 表示长度的单位都是4字节。
tcpdump重要笔记的更多相关文章
- TCPDUMP学习笔记。
1.启动 普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包,注意这里使用超级用户.当用户上网得时候,就会将监视得数据打印出来. 我没使用root用户,结果输入tcpdump命令 ...
- tcpdump学习笔记
简介 简单的说,tcpdump就是一个抓包工具,类似Wireshark. tcpdump可以根据使用者的定义过滤/截取网络上的数据包,并进行分析.tcpdump可以将数据包的头部完全接 ...
- tcpdump实用笔记
前言:本文是关于tcpdump抓包的文章,是一篇对于本人而言比较实用轻便的文章,如您需要更详细的介绍,以下链接的文章相比最适合您,而且网络知识要非常扎实才能理解透彻: tcpdump详细介绍 简介:用 ...
- wireshark、tcpdump使用笔记
最近使用wireshark抓包icmp协议,过滤的命令如下所示: ip.addr eq 192.168.20.54 and ip.addr eq 192.168.50.131 and (icmp) 如 ...
- tcpdump 的正确食用方法
目录 tcpdump 使用笔记 重要报文头 字段表 ip header tcp header 基础使用 高级版本 指定ttl(通过ttl能够确定系统的类型) tcpdump 使用笔记 重要报文头 字段 ...
- tcpdump dns包(linux高性能编程读书笔记2)
tcpdump -i eth0 -nt -s 500 port domain host -t A www.baidu.com www.baidu.com is an alias for www.a ...
- Kali学习笔记3:TCPDUMP详细使用方法
Kali自带Wireshark,但一般的Linux系统是不带的,需要自行下载,并且过程略复杂 而纯字符界面的Linux系统无法使用Wireshark 但是,所有Linux系统都会安装TCPDUMP:一 ...
- tcpdump抓包笔记
抓取指定端口的数据包 并保存文件,用wireshark分析 tcpdump -Ans 4096 -i any port 8080 -w ../mpass.cap 抓取指定端口和指定ip的数据包 并保存 ...
- tcpdump笔记
最好的学习: man tcpdump ....... 一.TCPdump抓包命令 tcpdump是一个用于截取网络分组,并输出分组内容的工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为类 ...
随机推荐
- python 调试大法-大笨蛋的笔记
说在前面 我觉得没有什么错误是调试器无法解决的,如果没有,那我再说一遍,如果有,那当我没说 一.抛出异常 可以通过 raise 语句抛出异常,使程序在我们已经知道的缺陷处停下,并进入到 except ...
- caioj 1084 动态规划入门(非常规DP8:任务安排)(取消后效性)
这道题的难点在于,前面分组的时间会影响到后面的结果 也就是有后效性,这样是不能用dp的 所以我们要想办法取消后效性 那么,我们就可以把影响加上去,也就是当前这一组加上了s 那么就把s对后面的影响全部加 ...
- 【习题 8-16 UVA - 1618】Weak Key
[链接] 我是链接,点我呀:) [题意] 在这里输入题意 [题解] 枚举N[q]和N[r]的位置 因为N[q]是最大值,且N[r]是最小值. 且它们是中间的两个. 枚举这两个可以做到不重复枚举. 然后 ...
- python里面 __future__的作用 & 下划线的作用 & 3.0实现不换行
参考这篇文章: http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000/001386820 ...
- 百度LBS开放平台个性化地图 制作一款独一无二的地图
百度LBS开放平台个性化地图 制作一款独一无二的地图 天天用百度地图的亲们是否已不再满足仅仅看例如以下的地图样式了呢? 默认百度地图样式 是否特别渴望看特别不一样的地图呢.如带京城81号气息的午夜蓝 ...
- VS中,打开文件时自动定位到目录树中
工具--选项--项目和解决方案--常规--在解决方案资源管理器中跟踪活动项 这样就能快速跟踪了.
- Docker -- 系统整洁之道 -- 0
在我的小 rmbp 256G的硬盘里,实在是装不下100多个G的虚拟机了,所以想把一些东西迁移到这两年很火的Docker下,Docker以前也有过一两次,只是按着别人给的用法用的,具体的一些细节并没有 ...
- vSphere5安装配置视频教程
vSphere5安装配置视频教程 本文出自 "李晨光原创技术博客" 博客,请务必保留此出处http://chenguang.blog.51cto.com/350944/819550
- Codeforces 344A Magnets
Description Mad scientist Mike entertains himself by arranging rows of dominoes. He doesn't need dom ...
- 解决Visual Studio-IIS Express 支持局域网访问