技术文章:网络/命令行抓包工具tcpdump详解
9. 增加抓包时间戳 -tttt选项
tcpdump的所有输出打印行中都会默认包含时间戳信息;时间戳信息的显示格式如下
hh:mm:ss.frac (nt: 小时:分钟:秒.)
此时间戳的精度与内核时间精度一致, 反映的是内核第一次看到对应数据包的时间;
而数据包从物理线路传递到内核的时间, 以及内核花费在此包上的中断处理时间都没有算进来;
使用-tttt选项,抓包结果中将包含抓包日期:
命令:
tcpdump -tttt
增加抓包时间戳
四、条件过滤
1. 过滤:指定需要抓取的协议
tcpdump可以只抓某种协议的包,支持指定以下协议:「ip,ip6,arp,tcp,udp,wlan」等。
命令:
tcpdump udp
tcpdump icmp
tcpdump tcp
tcpdump arp
2. 过滤:指定协议的端口号
使用port参数,用于指定端口号。
命令:tcpdump tcp port 80
使用portrange参数,用于指定端口范围。
命令:tcpdump tcp portrange 1-1024
3. 过滤:指定源与目标
src 表示源。
dst 表示目标。
命令:
tcpdump src port 8080
tcpdump dst port 80
4. 过滤:指定特定主机的消息包
使用host指定需要监听的主机。
命令:
tcpdump host 192.168.1.113
注意:若使用了host参数使用了计算机名或域名。例tcpdump host shi-pc ,则无法再使用-n选项。
5. 过滤:指定数据包大小
使用greater(大于)与less(小于)可以指定数据包大小的范围。
「例:只抓取大于1000字节的数据包。」
命令:
tcpdump greater 1000
「例:只抓取小于10字节的数据包。」
命令:
tcpdump less 10
五、 逻辑表达式
使用基本逻辑组合拼装出更精细的过滤条件。
1. 逻辑与
逻辑与关系,使用and。
命令:
tcpdump tcp and host 192.168.1.112
tcpdump tcp and src 192.168.1.112 and port 8080
2. 逻辑或
逻辑或关系,使用or。
命令:
tcpdump host 192.168.1.112 or 192.168.1.113
3. 逻辑非
逻辑非关系,使用not,也可以使用 ! 。
若使用 ! 必须与其后面的字符隔开一个空格。
例:当通过ssh协议远程使用tcpdump时,为了避免ssh的数据包的输出,所以一般需要禁止ssh数据包的输出。
分享
图片新闻
最新活动更多
-
直播中立即观看>> 莎益博多物理仿真技术介绍及案例在线研讨会
-
4月26日立即报名 >> 【线上研讨会】TDK模块化电容器、电能质量解决方案
-
即日-4.30免费预约申请>> 艾睿光电-开阳及瑶光系列专家级红外热像仪-产品试用
-
5月8-10日立即报名>> 国际物流解决方案展览会
-
即日-8.25立即报名>> OFweek2024中国优·智算力年度评选
-
8月27-29日马上报名>>> 2024(第五届)全球数字经济产业大会暨展览会
推荐专题
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论