技术文章：网络/命令行抓包工具tcpdump详解

2021-01-04 14:19

一口Linux

关注

9．增加抓包时间戳－tttt选项

tcpdump的所有输出打印行中都会默认包含时间戳信息；时间戳信息的显示格式如下

hh：mm：ss．frac （nt：小时：分钟：秒．）

此时间戳的精度与内核时间精度一致，　反映的是内核第一次看到对应数据包的时间；

而数据包从物理线路传递到内核的时间，以及内核花费在此包上的中断处理时间都没有算进来；

使用－tttt选项，抓包结果中将包含抓包日期：

命令：

tcpdump －tttt

增加抓包时间戳

四、条件过滤

1．过滤：指定需要抓取的协议

tcpdump可以只抓某种协议的包，支持指定以下协议：「ip，ip6，arp，tcp，udp，wlan」等。

命令：

tcpdump udp

tcpdump icmp

tcpdump tcp

tcpdump arp

2．过滤：指定协议的端口号

使用port参数，用于指定端口号。

命令：tcpdump tcp port 80

使用portrange参数，用于指定端口范围。

命令：tcpdump tcp portrange 1－1024

3．过滤：指定源与目标

src 表示源。

dst 表示目标。

命令：

tcpdump src port 8080

tcpdump dst port 80

4．过滤：指定特定主机的消息包

使用host指定需要监听的主机。

命令：

tcpdump host 192．168．1．113

注意：若使用了host参数使用了计算机名或域名。例tcpdump host shi－pc ，则无法再使用－n选项。

5．过滤：指定数据包大小

使用greater（大于）与less（小于）可以指定数据包大小的范围。

「例：只抓取大于1000字节的数据包。」

命令：

tcpdump greater 1000

「例：只抓取小于10字节的数据包。」

命令：

tcpdump less 10

五、逻辑表达式

使用基本逻辑组合拼装出更精细的过滤条件。

1．逻辑与

逻辑与关系，使用and。

命令：

tcpdump tcp and host 192．168．1．112
tcpdump tcp and src 192．168．1．112 and port 8080

2．逻辑或

逻辑或关系，使用or。

命令：

tcpdump host 192．168．1．112 or 192．168．1．113

3．逻辑非

逻辑非关系，使用not，也可以使用！。

若使用！必须与其后面的字符隔开一个空格。

例：当通过ssh协议远程使用tcpdump时，为了避免ssh的数据包的输出，所以一般需要禁止ssh数据包的输出。

<上一页 1 2 3 4 下一页> 余下全文

本地收藏打印推荐给朋友

声明： 本文由入驻维科号的作者撰写，观点仅代表作者本人，不代表OFweek立场。如有侵权或其他问题，请联系举报。

发表评论

共0条评论，0人参与

登录登录即可访问所有OFweek服务

用户名/邮箱/手机：
密码：
忘记密码？
用其他账号登录： QQ | 微信 | 新浪微博

请输入评论内容...

请输入评论/评论长度6~500个字

暂无评论

图片新闻

行业报告