导图社区 TcpDump使用示例
TcpDump是一个常用的网络分析工具,它可以捕获和显示网络接口上的数据包。希望此脑图对你有所帮助!
大学计划和规划,大学四年,是人生中一个充满无限可能与挑战的宝贵阶段。为即将或正在经历这一阶段的学子们提供一份详尽而实用的指南,帮助大家从入学之初就树立明确的目标,制定合理的计划,逐步构建起扎实的专业知识体系。
经济学基础(2025中级经济师),涵盖广泛的经济学基础知识,内容结构清晰,分为多个部分或章节,针对考试的重点和难点,进行有针对性的学习和练习,提高解题能力和应试技巧。
微信公众号,主要展示了多个与心理学相关的账号及其功能特点。这些账号各具特色,涵盖了心理健康、心理疗愈、心理测评、情感交流等多个方面。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
TcpDump使用示例
基本介绍
常用命令:sudo tcpdump -i eth0 -nn -s0 -v port 80
-i:选择要进行捕获的接口
-nn:单个 (n) 不会解析主机名。两个 (nn) 不会解析主机名或端口。
-s :快照长度,是要捕获的数据包的大小。-s0 将大小设置为无限制
-v :详细,使用 (-v) 或 (-vv) 会增加输出中显示的细节量
port:端口过滤器
显示 ASCII 文本
sudo tcpdump -A -s0 port 80
根据协议捕获
sudo tcpdump -i eth0 udp
sudo tcpdump -i eth0 proto 17
根据 IP 地址捕获主机
sudo tcpdump -i eth0 host 10.10.1.1
使用 src 或 dst 仅捕获单向数据包
sudo tcpdump -i eth0 dst 10.10.1.20
写入捕获文件
sudo tcpdump -i eth0 -s0 -w test.pcap
使用示例
提取 HTTP 用户代理
sudo tcpdump -nn -A -s1500 -l | grep "User-Agent:"
sudo tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'
仅捕获 HTTP GET 和 POST 数据包
GET 匹配的数据包
sudo tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
POST 匹配的数据包
sudo tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'
提取 HTTP 请求 URL
sudo tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"
在 POST 请求中提取 HTTP 密码
sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|passwor=|Host:"
从服务器和客户端捕获 Cookie
sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'
捕获所有 ICMP 数据包
sudo tcpdump -n icmp
非 ECHO/REPLY 的 ICMP 数据包
sudo tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
捕获SMTP / POP3电子邮件
sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'
NTP 查询和响应故障排除
sudo tcpdump dst port 123
捕获SNMP查询和响应
sudo tcpdump -n -s0 port 161 and udp
捕获 FTP 凭据和命令
sudo tcpdump -nn -v port ftp or ftp-data
旋转捕获文件
tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200
捕获 IPv6 流量
tcpdump -nn ip6 proto 6
tcpdump -nr ipv6-test.pcap ip6 proto 17
检测网络流量中的端口扫描
tcpdump -nn
显示 Nmap NSE 脚本测试的示例过滤器
tcpdump -nn port 80 | grep "GET /"
捕获开始和结束数据包 (SYN/FIN)
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
捕获 DNS 请求和响应
sudo tcpdump -i wlp58s0 -s0 port 53
捕获 HTTP 数据包
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
使用 tcpdump 捕获并在 Wireshark 中查看
ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -
按数据包排名靠前的主机
sudo tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
捕获所有明文密码
sudo tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '
DHCP 示例
sudo tcpdump -v -n port 67 or 68
