域名查询by1392(by1117域名查询)
<p data-track="251" style="text-align: left;"><strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
一、tcpdump简介
</span>
</strong>
</p><p data-track="252" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
tcpdump命令是基于unix系统的命令行的数据报嗅探工具,可以抓取流动在网卡上的数据包。它的原理大概如下:
</span>
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的是网络设备)消息的处理权。
</span>
</strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它对网卡收到的保温进行一次处理,此时该模块就会趁机对报文进行窥探,也就是啊这个报文完完整整的复制一份,假装是自己接收的报文,汇报给抓包模块。
</span>
</p><p data-track="253" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
二、语法
</span>
</strong>
</p><p data-track="254" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
1、查看本地网卡状态
</span>
</strong>
</p><p class="pgc-img-caption">
</p><p class="pgc-img-caption">
</p><p data-track="256" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
Iface
</span>
</strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
:存在的网卡。
</span>
</p><p data-track="257" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
MTU
</span>
</strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
:最大传输单元。
</span>
</p><p data-track="258" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
RX-OK RX-ERR RX-DRP RX-OVR
</span>
</strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
:正确接收数据报的数量以及发生错误、流式、碰撞的总数。
</span>
</p><p data-track="259" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
TX-OK TX-ERR TX-DRP TX-OVR
</span>
</strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
:正确发送数据报的数量以及发生错误、流式、碰撞的总数。
</span>
</p><p data-track="260" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
2、tcpdump帮助命令
</span>
</strong>
</p><p class="pgc-img-caption">
</p><p class="pgc-img-caption">
</p><p data-track="262" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(1)、类型的关键字
</span>
</p><p data-track="264" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(2)、确定方向的关键字
</span>
</p><p data-track="266" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(3)、协议的关键字(缺省是所有协议的信息包)
</span>
</p><p data-track="268" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(4)、其它关键字
</span>
</p><p data-track="270" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(5)、常用表达式
</span>
</p><p data-track="272" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
(6)、参数详解
</span>
</p><p class="pgc-img-caption">
</p><p class="pgc-img-caption">
</p><p data-track="274" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
3、命令视图说明
</span>
</strong>
</p><p class="pgc-img-caption">
</p><p class="pgc-img-caption">
</p><p data-track="276" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
1、第一行:tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
<br/>
使用选项v和vv,可以看出更全的详细内容。
</span>
</p><p data-track="277" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
2、第二行:listening on ens5f0, link-type EN10MB (Ethernet), capture size 262144 bytes,说明监听的是ens5f0这个NIC设备的网络包,且它的链路层是基于以太网的,要抓的包大小限制262144,装包大小限制可以用利用-s来控制。
</span>
</p><p data-track="278" style="text-align: left;">
<strong>
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
三、常用命令组合
</span>
</strong>
</p><p data-track="279" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
1、获取10.1.85.21和10.1.85.19之间的通信,使用命令注意转义符号。
</span>
</p><p data-track="281" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
2、获取从10.1.85.21发来的包。
</span>
</p><p data-track="283" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
3、监听tcp(udp)端口。
</span>
</p><p data-track="285" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
4、获取主机10.1.85.21和除10.1.85.19之外所有主机的通信。
</span>
</p><p data-track="287" style="text-align: left;">
<span style="color: #333333; --tt-darkmode-color: #A3A3A3;">
5、获取从10.1.85.19且端口主机到10.1.85.21主机的通信。
</span>
</p><p data-track="289">
运行tcpdump命令出现错误信息排除
</p><p data-track="290">
tcpdump: no suitable device found
</p><p data-track="291">
tcpdump: no devices found /dev/bpf4: A file or directory in the path name does not exist.
</p><p data-track="292">
解决方案 2种原因:
</p><p data-track="293">
1.权限不够,一般不经过处理,只用root用户能使用tcpdump
</p><p data-track="294">
2.缺省只能同时使用4个tcpdump,如用完,则报此类错。需要停掉多余的tcpdump
</p> 小手一抖,积分到手! 有竞争才有进步嘛 有点意思,谢谢楼主的无私分享!!! 看帖回帖是美德!:lol 不错,支持下楼主 不错不错,楼主您辛苦了。。。 路过,支持一下啦 大佬牛逼,学习了 我抢、我抢、我抢沙发~