设为首页收藏本站
开启辅助访问

tcpdump高级过滤

 您所在的位置:网站首页 拦截网络包 tcpdump高级过滤

tcpdump高级过滤

2023-06-14 22:33| 来源: 网络整理| 查看: 265

一:查看帮助选项 tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ]

 

选项的解释:

-a:尝试将网络和广播地址转换成名称; -c:收到指定的数据包数目后,就停止进行倾倒操作; -d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出; -dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出; -ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出; -e:在每列倾倒资料上显示连接层级的文件头; -f:用数字显示网际网络地址; -F:指定内含表达方式的文件; -i:使用指定的网络截面送出数据包; -l:使用标准输出列的缓冲区; -n:不把主机的网络地址转换成名字; -N:不列出域名; -O:不将数据包编码最佳化; -p:不让网络界面进入混杂模式; -q :快速输出,仅列出少数的传输协议信息; -r:从指定的文件读取数据包数据; -s:设置每个数据包的大小; -S:用绝对而非相对数值列出TCP关联数; -t:在每列倾倒资料上不显示时间戳记; -tt: 在每列倾倒资料上显示未经格式化的时间戳记; -T:强制将表达方式所指定的数据包转译成设置的数据包类型; -v:详细显示指令执行过程; -vv:更详细显示指令执行过程; -x:用十六进制字码列出数据包资料; -w:把数据包数据写入指定的文件。

注意:查看更多的信息,可以用命令:man tcpdump或者网址:https://www.tcpdump.org/tcpdump_man.html

二:用法

1:直接启动 tcpdump 将监视第一个网络接口所有流过的数据包

tcpdump

2:监控某一网络接口的数据包

tcpdump -i enp0s3

 

3:过滤主机

3.1 抓取所有经过enp0s3,目的或源地址是 192.168.1.101 的网络数据

tcpdump -i enp0s3 host 192.168.1.101

 3.2 指定源地址

tcpdump -i enp0s3 src host 192.168.1.101

3.3 指定目的地址

tcpdump -i enp0s3 dst host 192.168.1.101

3.4 截获主机192.168.1.101 和主机192.168.1.102 或192.168.1.103的通信

tcpdump -i enp0s3 host 192.168.1.101 and \(192.168.1.102 or 192.168.1.103 \)

3.5 如果想要获取主机192.168.1.101除了和主机192.168.1.102之外所有主机通信的ip包,使用命令:

tcpdump ip host 192.168.1.101 and !192.168.1.102

 

4:过滤端口

4.1 抓取所有经过 enp0s3,目的或源端口是22的网络数据

tcpdump -i enp0s3 port 22

4.2 指定源端口

tcpdump -i enp0s3 src port 22

4.3 指定目的端口

tcpdump -i enp0s3 dst port 22

 

5:网络过滤

tcpdump -i enp0s3 net 192.168 tcpdump -i enp0s3 src net 192.168 tcpdump -i enp0s3 dst net 192.168

 

6:协议过滤

tcpdump -i enp0s3 arp tcpdump -i enp0s3 ip tcpdump -i enp0s3 tcp tcpdump -i enp0s3 udp tcpdump -i enp0s3 icmp

 

7:常用表达式

非 : ! or "not" (without the quotes)且 : && or "and"或 : || or "or"

7.1: 抓取目的地址是192.168.1.254或192.168.1.200端口是80的TCP数据

tcpdump '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

当然上也可以像之前的加上指定网卡 -i enp0s3tcpdump -i enp0s3 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

7.2: 抓取目标MAC地址是00:01:02:03:04:05的ICMP数据

tcpdump '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

可以加上具体网卡

7.3:抓取目的网络是192.168,但目的主机不是192.168.1.200的TCP数据

tcpdump '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))' 三:高级过滤包头

当我们继续之前,必须了解tcp/ip包头的头部信息

proto[x:y] : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节(第一字节从0开始排) proto[x:y] & z = 0 : proto[x:y]和z的与操作为0 proto[x:y] & z !=0 : proto[x:y]和z的与操作不为0 proto[x:y] & z = z : proto[x:y]和z的与操作为z proto[x:y] = z : proto[x:y]等于z

操作符:

> : greater 大于 = : greater or equal 大于或者等于


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3