TCPDUMP

网络故障排查 • ping • traceroute • mtr • nslookup • telnet • tcpdump • netstat • ss 查看⽹关 • route -n • 使⽤ -n 参数不解析主机名 查看⽹卡物理连接情况 • mii-tool eth0 ⽹络服务管理程序分为两种，分别为SysV和systemd 守护进程 使⽤ nohup 与 & 符号配合运⾏⼀个命令 • nohup 命令使进程忽略 hangup（挂起）信号 • 守护进程(daemon)和⼀般进程有什么差别呢？ 使⽤ screen 命令 • screen 进⼊ screen 环境 • ctrl+a d 退出 (detached) screen 环境 • screen -ls 查看 screen 的会话 • screen -r sessionid 恢复会话 常⻅的系统⽇志 • /var/log • message • dmesg • cron • secure 服务（提供常⻅功能的守护进程）集中管理⼯具 • service • systemctl systemctl 常⻅操作 • systemctl start | stop | restart | reload | enable | disable 服务名称 • 软件包安装的服务单元 /usr/lib/systemd/system/

tcpdump 命令使用简介 简单介绍 tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。 要想使用很好地掌握 tcpdump， 必须对网络报文（ TCP/IP 协议）有一定的了解。不过对于简单的使用来说，只要有网络基础概念就行了。 tcpdump 是一个很复杂的命令，想了解它的方方面面非常不易，也不值得推荐，能够使用它解决日常工作中的问题才是关键。 选项 tcpdump 的选项也很多，要想知道所有选项的话，请参考 man tcpdump ，下面只记录 tcpdump 最常用的选项。 需要注意的是，tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number ， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。 -n 表示不要解析域名，直接显示 ip。 -nn 不要解析域名和端口 -X 同时用 hex 和 ascii 显示报文的内容。 -XX 同 -X ，但同时显示以太网头部。 -S 显示绝对的序列号（sequence number），而不是相对编号。 -i any 监听所有的网卡 -v, -vv, -vvv ：显示更多的详细信息 -c number : 截取 number 个报文，然后结束 -A ： 只使用 ascii

抓取UDP某一个端口的数据，显示详细信息 tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 抓取发到服务器的某一个端口的数据： tcpdump udp port 18290 -XX -vvv -nn -v：当分析和打印的时候，产生详细的输出。 -vv：产生比-v更详细的输出。 -vvv：产生比-vv更详细的输出。 -XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出。 -nn ：直接以IP以及PORT number显示，而非主机名与服务名称 显示结果如下： 来源： CSDN 作者： 工程人在路上 链接： https://blog.csdn.net/xingqingly/article/details/104373975

tcpdump 背景：jlr联通4G卡连不上tls1.2(自定义)希望在server端 通过监控网卡流量进行分析，window可以用Wireshark，linux 用tcpdump进行捕获，下面一行指令就可以了 tcpdump tcp -i em1 -s 0 -w ./alexMonitor.cap -i 指网卡 -s 从0开始 -w 输出到 把网卡根据服务器上的网卡名改下就ok了 -------------- 再mark下 netty本身有个握手详细日志配置 no找不到了 java -Djavax.net.debug=SSL,handshake,data,trustmanager 这个配置 不过还是详细记录下 tcpdump - dump traffic on a network tcpdump是一个用于截取网络分组，并输出分组内容的工具。凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息 命令格式 tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [

說實在的，對於 tcpdump 這個軟體來說，你甚至能够說這個軟體其實就是個駭客軟體， 因為他不但能够分析封包的流向，連封包的內容也能够進行『監聽』， 假设你使用的傳輸資料是明碼的話，不得了，在 router 上面就可能被人家監聽走了！ 非常可怕吶！所以，我們也要來瞭解一下這個軟體啊！(註：這個 tcpdump 必須使用 root 的身份執行) [root@linux ~]# tcpdump [-nn] [-i 介面] [-w 儲存檔名] [-c 次數] [-Ae] [-qX] [-r 檔案] [所欲擷取的資料內容] 参數： -nn：直接以 IP 及 port number 顯示，而非主機名與服務名稱 -i ：後面接要『監聽』的網路介面，比如 eth0, lo, ppp0 等等的介面； -w ：假设你要將監聽所得的封包資料儲存下來，用這個参數就對了！後面接檔名 -c ：監聽的封包數，假设沒有這個参數， tcpdump 會持續不斷的監聽， 直到使用者輸入 [ctrl]-c 為止。 -A ：封包的內容以 ASCII 顯示，通经常使用來捉取 WWW 的網頁封包資料。 -e ：使用資料連接層 (OSI 第二層) 的 MAC 封包資料來顯示； -q ：僅列出較為簡短的封包資訊，每一行的內容比较精簡 -X ：能够列出十六進位 (hex) 以及 ASCII 的封包內容，對於監聽封包內容非常实用

TCPdump抓包命令 tcpdump -vv -s 0 -i eth0 port 3306 -w /123/a.txt tcpdump -nnr a.txt|more tcpdump是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略， 使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性， 对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中， 由于它需要将网络界面设置为混杂模式，普通用户不能正常执行， 但具备root权限的用户可以直接执行它来获取网络上的信息。 因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤， 并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 -vv 输出详细的报文信息。 -i 指定监听的网络接口。 -w 直接将分组写入文件中，而不是不分析并打印出来。 -s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。 -C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小

tcpdump命令 是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用 -w 选项将数据包保存到文件中，方便以后分析。 语法 tcpdump(选项) 选项 -a：尝试将网络和广播地址转换成名称； -c<数据包数目>：收到指定的数据包数目后，就停止进行倾倒操作； -d：把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出； -dd：把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出； -ddd：把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出； -e：在每列倾倒资料上显示连接层级的文件头； -f：用数字显示网际网络地址； -F<表达文件>：指定内含表达方式的文件； -i<网络界面>：使用指定的网络截面送出数据包； -l：使用标准输出列的缓冲区； -n：不把主机的网络地址转换成名字； -N：不列出域名； -O：不将数据包编码最佳化； -p：不让网络界面进入混杂模式； -q ：快速输出，仅列出少数的传输协议信息； -r<数据包文件>：从指定的文件读取数据包数据； -s<数据包大小>：设置每个数据包的大小； -S：用绝对而非相对数值列出TCP关联数； -t：在每列倾倒资料上不显示时间戳记； -tt： 在每列倾倒资料上显示未经格式化的时间戳记； -T<数据包类型>：强制将表达方式所指定的数据包转译成设置的数据包类型； -v

当我们在服务器端时，因为没有图形化界面，虽然wireshark也可以工作在命令行界面，但是也是需要下载 这时我们要考虑另一种抓包方法 tcpdump tcpdump -i eth0 -s 0 -w file.pcap //i表示抓哪个接口的数据包 s表示抓数据包的大小 0表示包有多大抓多大 w 表示将抓到的数据包保存到哪里 输入命令后，开始抓包 之后输入命令读取数据包 tcpdump -r file.pcap 也可以以ascll形式来显示数据包的内容 tcpdump -A -r file.pcap 或者以16进制来显示 tcpdump -X -r file.cap —十六进制显示 抓包筛选器(只抓要的包) tcpdump -i eth0 port 22 /只抓取22端口的数据包 主机A运行 tcpdump -i eth0 port 22 主机B 运行 nc -nv 192.168.31.213 22 可以得到主机B尝试连接主机A被拒绝的数据包 并且如果主机B尝试连接主机A的其他端口时,主机A是抓不到包的 显示筛选器(包都抓,但只显示要的包) tcpdump -n -r aa.cap//参数n意为不会对抓到的包中的域名进行解析,只会以ip地址的形式显示出来 - 效果图 - 再加入管道命令 tcpdump -n - r aa.cap | awk ‘{print $3}’

How To Use Tcpdump Parameter Description -i specify the network card. (E.g eth0) -c specify the numbers of packets that the Tcpdump can capture -v it can produce more detailed data -e it can print the link header data -D it can print network interface that can capture packets. (E.g tcpdump -D) -n display the address in numbers -nn in addition to the function of '-n',the port can also be displayed in digital form. Output Format 例一，dns捕获 tcpdump -nn -v -i enp1s0 port domain enp1s0 是ubuntu18.04中的网卡名称 此时在另外一个终端，输入： host www.taobao.com 在第一个窗口得到如下输出： 插图 hh:mm:ss.xxxxxx 表示时间，在手册中提到改时间很精准。 ttl 剩余跳数。

一般我们使用Tcpdump时都是使用： Java 代码 tcpdump -i ethx www.2cto.com 下面这条命令就是查看80端口的访问量，进行排序，取前20位 Java代码 tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20 过滤掉22端口 Java代码 tcpdump -i eth1 -s 1500 port not 22 tcpdump -i eth1 -s 1500 port not 22 and port not 53 tcpdump -i eth1 port not 22 and host 1.2.3.4 www.2cto.com 二、tcpdump详细用法 第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host. 第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向