TCPDUMP

一、查看某个端口接收到的数据 [root@localhost ~]# tcpdump -i eth0 port 3120 # 监听从3120端口进来的数据包 [root@localhost ~]# tcpdump -s 0 -X 'tcp dst port 3120' 1. 其中etho为网卡名称，查看网卡可以通过：ifconfig命令查看。 2. 把port改为你想要监听的端口即可在linux下监听某个端口的数据。但是打印出来的数据不是很人性化。如果是udp，记得修改tcp为udp。 https://blog.csdn.net/qq_41262248/article/details/80683423 https://blog.csdn.net/lihe55966/article/details/53611666 来源： oschina 链接： https://my.oschina.net/u/4291687/blog/3421185

Docker-Bridge Network 02 容器与外部通信 本小节介绍bridge network模式下，容器与外部的通信。 1.前言2.容器访问外部2.1 访问外网2.2 原理2.3 一张图总结2.4 抓包3.外部访问容器3.1 创建nginx容器并从外部访问3.2 原理3.3 一张图总结3.4 抓包3.5 docker-proxy4.小结 1.前言 上一节介绍了容器之间的通信过程。容器中部署了服务，我们肯定要从外部去访问这个服务，那么，容器如何与外部进行通信呢？ 2.容器访问外部 这一节，我们仍然使用bbox1容器进行实验。首先要确保虚拟机Host1能访问外网。在“准备Docker环境”那一节，介绍了虚拟机如何直接ping通百度。 要说明一点，外部网络不一定指互联网，外部与内部是相对的概念。只要是容器网络以外的网络，都可以称作外部网络，比如Host1所在的网络。 2.1 访问外网 [root@docker1 ~]# docker exec -it bbox1 sh / # ping www.baidu.com PING www.baidu.com (180.101.49.11): 56 data bytes 64 bytes from 180.101.49.11: seq=0 ttl=51 time=21.308 ms 64 bytes from 180.101.49

【推荐阅读】微服务还能火多久？>>> tcpdump想要捕获发送给imap服务器的数据 , 可以使用下面的参数 , 默认端口是143 tcpdump -i any dst port 143 -l -s 0 -w -|strings dst port 是目标端口 , 只获取发送的数据 , 不获取返回的数据 -l 是监听模式 -s 0 不限制大小 -|strings 传递给strings命令打印可以打印的字符 可以看到发送的imap命令 来源： oschina 链接： https://my.oschina.net/u/4305979/blog/3235289

tcpdump命令 -l：使标准输出变为缓冲行形式； -c：抓包次数； -nn：直接以 IP 及 Port Number 显示，而非主机名与服务名称； -s ：<数据包大小> 设置每个数据包的大小； -i：指定监听的网络接口； -r：从指定的文件中读取包； -w：输出信息保存到指定文件； -a：将网络地址和广播地址转变成名字； -d：将匹配信息包的代码以人们能够理解的汇编格式给出； -e：在输出行打印出数据链路层的头部信息； -f：将外部的Internet地址以数字的形式打印出来； -t：在输出的每一行不打印时间戳； -v ：输出稍微详细的报文信息；--vv则输出更详细信息。 使用示例 tcpdump -i eth0 #从指定网卡中获取数据包 tcpdump -i eth0 -w packet_file #将所有获取到的包写入文件中 tcpdump -r packet_file #读取之前产生的文件 tcpdump host 192.168.1.1 #获取指定ip的数据包，不管是作为源地址还是目的地址 tcpdump src 192.168.1.1 #指定ip是源地址 tcpdump dst 192.168.1.1 #指定ip是目的地址 tcpdump icmp #查看icmp协议的数据包 tcpdump port 22 #捕获22端口的数据包 tcpdump portrange

本篇文章与上一篇： Python_adb运行shell脚本类似 ， 上一篇主要的技术点是讲shell等 文本文件 ，"隐藏"在Python代码里; 本篇文章主要是讲，如何将tcpdump这类 二进制可执行文件 ， “隐藏”到Python代码里去。 ::: story Android手机具备在线功能的应用程序，如果出现App无法连接网络， 或者网络异常等问题，开发一般需要测试同学抓包; 还有比如Android手机 流媒体协议（HTTP，HTTP Live, RTSP)测试等，开发也经常需要测试人员抓包。 Android的一般用tcpdump命令行工具抓包, 可是，有的Android是阉割版的，很多命令行工具都未集成，比如tcpdump如果没有集成， 则要考虑adb push tcpdump /system/bin下面去， 然后通过/system/bin/tcpdump -vv -s 0 -w /sdcard/tcp.pcap 来抓包。 执行tcpdump不难，难在“隐藏”tcpdump到Python代码里去， 为什么要“隐藏”，因为我们只能将.py代码文件， 编译打包进.exe里去， 任何其他的格式的非代码文件都是无法编译打包进去， 所以先将tcpdump这个二进制文件转成.py文件， 这样就可以将tcpdump编译打包进.exe。 :::

抓包工具使用 1.作用： （1）捕获网络协议包 （2）分析网络协议包 2.分类： （1）命令行工具，如tcpdump （2）图像界面工具，wireshark 3.tcpdump命令行工具的使用 3.1格式：tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ] 3.2选项分类 抓包选项 -c ： 指定要抓取的包数量 -i interface ： 指定tcpdump需要监听的接口，-I 后面直接跟网卡名即可，如-I ens33 -n：对地址以数字方式显式，否则显式为主机名 -nn ： 除了-n的作用外，还把端口显示为数值 输出选项 -e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。 -q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。 -X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。 -XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。 -v：当分析和打印的时候，产生详细的输出。 -vv：产生比-v更详细的输出。 -vvv：产生比-vv更详细的输出 其他功能选项 -D：列出可用于抓包的接口 -F：从文件中读取抓包的表达式 -w

tcpdump分析与使用 参考博客 https://yq.aliyun.com/articles/573120?spm=a2c4e.11155435.0.0.33453a10zlXi7N https://www.cnblogs.com/wangchaowei/p/8572711.html https://github.com/the-tcpdump-group/libpcap https://blog.csdn.net/u012501054/article/details/80969953 tcpdump原理 tcpdump命令是基于unix系统的命令行的数据报嗅探工具，可以抓取流动在网卡上的数据包。它的原理大概如下：linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文（准确的是网络设备）消息的处理权。当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它对网卡收到的保温进行一次处理，此时该模块就会趁机对报文进行窥探，也就是啊这个报文完完整整的复制一份，假装是自己接收的报文，汇报给抓包模块。 tcpdump的版本 我们可以通过tcpdump --version来查看系统中tcpdump的源码版本

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。 输出到文件： sudo tcpdump -XvvennSs 0 -i rvi0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 >> ~/out.pcapng tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。 tcpdump 与wireshark Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。 tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1

最近做项目需要抓包分析网络是走的H2，还是H1，或者Quic，在此做一个总结，以便后面方便查阅。 首先需要手机root，这样可以配置手机的host文件，以及把文件推送到手机系统目录下面。 1. 首先下载tcpdump 地址： http://www.strazzere.com/android/tcpdump 2. 安装adb并且配置 在Android开发adb是必须要安装的，这里就不做过多的赘述。 3. 把下载的tcpdump推送到手机的/data/local目录下 命令：adb push 在电脑上存储的路径 / tcpdump / data / local / （手机中的目录） 目录一定要对。 4. 进入手机 命令：adb shell 5. 授权限 su 此步骤，如果不需要授权su，可以直接略过。 6. 进入到手机/data/local目录下 命令：cd / data / local 7. 开始抓包 . /tcpdump - i any - p - s 0 - w / sdcard / capture . pcap capture . pcap 为包名，在手机的sdcard目录下面 control + c 结束 8. 把生成的文件到处到电脑上 adb pull /sdcard/capture.pcap （电脑上面目录）d:\ 拷贝包。 9. 下载wireshark

tcpdump 在调试网络通信程序是 tcpdump 是必备工具。tcpdump 很强大，可以看到网络通信的每个细节。如 TCP，可以看到 3 次握手，PUSH/ACK 数据推送，close4 次挥手，全部细节。包括每一次网络收包的字节数，时间等。 使用方法 最简单的一个使用示例： sudo tcpdump -i any tcp port 9501 -i 参数指定了网卡，any 表示所有网卡 tcp 指定仅监听 TCP 协议 port 指定监听的端口 tcpdump 需要 root 权限；需要要看通信的数据内容，可以加 -Xnlps0 参数，其他更多参数请参见网上的文章 运行结果 13:29:07.788802 IP localhost.42333 > localhost.9501: Flags [S], seq 828582357, win 43690, options [mss 65495,sackOK,TS val 2207513 ecr 0,nop,wscale 7], length 0 13:29:07.788815 IP localhost.9501 > localhost.42333: Flags [S.], seq 1242884615, ack 828582358, win 43690, options [mss 65495,sackOK,TS val