So verwenden Sie tcpdump zum Erfassen von Paketen im Linux-System

Lassen Sie mich zunächst einen Blick auf den Beispielcode werfen:

1. Allgemeine Parameter tcpdump -i eth0 -nn -s0 -v port 80

-i Wählen Sie die zu überwachende Netzwerkkarte aus -nn Löst keine Hostnamen und Portnummern auf, erfasst viele Daten, die Namensauflösung verlangsamt die Auflösung -s0 Unbegrenzte Erfassungslänge -v Erhöhen Sie die Menge der im Ausgabeport angezeigten Detailinformationen. 80 Portfilter, erfasst nur den Verkehr auf Port 80, normalerweise HTTP

2.

tcpdump -A -s0 Port 80

-A gibt ASCII-Daten aus. -X gibt Hexadezimaldaten und ASCII-Daten aus. 3.

tcpdump -i eth0 udp

UDP-Filter, erfasst nur UDP-Daten Proto 17 Protokoll 17 ist äquivalent zu UDP

Proto 6 ist äquivalent zu TCP

4.

tcpdump -i eth0 Host 10.10.1.1

Hostfilter, Filterung basierend auf IP-Adresse 5.

tcpdump -i eth0 dst 10.105.38.204

dst-Filter, Filter basierend auf Ziel-IP, src-Filter, Filter basierend auf Quell-IP 6.

tcpdump -i eth0 -s0 -w test.pcap

-w schreibt in eine Datei, die in Wireshark7 analysiert werden kann.

tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

-l wird mit einigen Pipeline-Befehlen wie grep verwendet

8.

Kombinierte Filterung und oder &&

oder oder ||

nicht oder !

9.

Schnelles Extrahieren von HTTP UA

grep "Benutzer-Agent:"

Verwenden Sie egrep, um UA und Host abzugleichen

tcpdump -nn -A -s1500 -l | egrep -i 'Benutzer-Agent:|Host:'

10.

Ordnen Sie das GET-Paket zu: tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

POST-Pakete abgleichen. POST-Daten sind möglicherweise nicht im Paket enthalten. tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

11.

HTTP-Anforderungsheader abgleichen tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

Einige POST-Daten abgleichen tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Einige Cookie-Informationen abgleichen tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

12.

Erfassen Sie DNS-Anfragen und -Antworten tcpdump -i eth0 -s0 Port 53

13.

Verwenden Sie tcpdump zum Erfassen und Anzeigen in Wireshark. Verwenden Sie ssh, um eine Remoteverbindung zum Server herzustellen, um den Befehl tcpdump auszuführen und ihn im lokalen Wireshark zu analysieren. ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - nicht Port 22' | wireshark -k -i -

ssh [email protected] 'sudo tcpdump -s0 -c 1000 -nn -w - nicht Port 22' | wireshark -k -i -

14.

Verwenden Sie die Shell, um die höchste IP-Nummer zu erhalten: tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

15. Erfassen Sie DHCP-Anfragen und -Antworten tcpdump -v -n Port 67 oder 68

Das könnte Sie auch interessieren:

Detaillierte Erläuterung der TCPdump-Befehlsbeispiele in Linux
Einige Funktionen der Verwendung von tcpdump zum Erfassen von Paketen in der Linux-Befehlszeile
Detaillierte Erklärung zur Verwendung des Befehls tcpdump zum Erfassen und Analysieren von Datenpaketen in Linux
Linux-Grundlagenlernen mit tcpdump zum Erfassen von Paketbeispielcode
Detaillierte Erläuterung der TCPdump-Befehlsbeispiele in Linux
So verwenden Sie tcpdump zum Erfassen von Paketen in Linux
So verwenden Sie den Befehl tcpdump zum Überwachen bestimmter Netzwerkdatenpakete in Linux
Detaillierte Analyse der Verwendung des Linux-Befehls tcpdump
Detaillierte Erläuterung der Linux-TCPDUMP-Operationsbefehle
Detaillierte Analyse und Verwendung des Befehls tcpdump unter Linux

<<: So implementieren Sie Call, Apply und Binding in nativem JS

>>: Detaillierte Analyse des langsamen Abfrageproblems beim Senden von MySQL-Daten