tcpdump非常實用的抓包實例

參考資料:http://www.reibang.com/p/3cca9a74927c

<<親測可用tcpdump查看HTTP流量查看>>

抓包HTTP GET請求:

[root@hostname /]# sudo tcpdump -i eth1?-s 0 -A?'tcp dst port 80 and tcp[((tcp[12:1]?& 0xf0)?>> 2):4]?= 0x47455420'

抓包HTTP POST請求:

[root@hostname /]# sudo tcpdump -i eth1?-s 0 -A?'tcp dst port 80 and (tcp[((tcp[12:1]?& 0xf0)?>> 2):4]?= 0x504f5354)'

查看HTTP請求響應(yīng)頭以及數(shù)據(jù):

[root@hostname /]# sudo tcpdump -i eth1 -A?-s 0 'tcp port 80 and (((ip[2:2]?-?((ip[0]&0xf)<<2))?-?((tcp[12]&0xf0)>>2))?!= 0)'

可對比16進制:

[root@hostname /]# sudo tcpdump -i eth1?-X -s 0 'tcp port 80 and (((ip[2:2]?-?((ip[0]&0xf)<<2))?-?((tcp[12]&0xf0)>>2))?!= 0)'

==================其他資料======================

基本語法

1.?簡單用法:tcpdump -i eth0 -s 0 tcp port 8080 -w?/root/log.cap

2.?過濾從本機的8070端口出渐夸、入的所有?“HT”開頭或“PO”、“GE”?開頭的數(shù)據(jù)包

tcpdump??-XvvennSs 0 -i eth1 '((tcp[20:2]=0x4745 or tcp[20:2]=0x4854 or tcp[20:2]=0x504f) or (port 8070))'?-w /root/log.cap

(注: 0x4745 為"GET"前兩個字母"GE",0x4854?為"HTTP"前兩個字母"HT", 0x504f為"POST"前綴"PO"。)

========

過濾主機

--------

-?抓取所有經(jīng)過 eth1揖铜,目的或源地址是 192.168.1.1 的網(wǎng)絡(luò)數(shù)據(jù)

# tcpdump -i eth1 host 192.168.1.1?

-?源地址

# tcpdump -i eth1 src host 192.168.1.1?

-?目的地址

# tcpdump -i eth1 dst host 192.168.1.1?

過濾端口

--------

-?抓取所有經(jīng)過 eth1川梅,目的或源端口是 25 的網(wǎng)絡(luò)數(shù)據(jù)

# tcpdump -i eth1 port 25?

-?源端口

# tcpdump -i eth1 src port 25?

-?目的端口

# tcpdump -i eth1 dst port 25網(wǎng)絡(luò)過濾

--------

# tcpdump -i eth1 net 192.168?

# tcpdump -i eth1 src net 192.168?

# tcpdump -i eth1 dst net 192.168?

協(xié)議過濾

--------

# tcpdump -i eth1 arp?

# tcpdump -i eth1 ip?

# tcpdump -i eth1 tcp?

# tcpdump -i eth1 udp?

# tcpdump -i eth1 icmp?

常用表達式

----------

非?:?! or "not"?(去掉雙引號)

且?:?&& or "and"

或?:?|| or "or"

-?抓取所有經(jīng)過 eth1舀锨,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 數(shù)據(jù)

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host?

192.168.1.200)))'

-?抓取所有經(jīng)過 eth1,目標 MAC 地址是 00:01:02:03:04:05 的 ICMP 數(shù)據(jù)

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

-?抓取所有經(jīng)過 eth1遵蚜,目的網(wǎng)絡(luò)是 192.168,但目的主機不是 192.168.1.200 的 TCP 數(shù)據(jù)

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

-?只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags]?= tcp-syn'

-?抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags]?& tcp-syn != 0 and tcp[tcpflags]?& tcp-ack != 0'

抓 SMTP 數(shù)據(jù)

----------

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4]?= 0x4d41494c))'

抓取數(shù)據(jù)區(qū)開始為"MAIL"的包奈惑,"MAIL"的十六進制為 0x4d41494c吭净。

抓 HTTP GET 數(shù)據(jù)

--------------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4]?= 0x47455420'

"GET "的十六進制是 47455420

抓 SSH 返回

---------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4]?= 0x5353482D'

"SSH-"的十六進制是 0x5353482D

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4]?= 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]

= 0x312E)'抓老版本的 SSH 返回信息,如"SSH-1.99.."

-?抓 DNS 請求數(shù)據(jù)

# tcpdump -i eth1 udp dst port 53

其他

----

-c 參數(shù)對于運維人員來說也比較常用肴甸,因為流量比較大的服務(wù)器寂殉,靠人工 CTRL+C 還是

抓的太多,于是可以用-c 參數(shù)指定抓多少個包原在。

# time tcpdump -nn?-i eth0 'tcp[tcpflags]?= tcp-syn'?-c 10000 >?/dev/null

上面的命令計算抓 10000 個 SYN 包花費多少時間友扰,可以判斷訪問量大概是多少彤叉。

實時抓取端口號8000的GET包,然后寫入GET.log

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))'?-nnAl?-w?/tmp/GET.log

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末村怪,一起剝皮案震驚了整個濱河市姆坚,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌实愚,老刑警劉巖兼呵,帶你破解...
    沈念sama閱讀 212,383評論 6 493
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異腊敲,居然都是意外死亡击喂,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,522評論 3 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門碰辅,熙熙樓的掌柜王于貴愁眉苦臉地迎上來懂昂,“玉大人,你說我怎么就攤上這事没宾×璞颍” “怎么了?”我有些...
    開封第一講書人閱讀 157,852評論 0 348
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵循衰,是天一觀的道長铲敛。 經(jīng)常有香客問我,道長会钝,這世上最難降的妖魔是什么伐蒋? 我笑而不...
    開封第一講書人閱讀 56,621評論 1 284
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮迁酸,結(jié)果婚禮上先鱼,老公的妹妹穿的比我還像新娘。我一直安慰自己奸鬓,他們只是感情好焙畔,可當我...
    茶點故事閱讀 65,741評論 6 386
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著串远,像睡著了一般宏多。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上抑淫,一...
    開封第一講書人閱讀 49,929評論 1 290
  • 城市分裂傳說
    那天绷落,我揣著相機與錄音,去河邊找鬼始苇。 笑死,一個胖子當著我的面吹牛筐喳,可吹牛的內(nèi)容都是我干的催式。 我是一名探鬼主播函喉,決...
    沈念sama閱讀 39,076評論 3 410
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼荣月!你這毒婦竟也來了管呵?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,803評論 0 268
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤哺窄,失蹤者是張志新(化名)和其女友劉穎捐下,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體萌业,經(jīng)...
    沈念sama閱讀 44,265評論 1 303
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡坷襟,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,582評論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了生年。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片婴程。...
    茶點故事閱讀 38,716評論 1 341
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖抱婉,靈堂內(nèi)的尸體忽然破棺而出档叔,到底是詐尸還是另有隱情,我是刑警寧澤蒸绩,帶...
    沈念sama閱讀 34,395評論 4 333
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布衙四,位于F島的核電站,受9級特大地震影響患亿,放射性物質(zhì)發(fā)生泄漏届搁。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 40,039評論 3 316
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一窍育、第九天 我趴在偏房一處隱蔽的房頂上張望卡睦。 院中可真熱鬧,春花似錦漱抓、人聲如沸表锻。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,798評論 0 21
  • 一樁弒父案乞娄,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽瞬逊。三九已至,卻和暖如春仪或,著一層夾襖步出監(jiān)牢的瞬間确镊,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,027評論 1 266
  • 情欲美人皮
    我被黑心中介騙來泰國打工范删, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留蕾域,地道東北人。 一個月前我還...
    沈念sama閱讀 46,488評論 2 361
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像旨巷,于是被迫代替她去往敵國和親巨缘。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 43,612評論 2 350

推薦閱讀更多精彩內(nèi)容