Hablando del comando de captura de paquetes de Linux tcpdump

Others 2021-01-23 12:19:30 views: null

Hablando del comando de captura de paquetes de Linux tcpdump

Prefacio

Tcpdump puede interceptar completamente la "cabeza" del paquete de datos transmitido en la red para proporcionar análisis. Admite el filtrado de capas de red, protocolos, hosts, redes o puertos y proporciona declaraciones lógicas como y, o, no para ayudar a eliminar información inútil. El formato de salida total de TcpDump es: hora del sistema, host de origen + puerto, host de destino + puerto, parámetros del paquete de datos.

¿Cómo evitar el seguimiento y análisis de Tcpdump? Generalmente, el hardware de la red y la pila TCP / IP no admiten la recepción o el envío de paquetes de datos que no tienen nada que ver con la computadora. Para recibirlos en general, el hardware de la red y la pila TCP / IP no admiten la recepción o el envío de paquetes de datos. que no están relacionados con la computadora Para recibir estos paquetes, debe usar el modo promiscuo de la tarjeta de red y omitir la pila TCP / IP estándar. En FreeBSD, esto requiere que el kernel admita bpfilter pseudodispositivo. Por lo tanto, eliminar el soporte de bpfilter en el kernel puede proteger las herramientas de análisis de red como tcpdump.

1. Introducción al comando

tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]

               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]

               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]

               [ -P in|out|inout ]

               [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]

               [ -W filecount ]

               [ -E spi@ipaddr algo:secret,...  ]

               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

               [ expression ]

Instrucciones básicas de Tcpdump:

tcpdump

En circunstancias normales, el inicio directo de tcpdump supervisará todos los paquetes de datos que fluyen en la primera interfaz de red.

2. Operación

ifconfig

Ver tarjeta de red nativa

 

La tarjeta de red de la figura anterior puede ser eth0 / lo

tcpdump -i eth1

Si no especifica una tarjeta de red, tcpdump solo monitoreará la primera interfaz de red por defecto, que generalmente es eth0.Los siguientes ejemplos no especifican una interfaz de red. 

 

tcpdump host 210.27.48.1

Interceptar todos los paquetes de datos recibidos y enviados por todos los hosts 210.27.48.1

 

tcpdump host 210.27.48.1 y \ (210.27.48.2 o 210.27.48.3 \)

Interceptar la comunicación entre el host 210.27.48.1 y el host 210.27.48.2 o 210.27.48.3

 

tcpdump ip host 210.27.48.1 y! 210.27.48.2

Si desea obtener los paquetes ip de todos los hosts que se comunican con el host 210.27.48.1 excepto el host 210.27.48.2

 

Interceptar todos los datos enviados por el host

tcpdump -i eth0 src host nombre de host

 

Monitorear todos los paquetes enviados al nombre de host del host

tcpdump -i eth0 dst host nombre de host

 

tcpdump puerto tcp puerto y host host ip

tcpdump -c recibe el número especificado

 

tcpdump host / net / port src / dst / src o dst / dst y src

Host / dirección de red / puerto. Si no se especifica, es host

 

Especifique la dirección de origen / especifique la dirección de red

tcpdump -i eth1 src puerto 443

 

Ejemplo simple

172.24.18.25 ping 172.24.18.8

 

Captura 172.24.18.8 en 172.24.18.8

 

IP iZ88BFRKH96Z es el nombre de host de 18.8, lo que muestra que la captura de paquetes se realizó correctamente

 

Supongo que te gusta

Origin blog.csdn.net/Aaron_ch/article/details/113007659
Recomendado
Clasificación
Diario
Más
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)

Code World

© 2018 codetd.com