2. 程式人生 > >在Linux中使用tcpdump命令捕獲與分析資料包詳解

在Linux中使用tcpdump命令捕獲與分析資料包詳解

阿新 發佈:2018-12-16

tcpdump 是linux系統中提供的一個命令列工具,可以將網路中傳送的資料包完全截獲下來,提供網路資料分析

前言

tcpdump 是一個有名的命令列資料包分析工具。我們可以使用 tcpdump 命令捕獲實時 TCP/IP 資料包,這些資料包也可以儲存到檔案中。之後這些捕獲的資料包可以通過 tcpdump 命令進行分析。tcpdump 命令在網路層面進行故障排除時變得非常方便。

tcpdump 在大多數 Linux 發行版中都能用,對於基於 Debian 的Linux,可以使用 apt 命令安裝它。

1

# apt install tcpdump -y

在基於 RPM 的 Linux 作業系統上,可以使用下面的 yum 命令安裝 tcpdump。

1

# yum install tcpdump -y

當我們在沒用任何選項的情況下執行 tcpdump 命令時,它將捕獲所有介面的資料包。因此,要停止或取消 tcpdump 命令,請鍵入 ctrl+c。在本教程中,我們將使用不同的例項來討論如何捕獲和分析資料包。

示例:1)從特定介面捕獲資料包

當我們在沒用任何選項的情況下執行 tcpdump 命令時,它將捕獲所有介面上的資料包,因此,要從特定介面捕獲資料包,請使用選項 -i,後跟介面名稱。

語法:

1

# tcpdump -i {介面名}

假設我想從介面 enp0s3 捕獲資料包。

輸出將如下所示,

1

2

3

4

5

6

7

8

9

10

11

12

13

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

06:43:22.905890 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952160:21952540, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 380

06:43:22.906045 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952540:21952760, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220

06:43:22.906150 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952760:21952980, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220

06:43:22.906291 IP 169.144.0.1.39374 > compute-0-1.example.com.ssh: Flags [.], ack 21952980, win 13094, options [nop,nop,TS val 6580205 ecr 26164373], length 0

06:43:22.906303 IP 169.144.0.1.39374 > compute-0-1.example.com.ssh: Flags [P.], seq 13537:13609, ack 21952980, win 13094, options [nop,nop,TS val 6580205 ecr 26164373], length 72

06:43:22.906322 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952980:21953200, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220

^C

109930 packets captured

110065 packets received by filter

133 packets dropped by kernel

[[email protected] ~]#

示例:2)從特定介面捕獲特定數量資料包

假設我們想從特定介面(如 enp0s3)捕獲 12 個數據包,這可以使用選項 -c {數量} -I {介面名稱} 輕鬆實現。

1

[email protected] ~]# tcpdump -c 12 -i enp0s3

上面的命令將生成如下所示的輸出,

N-Number-Packsets-tcpdump-interface

示例:3)顯示 tcpdump 的所有可用介面

使用 -D 選項顯示 tcpdump 命令的所有可用介面,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

[[email protected] ~]# tcpdump -D

1.enp0s3

2.enp0s8

3.ovs-system

4.br-int

5.br-tun

6.nflog (Linux netfilter log (NFLOG) interface)

7.nfqueue (Linux netfilter queue (NFQUEUE) interface)

8.usbmon1 (USB bus number 1)

9.usbmon2 (USB bus number 2)

10.qbra692e993-28

11.qvoa692e993-28

12.qvba692e993-28

13.tapa692e993-28

14.vxlan_sys_4789

15.any (Pseudo-device that captures on all interfaces)

16.lo [Loopback]

[[email protected] ~]#

我正在我的一個 openstack 計算節點上執行 tcpdump 命令,這就是為什麼在輸出中你會看到數字介面、標籤介面、網橋和 vxlan 介面。

示例:4)捕獲帶有可讀時間戳的資料包(-tttt 選項)

預設情況下,在 tcpdump 命令輸出中,不顯示可讀性好的時間戳,如果您想將可讀性好的時間戳與每個捕獲的資料包相關聯,那麼使用 -tttt 選項,示例如下所示,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

[[email protected] ~]# tcpdump -c 8 -tttt -i enp0s3

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

2018-08-25 23:23:36.954883 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1449206247:1449206435, ack 3062020950, win 291, options [nop,nop,TS val 86178422 ecr 21583714], length 188

2018-08-25 23:23:36.955046 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13585, options [nop,nop,TS val 21583717 ecr 86178422], length 0

2018-08-25 23:23:37.140097 IP controller0.example.com.amqp > compute-0-1.example.com.57818: Flags [P.], seq 814607956:814607964, ack 2387094506, win 252, options [nop,nop,TS val 86172228 ecr 86176695], length 8

2018-08-25 23:23:37.140175 IP compute-0-1.example.com.57818 > controller0.example.com.amqp: Flags [.], ack 8, win 237, options [nop,nop,TS val 86178607 ecr 86172228], length 0

2018-08-25 23:23:37.355238 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [P.], seq 1080415080:1080417400, ack 1690909362, win 237, options [nop,nop,TS val 86178822 ecr 86163054], length 2320

2018-08-25 23:23:37.357119 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [.], ack 2320, win 1432, options [nop,nop,TS val 86172448 ecr 86178822], length 0

2018-08-25 23:23:37.357545 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [P.], seq 1:22, ack 2320, win 1432, options [nop,nop,TS val 86172449 ecr 86178822], length 21

2018-08-25 23:23:37.357572 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [.], ack 22, win 237, options [nop,nop,TS val 86178825 ecr 86172449], length 0

8 packets captured

134 packets received by filter

69 packets dropped by kernel

[[email protected] ~]#

示例:5)捕獲資料包並將其儲存到檔案(-w 選項)

使用 tcpdump 命令中的 -w 選項將捕獲的 TCP/IP 資料包儲存到一個檔案中,以便我們可以在將來分析這些資料包以供進一步分析。

語法:

1

# tcpdump -w 檔名.pcap -i {介面名}

注意:副檔名必須為 .pcap。

假設我要把 enp0s3 介面捕獲到的包儲存到檔名為 enp0s3-26082018.pcap。

1

[[email protected] ~]# tcpdump -w enp0s3-26082018.pcap -i enp0s3

上述命令將生成如下所示的輸出,

1

2

3

4

5

6

7

8

[[email protected] ~]# tcpdump -w enp0s3-26082018.pcap -i enp0s3

tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

^C841 packets captured

845 packets received by filter

0 packets dropped by kernel

[[email protected] ~]# ls

anaconda-ks.cfg enp0s3-26082018.pcap

[[email protected] ~]#

捕獲並儲存大小大於 N 位元組的資料包。

1

[[email protected] ~]# tcpdump -w enp0s3-26082018-2.pcap greater 1024

捕獲並儲存大小小於 N 位元組的資料包。

1

[[email protected] ~]# tcpdump -w enp0s3-26082018-3.pcap less 1024

示例:6)從儲存的檔案中讀取資料包(-r 選項)

在上面的例子中,我們已經將捕獲的資料包儲存到檔案中,我們可以使用選項 -r 從檔案中讀取這些資料包,例子如下所示,

1

[[email protected] ~]# tcpdump -r enp0s3-26082018.pcap

用可讀性高的時間戳讀取包內容,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

[[email protected] ~]# tcpdump -tttt -r enp0s3-26082018.pcap

reading from file enp0s3-26082018.pcap, link-type EN10MB (Ethernet)

2018-08-25 22:03:17.249648 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1426167803:1426167927, ack 3061962134, win 291, options

[nop,nop,TS val 81358717 ecr 20378789], length 124

2018-08-25 22:03:17.249840 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 124, win 564, options [nop,nop,TS val 20378791 ecr 81358

717], length 0

2018-08-25 22:03:17.454559 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [.], ack 1079416895, win 1432, options [nop,nop,TS v

al 81352560 ecr 81353913], length 0

2018-08-25 22:03:17.454642 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [.], ack 1, win 237, options [nop,nop,TS val 8135892

2 ecr 81317504], length 0

2018-08-25 22:03:17.646945 IP compute-0-1.example.com.57788 > controller0.example.com.amqp: Flags [.], seq 106760587:106762035, ack 688390730, win 237

, options [nop,nop,TS val 81359114 ecr 81350901], length 1448

2018-08-25 22:03:17.647043 IP compute-0-1.example.com.57788 > controller0.example.com.amqp: Flags [P.], seq 1448:1956, ack 1, win 237, options [nop,no

p,TS val 81359114 ecr 81350901], length 508

2018-08-25 22:03:17.647502 IP controller0.example.com.amqp > compute-0-1.example.com.57788: Flags [.], ack 1956, win 1432, options [nop,nop,TS val 813

52753 ecr 81359114], length 0

.........................................................................................................................

示例:7)僅捕獲特定介面上的 IP 地址資料包(-n 選項)

使用 tcpdump 命令中的 -n 選項,我們能只捕獲特定介面上的 IP 地址資料包,示例如下所示,

1

[[email protected] ~]# tcpdump -n -i enp0s3

上述命令輸出如下,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

22:22:28.537904 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1433301395:1433301583, ack 3061976250, win 291, options [nop,nop,TS val 82510005 ecr 20666610], length 188

22:22:28.538173 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 188, win 9086, options [nop,nop,TS val 20666613 ecr 82510005], length 0

22:22:28.538573 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:552, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 364

22:22:28.538736 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 552, win 9086, options [nop,nop,TS val 20666613 ecr 82510006], length 0

22:22:28.538874 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 552:892, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 340

22:22:28.539042 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 892, win 9086, options [nop,nop,TS val 20666613 ecr 82510006], length 0

22:22:28.539178 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 892:1232, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 340

22:22:28.539282 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1232, win 9086, options [nop,nop,TS val 20666614 ecr 82510006], length 0

22:22:28.539479 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1232:1572, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666614], length 340

22:22:28.539595 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1572, win 9086, options [nop,nop,TS val 20666614 ecr 82510006], length 0

22:22:28.539760 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1572:1912, ack 1, win 291, options [nop,nop,TS val 82510007 ecr 20666614], length 340

.........................................................................

您還可以使用 tcpdump 命令中的 -c 和 -N 選項捕獲 N 個 IP 地址包,

1

[[email protected] ~]# tcpdump -c 25 -n -i enp0s3

示例:8)僅捕獲特定介面上的 TCP 資料包

在 tcpdump 命令中,我們能使用 tcp 選項來只捕獲 TCP 資料包,

1

2

3

4

5

6

7

8

9

10

11

12

13

[[email protected] ~]# tcpdump -i enp0s3 tcp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

22:36:54.521053 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1433336467:1433336655, ack 3061986618, win 291, options [nop,nop,TS val 83375988 ecr 20883106], length 188

22:36:54.521474 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 188, win 9086, options [nop,nop,TS val 20883109 ecr 83375988], length 0

22:36:54.522214 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:552, ack 1, win 291, options [nop,nop,TS val 83375989 ecr 20883109], length 364

22:36:54.522508 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 552, win 9086, options [nop,nop,TS val 20883109 ecr 83375989], length 0

22:36:54.522867 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 552:892, ack 1, win 291, options [nop,nop,TS val 83375990 ecr 20883109], length 340

22:36:54.523006 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 892, win 9086, options [nop,nop,TS val 20883109 ecr 83375990], length 0

22:36:54.523304 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 892:1232, ack 1, win 291, options [nop,nop,TS val 83375990 ecr 20883109], length 340

22:36:54.523461 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1232, win 9086, options [nop,nop,TS val 20883110 ecr 83375990], length 0

22:36:54.523604 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1232:1572, ack 1, win 291, options [nop,nop,TS val 83375991 ecr 20883110], length 340

...................................................................................................................................................

示例:9)從特定介面上的特定埠捕獲資料包

使用 tcpdump 命令,我們可以從特定介面 enp0s3 上的特定埠(例如 22)捕獲資料包。

語法:

1

# tcpdump -i {interface-name} port {Port_Number}

1

2

3

4

5

6

7

8

9

10

11

[[email protected] ~]# tcpdump -i enp0s3 port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

22:54:45.032412 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1435010787:1435010975, ack 3061993834, win 291, options [nop,nop,TS val 84446499 ecr 21150734], length 188

22:54:45.032631 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 9131, options [nop,nop,TS val 21150737 ecr 84446499], length 0

22:54:55.037926 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 188:576, ack 1, win 291, options [nop,nop,TS val 84456505 ecr 21150737], length 388

22:54:55.038106 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 576, win 9154, options [nop,nop,TS val 21153238 ecr 84456505], length 0

22:54:55.038286 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 576:940, ack 1, win 291, options [nop,nop,TS val 84456505 ecr 21153238], length 364

22:54:55.038564 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 940, win 9177, options [nop,nop,TS val 21153238 ecr 84456505], length 0

22:54:55.038708 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 940:1304, ack 1, win 291, options [nop,nop,TS val 84456506 ecr 21153238], length 364

............................................................................................................................

示例:10)在特定介面上捕獲來自特定來源 IP 的資料包

在 tcpdump 命令中,使用 src 關鍵字後跟 IP 地址,我們可以捕獲來自特定來源 IP 的資料包,

語法:

# tcpdump -n -i {介面名} src {IP 地址}

例子如下,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

[[email protected] ~]# tcpdump -n -i enp0s3 src 169.144.0.10

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

23:03:45.912733 IP 169.144.0.10.amqp > 169.144.0.20.57800: Flags [.], ack 526623844, win 243, options [nop,nop,TS val 84981008 ecr 84982372], length 0

23:03:46.136757 IP 169.144.0.10.amqp > 169.144.0.20.57796: Flags [.], ack 2535995970, win 252, options [nop,nop,TS val 84981232 ecr 84982596], length 0

23:03:46.153398 IP 169.144.0.10.amqp > 169.144.0.20.57798: Flags [.], ack 3623063621, win 243, options [nop,nop,TS val 84981248 ecr 84982612], length 0

23:03:46.361160 IP 169.144.0.10.amqp > 169.144.0.20.57802: Flags [.], ack 2140263945, win 252, options [nop,nop,TS val 84981456 ecr 84982821], length 0

23:03:46.376926 IP 169.144.0.10.amqp > 169.144.0.20.57808: Flags [.], ack 175946224, win 252, options [nop,nop,TS val 84981472 ecr 84982836], length 0

23:03:46.505242 IP 169.144.0.10.amqp > 169.144.0.20.57810: Flags [.], ack 1016089556, win 252, options [nop,nop,TS val 84981600 ecr 84982965], length 0

23:03:46.616994 IP 169.144.0.10.amqp > 169.144.0.20.57812: Flags [.], ack 832263835, win 252, options [nop,nop,TS val 84981712 ecr 84983076], length 0

23:03:46.809344 IP 169.144.0.10.amqp > 169.144.0.20.57814: Flags [.], ack 2781799939, win 252, options [nop,nop,TS val 84981904 ecr 84983268], length 0

23:03:46.809485 IP 169.144.0.10.amqp > 169.144.0.20.57816: Flags [.], ack 1662816815, win 252, options [nop,nop,TS val 84981904 ecr 84983268], length 0

23:03:47.033301 IP 169.144.0.10.amqp > 169.144.0.20.57818: Flags [.], ack 2387094362, win 252, options [nop,nop,TS val 84982128 ecr 84983492], length 0

^C

10 packets captured

12 packets received by filter

0 packets dropped by kernel

示例:11)在特定介面上捕獲來自特定目的 IP 的資料包

語法:

# tcpdump -n -i {介面名} dst {IP 地址}

1

2

3

4

5

6

7

8

9

10

[[email protected] ~]# tcpdump -n -i enp0s3 dst 169.144.0.1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

23:10:43.520967 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1439564171:1439564359, ack 3062005550, win 291, options [nop,nop,TS val 85404988 ecr 21390356], length 188

23:10:43.521441 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:408, ack 1, win 291, options [nop,nop,TS val 85404988 ecr 21390359], length 220

23:10:43.521719 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 408:604, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196

23:10:43.521993 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 604:800, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196

23:10:43.522157 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 800:996, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196

23:10:43.522346 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 996:1192, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196

.........................................................................................

示例:12)捕獲兩臺主機之間的 TCP 資料包通訊

假設我想捕獲兩臺主機 169.144.0.1 和 169.144.0.20 之間的 TCP 資料包,示例如下所示,

1

[[email protected] ~]# tcpdump -w two-host-tcp-comm.pcap -i enp0s3 tcp and \(host 169.144.0.1 or host 169.144.0.20\)

使用 tcpdump 命令只捕獲兩臺主機之間的 SSH 資料包流,

1

[[email protected] ~]# tcpdump -w ssh-comm-two-hosts.pcap -i enp0s3 src 169.144.0.1 and port 22 and dst 169.144.0.20 and port 22

示例:13)捕獲兩臺主機之間(來回)的 UDP 網路資料包

語法:

# tcpdump -w -s -i udp and \(host and host \)

1

[[email protected] ~]# tcpdump -w two-host-comm.pcap -s 1000 -i enp0s3 udp and \(host 169.144.0.10 and host 169.144.0.20\)

示例:14)捕獲十六進位制和 ASCII 格式的資料包

使用 tcpdump 命令,我們可以以 ASCII 和十六進位制格式捕獲 TCP/IP 資料包,

要使用 -A 選項捕獲 ASCII 格式的資料包,示例如下所示:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

[[email protected] ~]# tcpdump -c 10 -A -i enp0s3

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

00:37:10.520060 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1452637331:1452637519, ack 3062125586, win 333, options [nop,nop,TS val 90591987 ecr 22687106], length 188

E...[[email protected] @...............V.|...T....MT......

.fR..Z-....b.:..Z5...{.'p....]."}...Z..9.?......."[email protected] <.....V..C.....{,...OKP.2.*...`..-sS..1S...........:.O[.....{G..%ze.Pn.T..N.... ....qB..5...n.....`...:=...[..0....k.....S.:..5!.9..G....!-..'..

00:37:10.520319 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13930, options [nop,nop,TS val 22687109 ecr 90591987], length 0

[email protected] @.|+..............T.V.}O..6j.d.....

.Z-..fR.

00:37:11.687543 IP controller0.example.com.amqp > compute-0-1.example.com.57800: Flags [.], ack 526624548, win 243, options [nop,nop,TS val 90586768 ecr 90588146], length 0

[email protected] @.!L...

.....(..g....c.$...........

.f>..fC.

00:37:11.687612 IP compute-0-1.example.com.57800 > controller0.example.com.amqp: Flags [.], ack 1, win 237, options [nop,nop,TS val 90593155 ecr 90551716], length 0

[email protected] @..........

...(.c.$g.......Se.....

.fW..e..

..................................................................................................................................................

要同時以十六進位制和 ASCII 格式捕獲資料包,請使用 -XX 選項。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

[[email protected] ~]# tcpdump -c 10 -XX -i enp0s3

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes

00:39:15.124363 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1452640859:1452641047, ack 3062126346, win 333, options [nop,nop,TS val 90716591 ecr 22718257], length 188

0x0000: 0a00 2700 0000 0800 27f4 f935 0800 4510 ..'.....'..5..E.

0x0010: 00f0 5bc6 4000 4006 8afc a990 0014 a990 ..[[email protected] @.........

0x0020: 0001 0016 99ee 5695 8a5b b684 570a 8018 ......V..[..W...

0x0030: 014d 5418 0000 0101 080a 0568 39af 015a .MT........h9..Z

0x0040: a731 adb7 58b6 1a0f 2006 df67 c9b6 4479 .1..X......g..Dy

0x0050: 19fd 2c3d 2042 3313 35b9 a160 fa87 d42c ..,=.B3.5..`...,

0x0060: 89a9 3d7d dfbf 980d 2596 4f2a 99ba c92a ..=}....%.O*...*

0x0070: 3e1e 7bf7 3af2 a5cc ee4f 10bc 7dfc 630d >.{.:....O..}.c.

0x0080: 898a 0e16 6825 56c7 b683 1de4 3526 ff04 ....h%V.....5&..

0x0090: 68d1 4f7d babd 27ba 84ae c5d3 750b 01bd h.O}..'.....u...

0x00a0: 9c43 e10a 33a6 8df2 a9f0 c052 c7ed 2ff5 .C..3......R../.

0x00b0: bfb1 ce84 edfc c141 6dad fa19 0702 62a7 .......Am.....b.

0x00c0: 306c db6b 2eea 824e eea5 acd7 f92e 6de3 0l.k...N......m.

0x00d0: 85d0 222d f8bf 9051 2c37 93c8 506d 5cb5 .."-...Q,7..Pm\.

0x00e0: 3b4a 2a80 d027 49f2 c996 d2d9 a9eb c1c4 ;J*..'I.........

0x00f0: 7719 c615 8486 d84c e42d 0ba3 698c w......L.-..i.

00:39:15.124648 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13971, options [nop,nop,TS val 22718260 ecr 90716591], length 0

0x0000: 0800 27f4 f935 0a00 2700 0000 0800 4510 ..'..5..'.....E.

0x0010: 0034 6b70 4000 4006 7c0e a990 0001 a990 [email protected] @.|.......

0x0020: 0014 99ee 0016 b684 570a 5695 8b17 8010 ........W.V.....

0x0030: 3693 7c0e 0000 0101 080a 015a a734 0568 6.|........Z.4.h

0x0040: 39af

.......................................................................

相關推薦

Linux使用tcpdump命令捕獲分析資料

tcpdump 是linux系統中提供的一個命令列工具,可以將網路中傳送的資料包完全截獲下來,提供網路資料分析 前言 tcpdump 是一個有名的命令列資料包分析工具。我們可以使用 tcpdump 命令捕獲實時 TCP/IP 資料包,這些資料包也可以儲存到檔案中。之後這些

Linuxfind命令exec合用,按修改時間查詢等

find是我們很常用的一個Linux命令,但是我們一般查找出來的並不僅僅是看看而已,還會有進一步的操作,這個時候exec的作用就顯現出來了。 exec解釋: -exec  引數後面跟的是command命令,它的終止是以;為結束標誌的,所以這句命令後面的分號是不可缺少的,考慮

linuxhistory命令使用配置

history中設定顯示命令的執行時間 vi /root/.bashrc HISTTIMEFORMAT="%Y-%M-%D %H:%M:%S" export HISTTIMEFORMAT 為了使以上設定生效,執行以下命令 :wq source .bashrc his

Wireshark 認識捕獲分析資料(及各個分層協議的介紹)

綜述:認識Wireshark捕獲資料包 當我們對Wireshark主視窗各部分作用瞭解了,學會捕獲資料了,接下來就該去認識這些捕獲的資料包了。Wireshark將從網路中捕獲到的二進位制資料按照不同的協議包結構規範,顯示在Packet Details面板中。為了幫助使用者能

Linux下程序的建立過程分析(_do_fork/do_fork)--Linux程序的管理排程(八)

前言 Unix標準的複製程序的系統呼叫時fork(即分叉),但是Linux,BSD等作業系統並不止實現這一個,確切的說linux實現了三個,fork,vfork,clone(確切說vfork創造出來的是輕量級程序,也叫執行緒,是共享資源的程序

Linux(CentOS 7)命令行模式安裝VMware Tools

模式 pre rtx 圖形界面 啟動圖 tar.gz term directory 文件解壓 本篇文章主要介紹了如何在Linux(CentOS 7)命令行模式安裝VMware Tools,具有一定的參考價值,感興趣的小夥伴們可以參考一下。 本例中為在Linux(以CentO

Linux讓alias設定永久生效的方法

前言 經常使用Linux控制檯終端的站長們應該對於那些繁瑣的指令和引數命令列印象深刻吧!這也是很多站長寧願使用有安全風險的面板也不願意使用控制檯終端命令列的主要原因!好在,明月早年間的DOS下學習程式設計的經歷,對於這種命令列式的風格還是偏愛有加,但對於那些幾乎經常要用到的命令列每次都要重複性的

Linux(CentOS 7)命令列模式安裝VMware Tools

本篇文章主要介紹瞭如何在Linux(CentOS 7)命令列模式安裝VMware Tools,具有一定的參考價值,感興趣的小夥伴們可以參考一下。 本例中為在Linux(以CentOS 7為例)安裝VMware Tools。 1.首先啟動CentOS 7,在

Linuxlink,unlink,close,fclose

每一個檔案,都可以通過一個struct stat的結構體來獲得檔案資訊,其中一個成員st_nlink代表檔案的連結數。       當通過shell的touch命令或者在程式中open一個帶有O_CREAT的不存在的檔案時,檔案的連結數為1。       通常o

SUSE Linux儲存狀態資訊的viminfo和vimrc

最近公司在審計所有產品和方案的安全規格,比如:作業系統的日誌中禁止包含密碼明文或password之類的。幾乎將系統安全武裝到牙齒了,今天就遇到一個問題:測試發現SUSE Linux作業系統的/root/.viminfo檔案中包含了password字樣,和同事確認後瞭解到:原來.viminfo檔案存放

浮點數位元組資料轉換

一、浮點數在記憶體中的表示 對於浮點型別的資料採用單精度型別(float)和雙精度型別(double)來儲存,float資料佔用32bit,double資料佔用64bit。不論是float還是double在儲存方式上都是遵從IEEE的規範的,float遵從

TCP資料 抓到分析不了的請進

TCP連線:SYN ACK RST UTG PSH FIN 三次握手:傳送端傳送一個SYN=1,ACK=0標誌的資料包給接收端,請求進行連線,這是第一次握手;接收端收到請求並且允許連線的話,就會發送一個SYN=1,ACK=1標誌的資料包給傳送端,告訴它,可以通訊了,並且讓傳

Linux】 dd命令燒錄啟動U盤

dd命令做usb啟動盤十分方便,只須:sudo dd if=xxx.iso of=/dev/sdb bs=1M 用以上命令前必須解除安裝u盤,sdb是你的u盤,bs=1M是塊的大小,後面的數值大,寫的速度相對塊一點,但也不是無限的,我一般選2M,注意,執行命令後很塊完成,但u盤還在閃,等不閃了,安全移除。

RIPv1收發資料

       本文將詳解RIPv1收發路由更新的機制, 先來複習一下RIPv1,距離向量路由,廣播更新,不支援VLSM,CIDR,不支援認證,不支援手工彙總,不支援下一跳,不支援Tag欄位,所以可以看出,RIPv1非常的不方便且不安全,因為他無法手工彙總與認證       

IP協議及IP資料

回憶一下網路層的主要功能:通過TCP或者UDP協議繪製網路地圖,資料包選取合適的路徑進行傳輸(網路層基本單位 : 資料包 Package) (1)編址(目標端的IP地址),資料傳輸的過程當中就必須表明

wireshark帶有SLE和SRE的SACK

一、名詞解釋 SLE: Sequence Left Edge of already acknowledged data when Selective Acknowledgments are used. 即已收到tcp資料的左邊界。 SRE: Sequence Right E

四種乙太網資料

1 Ethernet II 1.1 Ethernet II協議簡介   乙太網是當今現有區域網採用的最通用的通訊協議標準。該標準定義了在區域網中採用的電纜型別和訊號處理方法。EthernetII由DEC,Intel和Xerox在1982年公佈其標準,Etherent

linux的常用壓縮壓縮命令

tar post 文件名 壓縮文件 body 比較 目錄名 解壓 class linux中常用的壓縮格式有 .zip .gz .bz2 .tar.gz .tar.bz2 一、.zip 1.命令格式 zip 壓縮文件名 源文件名 (壓

linuxsleep、usleppdelay命令的使用

有時候寫Shell的指令碼,用於順序執行一系列的程式。 有些程式在停止之後並沒能立即退出,就例如有一個 tomcat 掛了,就算是用 kill -9 命令也還沒瞬間就結束掉。 這麼如果 shell 還沒等其退出就接著執行下一行,這麼就出亂子了。 剛知道了原來 shell 也能有 slee

Linux常用命令(檔案目錄)

1、pwd 檢視當前目錄(Print Working Directory) 2、cd 切換工作目錄(Change Directory) (1)格式:cd [目錄位置]   特殊目錄:   .當前目錄   ..上一級目錄   ~使用者主目錄   -上個