linux抓包命令过滤 linux抓包过滤端口命令

在linux上tshark怎么过滤

tshark使用-f来指定捕捉包过滤规则，规则与tcpdump一样，可以通过命令man pcap-filter来查得

创新互联2013年开创至今，是专业互联网技术服务公司，拥有项目成都网站设计、成都网站建设网站策划，项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命，1280元金昌做网站,已为上家服务,为金昌各地企业和个人服务,联系电话:18980820575

tshark使用-R来过滤已捕捉到的包，与界面板wireshark的左上角Filter一致

举个栗子

抓Mysql包命令如下：

tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

过滤HTTP请求：

# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]0xf)2)) - ((tcp[12]0xf0)2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'

Linux常用指令---grep(搜索过滤)(转)

Linux常用指令---grep(搜索过滤) (转)

Linux系统中grep命令是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。grep全称是Global Regular Expression Print，表示全局正则表达式版本，它的使用权限是所有用户。

grep的工作方式是这样的，它在一个或多个文件中搜索字符串模板。如果模板包括空格，则必须被引用，模板后的所有字符串被看作文件名。搜索的结果被送到标准输出，不影响原文件内容。

grep可用于shell脚本，因为grep通过返回一个状态值来说明搜索的状态，如果模板搜索成功，则返回0，如果搜索不成功，则返回1，如果搜索的文件不存在，则返回2。我们利用这些返回值就可进行一些自动化的文本处理工作。

1．命令格式：

grep [option] pattern file

2．命令功能：

用于过滤/搜索的特定字符。可使用正则表达式能多种命令配合使用，使用上十分灵活。

3．命令参数：

-a --text #不要忽略二进制的数据。

-A显示行数 --after-context=显示行数 #除了显示符合范本样式的那一列之外，并显示该行之后的内容。

-b --byte-offset #在显示符合样式的那一行之前，标示出该行第一个字符的编号。

-B显示行数 --before-context=显示行数 #除了显示符合样式的那一行之外，并显示该行之前的内容。

-c --count #计算符合样式的列数。

-C显示行数 --context=显示行数或-显示行数 #除了显示符合样式的那一行之外，并显示该行之前后的内容。

-d 动作 --directories=动作 #当指定要查找的是目录而非文件时，必须使用这项参数，否则grep指令将回报信息并停止动作。

-e范本样式 --regexp=范本样式 #指定字符串做为查找文件内容的样式。

-E --extended-regexp #将样式为延伸的普通表示法来使用。

-f规则文件 --file=规则文件 #指定规则文件，其内容含有一个或多个规则样式，让grep查找符合规则条件的文件内容，格式为每行一个规则样式。

-F --fixed-regexp #将样式视为固定字符串的列表。

-G --basic-regexp #将样式视为普通的表示法来使用。

-h --no-filename #在显示符合样式的那一行之前，不标示该行所属的文件名称。

-H --with-filename #在显示符合样式的那一行之前，表示该行所属的文件名称。

-i --ignore-case #忽略字符大小写的差别。

-l --file-with-matches #列出文件内容符合指定的样式的文件名称。

-L --files-without-match #列出文件内容不符合指定的样式的文件名称。

-n --line-number #在显示符合样式的那一行之前，标示出该行的列数编号。

-q --quiet或--silent #不显示任何信息。

-r --recursive #此参数的效果和指定“-d recurse”参数相同。

-s --no-messages #不显示错误信息。

-v --revert-match #显示不包含匹配文本的所有行。

-V --version #显示版本信息。

-w --word-regexp #只显示全字符合的列。

-x --line-regexp #只显示全列符合的列。

-y #此参数的效果和指定“-i”参数相同。

4．规则表达式：

grep的规则表达式:

^ #锚定行的开始如：'^grep'匹配所有以grep开头的行。

$ #锚定行的结束如：'grep$'匹配所有以grep结尾的行。

. #匹配一个非换行符的字符如：'gr.p'匹配gr后接一个任意字符，然后是p。

* #匹配零个或多个先前字符如：'*grep'匹配所有一个或多个空格后紧跟grep的行。

.* #一起用代表任意字符。

[] #匹配一个指定范围内的字符，如'[Gg]rep'匹配Grep和grep。

[^] #匹配一个不在指定范围内的字符，如：'[^A-FH-Z]rep'匹配不包含A-R和T-Z的一个字母开头，紧跟rep的行。

$..$ #标记匹配字符，如'$love$'，love被标记为1。

\ #锚定单词的开始，如:'\

\ #锚定单词的结束，如'grep\'匹配包含以grep结尾的单词的行。

x\{m\} #重复字符x，m次，如：'0\{5\}'匹配包含5个o的行。

x\{m,\} #重复字符x,至少m次，如：'o\{5,\}'匹配至少有5个o的行。

x\{m,n\} #重复字符x，至少m次，不多于n次，如：'o\{5,10\}'匹配5--10个o的行。

\w #匹配文字和数字字符，也就是[A-Za-z0-9]，如：'G\w*p'匹配以G后跟零个或多个文字或数字字符，然后是p。

\W #\w的反置形式，匹配一个或多个非单词字符，如点号句号等。

\b #单词锁定符，如: '\bgrep\b'只匹配grep。

POSIX字符:

为了在不同国家的字符编码中保持一至，POSIX(The Portable Operating System Interface)增加了特殊的字符类，如[:alnum:]是[A-Za-z0-9]的另一个写法。要把它们放到[]号内才能成为正则表达式，如[A- Za-z0-9]或[[:alnum:]]。在linux下的grep除fgrep外，都支持POSIX的字符类。

[:alnum:] #文字数字字符

[:alpha:] #文字字符

[:digit:] #数字字符

[:graph:] #非空字符（非空格、控制字符）

[:lower:] #小写字符

[:cntrl:] #控制字符

[:print:] #非空字符（包括空格）

[:punct:] #标点符号

[:space:] #所有空白字符（新行，空格，制表符）

[:upper:] #大写字符

[:xdigit:] #十六进制数字（0-9，a-f，A-F）

5．使用实例：

实例1：查找指定进程

命令：

ps -ef|grep svn

输出：

[root@localhost ~]# ps -ef|grep svn

root 4943 1 0 Dec05 ? 00:00:00 svnserve -d -r /opt/svndata/grape/

root 16867 16838 0 19:53 pts/0 00:00:00 grep svn

[root@localhost ~]#

说明：

第一条记录是查找出的进程；第二条结果是grep进程本身，并非真正要找的进程。

实例2：查找指定进程个数

命令：

ps -ef|grep svn -c

ps -ef|grep -c svn

输出：

[root@localhost ~]# ps -ef|grep svn -c

[root@localhost ~]# ps -ef|grep -c svn

[root@localhost ~]#

说明：

实例3：从文件中读取关键词进行搜索

命令：

cat test.txt | grep -f test2.txt

输出：

[root@localhost test]# cat test.txt

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt

linux

Redhat

[root@localhost test]# cat test.txt | grep -f test2.txt

hnlinux

ubuntu linux

Redhat

linuxmint

[root@localhost test]#

说明：

输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行

实例3：从文件中读取关键词进行搜索且显示行号

命令：

cat test.txt | grep -nf test2.txt

输出：

[root@localhost test]# cat test.txt

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt

linux

Redhat

[root@localhost test]# cat test.txt | grep -nf test2.txt

1:hnlinux

4:ubuntu linux

6:Redhat

7:linuxmint

[root@localhost test]#

说明：

输出test.txt文件中含有从test2.txt文件中读取出的关键词的内容行，并显示每一行的行号

实例5：从文件中查找关键词

命令：

grep 'linux' test.txt

输出：

[root@localhost test]# grep 'linux' test.txt

hnlinux

ubuntu linux

linuxmint

[root@localhost test]# grep -n 'linux' test.txt

1:hnlinux

4:ubuntu linux

7:linuxmint

[root@localhost test]#

说明：

实例6：从多个文件中查找关键词

命令：

grep 'linux' test.txt test2.txt

输出：

[root@localhost test]# grep -n 'linux' test.txt test2.txt

test.txt:1:hnlinux

test.txt:4:ubuntu linux

test.txt:7:linuxmint

test2.txt:1:linux

[root@localhost test]# grep 'linux' test.txt test2.txt

test.txt:hnlinux

test.txt:ubuntu linux

test.txt:linuxmint

test2.txt:linux

[root@localhost test]#

说明：

多文件时，输出查询到的信息内容行时，会把文件的命名在行最前面输出并且加上":"作为标示符

实例7：grep不显示本身进程

命令：

ps aux|grep \[s]sh

ps aux | grep ssh | grep -v "grep"

输出：

[root@localhost test]# ps aux|grep ssh

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

root 16901 0.0 0.0 61180 764 pts/0 S+ 20:31 0:00 grep ssh

[root@localhost test]# ps aux|grep \[s]sh]

[root@localhost test]# ps aux|grep \[s]sh

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

[root@localhost test]# ps aux | grep ssh | grep -v "grep"

root 2720 0.0 0.0 62656 1212 ? Ss Nov02 0:00 /usr/sbin/sshd

root 16834 0.0 0.0 88088 3288 ? Ss 19:53 0:00 sshd: root@pts/0

说明：

实例8：找出已u开头的行内容

命令：

cat test.txt |grep ^u

输出：

[root@localhost test]# cat test.txt |grep ^u

ubuntu

ubuntu linux

[root@localhost test]#

说明：

实例9：输出非u开头的行内容

命令：

cat test.txt |grep ^[^u]

输出：

[root@localhost test]# cat test.txt |grep ^[^u]

hnlinux

peida.cnblogs.com

redhat

Redhat

linuxmint

[root@localhost test]#

说明：

实例10：输出以hat结尾的行内容

命令：

cat test.txt |grep hat$

输出：

[root@localhost test]# cat test.txt |grep hat$

redhat

Redhat

[root@localhost test]#

说明：

实例11：输出ip地址

命令：

ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"

输出：

[root@localhost test]# ifconfig eth0|grep "[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}"

inet addr:192.168.120.204 Bcast:192.168.120.255 Mask:255.255.255.0

[root@localhost test]# ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"

inet addr:192.168.120.204 Bcast:192.168.120.255 Mask:255.255.255.0

[root@localhost test]#

说明：

实例12：显示包含ed或者at字符的内容行

命令：

cat test.txt |grep -E "ed|at"

输出：

[root@localhost test]# cat test.txt |grep -E "peida|com"

peida.cnblogs.com

[root@localhost test]# cat test.txt |grep -E "ed|at"

redhat

Redhat

[root@localhost test]#

说明：

实例13：显示当前目录下面以.txt 结尾的文件中的所有包含每个字符串至少有7个连续小写字符的字符串的行

命令：

grep '[a-z]\{7\}' *.txt

输出：

[root@localhost test]# grep '[a-z]\{7\}' *.txt

test.txt:hnlinux

test.txt:peida.cnblogs.com

test.txt:linuxmint

[root@localhost test]#

实例14:日志文件过大，不好查看，我们要从中查看自己想要的内容，或者得到同一类数据，比如说没有404日志信息的

命令：

grep '.' access1.log|grep -Ev '404' access2.log

grep '.' access1.log|grep -Ev '(404|/photo/|/css/)' access2.log

grep '.' access1.log|grep -E '404' access2.log

输出：

[root@localhost test]# grep “.”access1.log|grep -Ev “404” access2.log

说明：上面3句命令前面两句是在当前目录下对access1.log文件进行查找，找到那些不包含404的行，把它们放到access2.log中,后面去掉’v’,即是把有404的行放入access2.log

Linux 基础教程 29-tcpdump命令-1

在Linux中输入命令man tcpdump给出的定义如下所示：

是不是感觉很懵？我们用通俗、形象、学术的表达方式来全方位描述tcpdump:

常用选项如下所示：

1、第一个抓包示例

-i : 指定用来抓包的网络接口，这个参数在服务器有多个网卡的时候非常有效

-nn : 不转换协议和端口号，当tcpdump遇到协议号或端口号，不需要将这些数字转换为对应的协议名称或端口名称，如22端口SSH端口，我们希望显示22，而非SSH

-X : 将协议头和包内容原原本本的显示出来,tcpdump会同时以16进制和ASCII的形式进行显示，在协议分析时非常好用。

'port 22' : 告诉tcpdump要有选择的显示所抓到的包，在该示例中，只显示源端口或目的端口是22的数据包，其他的数据包则不显示。

-c : 用来指定抓包的个数，示例设置的个数为1，则代表仅抓取一个包之后就退出不再抓包了。

2、-e 增加数据链路层的头部信息

通过两个命令的输出对比，可以看到增加-e选项后，输出的结果中增加MAC地址信息。而且在输出内容中会有 oui Unknown ，OUI即Organizationally unique identifier(组织唯一标识符)，在任何一块网卡中烧录的6字节MAC地址中，前3个字节体现了OUI，其表明了网卡的制造组织，通常情况下，该标识符是唯一的。在本例中，由于没有识别出网卡的制造商，因此显示为Unknown。

3、-l 将输出变为行缓冲模式

-l的作用是将tcpdump的输出行为变为行缓冲方式，这样可以保证tcpdump遇到换行符，就立即将缓冲的内容输出到标准输出(stdout)，方便利用管道或重定向方式进行后续处理，而不会造成延迟。

在Linux的标准I/O中提供了全缓冲、行缓冲、无缓冲三种缓冲方式。标准错误是不带缓冲的，而终端设备常为行缓冲，其他默认则为全缓冲。

在该例中，将tcpdump输出的内容通过管道提取第5列，可以用来查看详细的连接信息。而如果不加 -l 选项时，则只有当缓冲区全部占满时，tcpdump才会将缓冲区中的内容输出，这样就有可能导致输出不连续的，如果强行结束，则会影响下一行的完整性。

4、-t 输出不加时间戳

在增加选项 -t 选项后，时间23:48:03.193526就消失了。tcpdump默认情况下是按微秒来计时，因此最一个时间精确到了第6位。

5、 -v 显示详细信息

在增加 -v 选项后，会在输出的内容中增加 tos 、 ttl 、 id 、 offset 、协议编号、总长度等，如需要理解这些信息，就需要了解TCP/IP协议中的头的具体定义了。

6、-F 指定过滤表达式所在的文件

在第一个示例中，命令行增加了 'port 22' ，而这一项就叫过滤条件，如果设置了过滤条件，则tcpdump只抓取满足过滤条件的数据包。如需要设置较为复杂的过滤条件或复用过滤条件时，这时可以将过滤条件保存为文件，然后通过-F加载该过滤文件。

7、 -w 将原始数据包信息保存到文件中

当我们查看保存的文件时，出现的是乱码。则代表无法直接查看，很有可能是二进制文件。那么怎么查看保存的文件了？请看下一个示例。

7、 -r 从文件中读取原始数据包

通过-w和-r选项即可实现抓包的录制回放功能。

Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] 扫描目标...

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

文章题目：linux抓包命令过滤 linux抓包过滤端口命令
网址分享：https://www.cdcxhl.com/article28/hiohcp.html

成都网站建设公司_创新互联，为您提供品牌网站设计、静态网站、服务器托管、全网营销推广、响应式网站、外贸建站

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容