tcpdump能否抓到被iptable封禁的包?

最新推荐文章于 2025-02-07 09:52:23 发布
原创 最新推荐文章于 2025-02-07 09:52:23 发布 · 670 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#tcpdump #网络 #服务器
tcpdump在设备层通过packet_create函数挂载抓包点,先于IP层处理数据包。而netfilter在IP和ARP层工作,发包时可能被其过滤,影响tcpdump的可见性。tcpdump不受iptables封禁规则影响,能捕获网络设备层的数据。

tcpdump是如何工作的?

tcpdump工作在设备层,是通过虚拟协议的方式工作的。通过调用packet_create将抓包函数以协议的形式挂到ptype_all上。

当收包的时候,驱动中实现的igb_poll函数最终会调用到_netif_receive_skb_core,这个函数会在将包发送到协议栈函数(ip_recv、arp_recv等)之前,将包先发送到ptype_all抓包点。tcpdump就是基于这些抓包点来工作的。

iptables/netfilter是在哪一层实现的?

netfilter主要是在IP、ARP等层实现的

收包:

tcpdump工作在网络设备层,将包发送到IP层以前就能处理,netfilter工作在IP、ARP层,所以iptable封禁规则不影响tcpdump的抓包。

发包:

发包的时候,netfilter在协议层就被过滤掉了,所以tcpdump什么也看不到

CrazyL-
关注
tcpdumpiptables
qq_22648091的博客
07-22 1426
iptables是通过分析数据包的包头信息,根据包头中的信息是否匹配到一定的规则,再对这些数据包进行放行、拒绝或丢弃等动作包头信息-源地址-目标地址-源端口-目标端口-源mac-目标mac-TCP的状态规则是预先定义好的,写在文件中匹配到规则是有顺序之分的,假如有多条规则,当放在文档中的最上方的规则具有被优先匹配权。比如,当第一条规则匹配后,就会执行第一个规则指定的处理方式。之后的规则就不会去被匹配了具体可以看下图。......
tcpdump工作在哪一层
yuyanchao2005的专栏
03-20 3410
关于这个问题,在百度上搜索的结果,节本都是出自同一个出处,只说是抓取的网络层的数据包, 参考网址:https://blog.csdn.net/stpeace/article/details/73761957 但是tcpdump很显然是能够打印链路层信息的,所以本人有搜索了一些英文资料,基本的结论是tcpdump可以获取层2-7的数据, 以下是搜索到的一些信息,供参考: 1.对于信息安全专业人士来说,Tcpdump是有史以来最好的网络分析工具之一。Tcpdump是为黑客和对TCP/IP了解较少的人准备
tcpdump抓的是哪一层的包?
热门推荐
认知 行动 坚持
06-27 1万+
tcpdump很强大, 导致有些同学以为它抓的是物理层面上的二进制流, 其实不然。 它抓的是网络层的数据, 如下: xxxxxx$ sudo tcpdump -iany port 3721 -Xnlps0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, lin
tcpdump工作层次
weixin_43539320的博客
02-06 829
tcpdump 依赖 libpcap(Linux 中为 libpcap,Windows 中为 WinPcap)来捕获数据包。理解 tcpdump工作层次需要结合 网络分层模型 和 数据包捕获机制(如 pcap)来回答。可以说,tcpdump工作跨 数据链路层、网络层、传输层,但其核心抓包机制依赖数据链路层的 pcap 库。
掌握Tcpdump
Richardlygo的博客
05-18 364
Tcpdump是一个强大的网络数据包捕获工具,其名称来源于其两个主要功能:“tcp”代表传输控制协议,位于传输层;“dump”则意为导出。它使用libpcap库来捕获数据包,可以对网络上传输的数据包进行嗅探,并保存成文件,也可对嗅探到的数据包进行过滤、统计和分析。Tcpdump适用于大多数的类Unix系统 操作系统:包括Linux、Solaris、BSD、Mac OS X、HP-UX和AIX 等等。在这些系统中,Tcpdump 需要使用libpcap这个捕捉数据的库。
tcpdump能否抓到iptable封禁的包
最新发布
weixin_43539320的博客
02-07 456
tcpdump工作在设备层,将包送到IP层以前就能处理。而netfiter工作在IP、ARP等层。从图2.13收包流程处理顺序上来看,netfiter是在tcpdump后面工作的,所以iptable封禁规则影响不到tcpdump的抓包。不过发包过程恰恰相反,发包的时候,netfilter在协议层就被过滤掉了,所以tcpdump什么也看不到,如图所示。tcpdump 能否抓到iptable 封禁包?街区自张彦飞老师的《深入理解Linux网络
linux进阶25——tcpdump详解
www_dong的博客
06-16 2305
1. 应用场景
Linux网络遭到攻击后是如何实现封禁IP的
weixin_53112726的博客
02-23 1372
今天就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁,首先Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOs攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。 通过 netstat 获取攻击者 IP 如果你是被攻击的 Web 服务的话,默认是80端口,我们就可以使用下面的代码,如果攻击的不是80端口的话,将下面的两个数.
tcpdump实战详解
qfzhaohan的博客
11-18 660
tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强大。 相对于其它 Linux 工具而言,tcpdump是复杂的。当然我也不推荐你去学习它的全部,学以致用,能够解决工作中的问题才是关键。 本文会从应用场景和基础原理出发,提供丰富的实践案例,让你快速的掌握tcpdump的核心使用方法,足以应对日常工作的需求。 应用场景 在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决: 1.相信大多数同学都遇到过 SSH 连接服务器缓慢,...
Linux服务器被DDoS或CC攻击时如何封禁攻击者IP?
LuHai3005151872的博客
07-17 937
Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOs攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。今天就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁。 通过 netstat 获取攻击者 IP 如果攻击者攻击的是你的 Web 服务的话,默认是80端口,我们就可以使用下面的代码,如果攻击的不是80端口的话,将下面的两个数字
Linux服务器怎么防CC,Linux服务器被DDOS/CC时应急封IP方法
weixin_36296444的博客
05-05 356
当我们的服务器遇到小当量的工具的时候,其实不需要联系机房,我们也能自己处理,这个时候就需要用到LINUX的IPTABLE防火墙了,但是如果工具过大,这个就不好使了,还是需要联系机房,让他们使用硬防对付。对于少量攻击处理的步骤应该是:获取IP –> 封IP获取攻击者 IP通过 netstat 获取如果攻击者攻击的是你的 Web 服务的话,默认是80端口,我们就可以使用下面的代码!如果攻击的不是...
tcpdump必知必会
qq_30236895的博客
11-09 257
1.tcpdump原理 & 在tcp协议栈的位置 2.tcpdump用法•基于协议、主机、端口过滤•使用and or逻辑运算符做复杂的过滤操作•tcpdump Flags1. tcpdump原理linux中非常有用的网络工具,运行在用户态。数据包到达网卡,经过数据包过滤器bpf筛选后,拷贝至用户态的tcpdump程序。tcpdump抓包“抓” 这个动作是由数据包过滤器bpf...
服务器维修 Linux服务器被ddos保护网站
A17317974667的博客
06-14 959
我们的网站防御可能是G级的,十几G级的,而人家的,几百几千估计都没事啊,当然,人家也是很热议承担的,如果客户访问到网站也不会认为有什么,仅仅是跳转到百度而已。为什么我们做的都是鸵鸟式的措施呢,个人认为,ddos这种事完全是伤敌一千,自损八百的吃力不讨好的事,可是为什么那么多人还是回去D,无非是利益罢了,因为D是此类的,所以敌人也不好一直D的,等他自己耗的差不多的时候,攻击自然会停止的吧。当然,以上内容纯属小编的个人见解,小编没读过什么书,还需要多多学习,如果您有什么好的建议或意见,欢迎下方留言交流。
tcpdump 查找***者IP
weixin_33851429的博客
10-14 259
当网站受到***的时候我们第一个想到的答案就是查看web的log..或者用netstat -an查看网络连接,判断***类型,然后用iptables进行封锁ip。这种方案看起来很管用,但是有时候服务器受到肉鸡的CC***的时候根本从log中看不到什么有用的信息。而这个时候就需要用抓包来分析ip的来源了,linux下的抓包工具我就不例举了,这里我只说说tcpdump 简...
前端nginx带宽占用高排除思路
白衣不染尘的博客
08-14 1843
前端nginx带宽占用高排除思路 排除步骤 查看哪个进程占用流量高 nethogs 查看哪个外网ip连接占用流量高 iftop 抓包对应的外网ip tcpdump 将异常ip封禁iptables 1、nethogs 安装: apt-get installnethogs -y yum installnethogs -y 2、if...
迅雷资源服务器IP地址列表
徐火军博客
08-20 1万+
为了封掉公司的迅雷,试过了layer7过滤,早失效了,还是用土办法来得干脆——封IP。用 tcpdump 抓到了所有的迅雷服务器IP。  :D --------------bock_thunder.sh------------------------- #!/bin/sh # create new chains/sbin/iptables -F THUNDER_FW 2>> /de
linux被DDOS攻击防护
上善若水~的博客
11-14 748
Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOS攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。今天墨者安全就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁。 通过 netstat 获取攻击者 IP 如果攻击者...
Linux 服务器被 DDoS / CC 时应急的封 IP 方法
weixin_33973600的博客
07-13 281
当我们的 Linux 服务器受到少量攻击时,这时候我们可以使用 iptables 来手动封禁这些攻击者的IP。 如果攻击比较大时,有时我们根本无法响应过来,iptables 基本也就无能为力了,那我们就只能与机房联系让他们想想办法了。 对于少量攻击处理的步骤应该是:获取IP --> 封IP 获取攻击者 IP 通过 netstat 获取 如果攻击者攻击的是你的 Web 服务的话,默认...
Linux 服务器带宽异常跑满分析解决
weixin_30839881的博客
06-14 222
一、使用 nethogs 进行排查 [root@iZ23kick03xZ ~]# nethogs eth0 1 通过 nethogs 工具来查看某一网卡上进程级流量信息假定当前 eth0 网卡跑满,则执行命令 nethogs eth0,在右边的红框中可以看到每个进程的网络带宽情况,左边红框显示了进程对应的 PID,在此可以确定到底是什么进程占用了系统的带宽。 如果确定是恶意程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值