tcpdump过滤特定IP的数据包,结果不对?

最新推荐文章于 2025-08-22 10:55:10 发布
原创 最新推荐文章于 2025-08-22 10:55:10 发布 · 1w 阅读 · 1
标签
#tcpdump #wireshark #pcap-filte #数据包过滤
在项目中,使用tcpdump过滤特定IP的数据包时遇到问题,过滤后的结果包含了ARP数据包。尽管使用了正确的过滤表达式,但发现过滤后的pcap文件与Wireshark显示的不一致。问题在于tcpdump默认会捕获ARP协议的数据包。解决方案是修改tcpdump过滤表达式,明确排除ARP和RARP协议,以确保只过滤IP层的特定IP数据包。

项目中自己需要写个程序通过pcap-filter表达式过滤数据包,测试时发现过滤结果不对!现将问题简化如下(以tcpdump举例)

问题描述

  1. 通过 tcpdump 过滤出173_20170107_180747_p5p2.pcap 文件中IP为 10.10.88.173的数据包,并保存为result.pcap
  2. 过滤命令 tcpdump -r 173_20170107_180747_p5p2.pcap -w result.pcap "host 10.10.88.173"
  3. 原始数据包用wireshark打开,设置过滤表达式为ip.addr==10.10.88.173,发现IP为 10.10.88.173的数据包个数为7150
  4. 但用wireshark打开tcpdump过滤出的result.pcap文件,发现其数据包个数为7152,如下图!(此时如果知道原因就不用往下看了)
    image_1b5sh1esi12fhcde4ln8id1k1r1c.png-97.6kB
    image_1b5sh37cbdt41hthgqrk3ntgo1p.png-89kB
最低0.47元/天 解锁文章
tcpdump高级过滤技巧
04-11
tcpdump高级过滤技巧,很多常用的数据抓取实例。
数据包过滤及分析实例 tshark tcpdump
onephone的专栏
08-08 3791
平时需要对数据包进行分析和统计,尽管使用python scapy库来开发很方便,但若是熟悉tshark(wireshark的命令行),tcpdump 等工具,含editcap,mergecap 等,写个简单的shell分析脚本,那会更加方便! 简介 tcpdump
tcpdump 使用
weixin_34261415的博客
06-14 608
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host. 第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, ...
tcpdump 数据抓包,排查网络故障问题(转载)
一个老菜鸟的学习分享
03-04 6333
转载链接https://linux.cn/article-10191-1.html tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服
tcpdump常用命令
ATM_2009的专栏
07-08 1740
目录 一、基本语法 1.1、过滤ip 1.2、过滤端口 1.3、过滤协议 1.4、综合示例 1.5、常用选项 一、基本语法 1.1、过滤ip (1)过滤eth1网卡上,源地址/目的地址是192.168.1.1的包 tcpdump -i eth1 host 192.168.1.1 (2)过滤IP tcpdump -i eth1 src host 192.168.1.1 (3)过滤目的IP tcpdump -i eth1 dst ho...
使用tcpdump查看原始数据包
程序员小乐
11-21 2835
点击上方 "后端架构师"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!关注订阅号「后端架构师」,收看更多精彩内容每日英文Nothing can't be...
tcpdump显示udp包_Tcpdump过滤数据包实例
weixin_29385641的博客
12-23 1238
Tcpdump过滤数据包实例笔者维护的一台邮件服务器,发现老是有人上来连接25端口,用了几种软件,如iptraf及wireshark,etherape发现效果均不理想,还是Tcpdump更直观方便,如命令tcpdump tcp port 25 and host 211.147.1.11 > awstat.txt,即可生成一份详细的连接报告。感觉tcpdump还是很实用的,下面举出例子说明下它...
网络流量分析——Tcpdump 数据包过滤
最新发布
Atticus的博客
08-22 1182
Tcpdump 数据包过滤摘要 Tcpdump 提供了强大的数据包过滤功能,可通过指定条件精确捕获网络流量。常用过滤器包括:主机过滤(host)、源/目标过滤(src/dst)和端口过滤(port),这些过滤器可单独或组合使用。通过合理设置过滤条件,不仅能减少捕获数据量,提高分析效率,还能节省存储空间。示例展示了如何过滤特定IP(172.16.146.2)的通信流量,以及如何仅捕获来自TCP 80端口的数据包。这些过滤器通过检查协议头中的特定值进行匹配,是网络流量分析的实用工具。
Tcpdump 高级过滤
hao_wujing的专栏
12-31 1305
wiresharktcpdump 实用过滤表达式(针对ip、协议、端口、长度和内容)
frucik的博客
12-18 5917
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。   一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:...
tcpdump 抓包和记录、tshark 过滤抓包
05-21 3557
tcpdump
tcpdump使用技巧
专心扫地
10-09 3984
参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工CTRL+C还是抓的太多,甚至导致服务器宕机,于是可以用。a. 比较第一字节的值是否大于01000101,这可以判断IPv4带IP选项的数据和IPv6的数据。TTL字段在第九字节,并且正好是完整的一个字节,TTL最大值是255,二进制为11111111。proto[x:y] & z = 0 : proto[x:y]和z的与操作为0。proto[x:y] & z = z : proto[x:y]和z的与操作为z。
tcpdump高级过滤表达式
热门推荐
lepton126的专栏
11-08 1万+
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt   tcpdump advanced filters ======================== Sebastien Wains http://www.wains.be $Id: tcpdump_advanced_filters.txt 34
Linux tcpdump命令详解
weixin_34008784的博客
01-14 2026
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
tcpdump抓包通过IP或端口过滤抓包方法
抱富的博客
10-21 1万+
1.通过ip过滤抓包方法 tcpdump -i any -s 0 -w 100.pcap net 172.16.1.139 or 172.16.1.159 2.通过端口过滤抓包方法 tcpdump sctp or udp port 2123 or udp portrange 10000-11000 -i any -s 0 -w 01.pcap
tcpdump
gzwu的博客
12-19 496
tcpdump -Xnns 2048 host 192.168.109.2 and tcp port 80 or port 443 -w /aclog/zwj.pcap -n不转换主机地址为主机名,这样可以避免DNS查找 -nn 在上面的基础上不进行端口名字别名的转换 -S打印绝对的TCP时序数字(sequence number) -X以16进制和ASCII两种方式打印抓...
tcpdump抓包命令,过滤IP端口,保存为pcap文件,抓本机上的包
一名Java后端程序员,分享日常bug和一些好玩的东西!
10-16 1万+
tcpdump抓包命令: # tcpdump -i eth0 -Xvnn -s0 host ${对方IP} and port ${本机端口} > ./tmp.log & tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080 > ./tmp.log & # 保存为pcap文件在Wireshark上打开查看 tcpdump -i eth0 -Xvnn -s0 host 192.168.2.18 and port 8080
tcpdump如何抓接口包_tcpdump抓包命令
weixin_39936558的博客
12-22 3259
一.选项tcpdump支持相当多的参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。如下:-a将网络地址和广播地址转变成名字;-b在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。-c指定要监听的数据包数量,在收到指定的包的数目后,tc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值