用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網路上的資料報進行截獲的包分析工具。 tcpdump可以將網路中傳送的資料報的「頭」完全截獲下來提供分析。它支援針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的資訊。
預設啟動
tcpdump
普通情況下,直接啟動
tcpdump
將監視第乙個網路介面上所有流過的資料報。
監視指定網路介面的資料報
tcpdump -i eth1
如果不指定網絡卡,預設tcpdump只會監視第乙個網路介面,一般是eth0,下面的例子都沒有指定網路介面。
監視指定主機的資料報
列印所有進入或離開sundown的資料報.
tcpdump host sundown
也可以指定ip,例如截獲所有
210.27.48.1
的主機收到的和發出的所有的資料報
tcpdump host 210.27.48.1
列印helios 與 hot 或者與 ace 之間通訊的資料報
tcpdump host helios and \( hot or ace \)
截獲主機
210.27.48.1
和主機210.27.48.2
或210.27.48.3
的通訊
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
列印ace與任何其他主機之間通訊的ip 資料報, 但不包括與helios之間的資料報.
tcpdump ip host ace and not helios
如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截獲主機hostname傳送的所有資料
tcpdump -i eth0 src host hostname
監視所有送到主機hostname的資料報
tcpdump -i eth0 dst host hostname
監視指定主機和埠的資料報
如果想要獲取主機
210.27.48.1
接收或發出的
telnet
包,使用如下命令
tcpdump tcp port 23 host 210.27.48.1
對本機的
udp 123
埠進行監視
123
為ntp
的服務埠
tcpdump udp port 123
監視指定網路的資料報
列印本地主機與berkeley網路上的主機之間的所有通訊資料報(nt: ucb-ether, 此處可理解為'berkeley網路'的網路位址,此表示式最原始的含義可表達為: 列印網路位址為ucb-ether的所有資料報)
tcpdump net ucb-ether
列印所有通過閘道器snup的ftp資料報(注意, 表示式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)
tcpdump 'gateway snup and (port ftp or ftp-data)
'
列印所有源位址或目標位址是本地主機的ip資料報
(如果本地網路通過閘道器連到了另一網路, 則另一網路並不能算作本地網路.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網路的名字)
tcpdump ip and not net localnet
監視指定協議的資料報
列印tcp會話中的的開始和結束資料報, 並且資料報的源或目的不是本地網路上的主機.(nt: localnet, 實際使用時要真正替換成本地網路的名字))
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet
'
列印所有源或目的埠是80, 網路層協議為ipv4, 並且含有資料,而不是syn,fin以及ack-only等不含資料的資料報.(ipv6的版本的表示式可做練習)
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
'
(nt: 可理解為, ip[2:2]表示整個ip資料報的長度, (ip[0]&0xf)<<2)表示ip資料報包頭的長度(ip[0]&0xf代表包中的ihl域, 而此域的單位為32bit, 要換算
成位元組數需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit, 換算成位元數為 ((tcp[12]&0xf0) >> 4) << 2,
即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整個ip資料報的長度減去ip頭的長度,再減去
tcp頭的長度不為0, 這就意味著, ip資料報中確實是有資料.對於ipv6版本只需考慮ipv6頭中的'payload length' 與 'tcp頭的長度'的差值, 並且其中表達方式'ip'需換成'ip6'.)
列印長度超過576位元組, 並且閘道器位址是snup的ip資料報
tcpdump 'gateway snup and ip[2:2] > 576
'
列印所有ip層廣播或多播的資料報, 但不是物理乙太網層的廣播或多播資料報
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224
'
列印除'echo request'或者'echo reply'型別以外的icmp資料報( 比如,需要列印所有非ping 程式產生的資料報時可用到此表示式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種型別的icmp資料報通常由ping程式產生))
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply
'
tcpdump 與wireshark
wireshark(以前是ethereal)是windows下非常簡單易用的抓包工具。但在linux下很難找到乙個好用的圖形化抓包工具。
還好有tcpdump。我們可以用tcpdump + wireshark 的完美組合實現:在 linux 裡抓包,然後在windows 裡分析包。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第乙個引數的位置,用來過濾資料報的型別
(2)-i eth1 : 只抓經過介面eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取資料報時預設抓取長度為68位元組。加上-s 0 後可以抓到完整的資料報
(5)-c 100 : 只抓取100個資料報
(6)dst port ! 22 : 不抓取目標埠是22的資料報
(7)src net 192.168.1.0/24 : 資料報的源網路位址為192.168.1.0/24
(8)-w ./target.cap : 儲存成cap檔案,方便用ethereal(即wireshark)分析
使用tcpdump抓取http包
tcpdump -xvvennss 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 為"get"前兩個字母"ge",0x4854 為"http"前兩個字母"ht"。
tcpdump 對截獲的資料並沒有進行徹底解碼,資料報內的大部分內容是使用十六進製制的形式直接列印輸出的。顯然這不利於分析網路故障,通常的解決辦法是先使用帶-w引數的tcpdump 截獲資料並儲存到檔案中,然後再使用其他程式(如wireshark)進行解碼分析。當然也應該定義過濾規則,以避免捕獲的資料報填滿整個硬碟。
linux網路網路抓包工具tcpdump詳解
tcpdump是乙個執行在命令列下的抓包工具,它允許使用者攔截和顯示傳送或收到過網路連線到該計算機的tcp ip和其他資料報。root k8smaster yum install y tcpdump root k8smaster tcpdump help tcpdump version 4.9.2 ...
linux抓包工具
1.wireshark wireshark安裝 yum install wireshark wireshark gnome wireshark使用 wireshark 2.tcpdump tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 ...
Linux系統網路抓包工具 tcpdump
linux抓包是通過註冊一種虛擬的底層網路協議來完成對網路報文 準確的是網路裝置 訊息的處理權。命令 netstat i 1 型別的關鍵字 2 確定方向的關鍵字 3 協議的關鍵字 預設是所有協議的資訊包 4 其它關鍵字 5 常用表示式 6 引數詳解 root bigdata tcpdump host...