1.基本命令
(1)列出可監控的網絡卡介面(any包含所有active的介面)
tcpdump --list-inte***ces
tcpdump -d
(2)監控any介面且只輸出前5條記錄(-c引數-count)
tcpdump -i any -c 5
(3)預設tcpdump會將ip/port解析為name,禁用該解析(-n和-nn引數),防止dns查詢
tcpdump -i any -c5 -nn
2.輸出說明
tcpdump可以抓取和解析各種不同的協議,如tcp, udp, icmp等等。
具體可以參考:
以tcp為例,通常是返回下面這種格式:
08:41:13.729687 ip 192.168.64.28.22 > 192.168.64.1.41916: flags [p.], seq 196:568, ack 1, win 309, options [nop,nop,ts val 117964079 ecr 816509256], length 372
說明:(1)08:41:13.729687:代表接收到該資料報的時間戳(本地時鐘)
(2)ip:代表網路層協議,這裡指ipv4,如果是ipv6,則顯示ip6
(5)flags [p.]:tcp flags,這裡也可以是組合在一起的值,比如[s.]代表syn-ack包
value flag type description
s syn connection start
f fin connection finish
p push data push
r rst connection reset
. ack acknowledgment
(6)seq 196:568:這次捕獲的資料報包含位元組從196位元組到568位元組(this flow)
(8)win 309:代表接收緩衝區中可用的位元組數,
參考:(9)length 372:資料報長度,payload資料的位元組長度,即568 - 372
3.篩選資料報
(1)根據協議篩選:如篩選icmp的資料報,可以在另乙個終端中嘗試使用ping命令測試(ping基於icmp協議)
tcpdump -i any -c5 icmp
(2)根據主機篩選:抓取與指定主機通訊的資料報
tcpdump -i any -c5 -nn host 54.204.39.132
tcpdump -i any -c5 -nn port 80
(4)根據source ip/hostname篩選:
tcpdump -i any -c5 -nn src 192.168.122.98
tcpdump -i any -c5 -nn dst 192.168.122.98
(5)複雜表示式:如source ip為192.168.122.98且service http only或者更複雜一些
tcpdump -i any -c5 -nn src 192.168.122.98 and port 80
tcpdump -i any -c5 -nn "port 80 and (src 192.168.122.98 or src 54.204.39.132)"
4.檢查包內容
上面的都是檢查資料報頭(header)資訊。
tcpdump提供兩個額外標誌來檢視包內容:
-x 列印16進製制內容
-a 列印ascii內容
如: tcpdump -i any -c10 -nn -a port 80
這個對於跟蹤http的api呼叫有些作用,對於加密連線沒有太大作用
5.將捕獲內容儲存到檔案
這個很方便,比如我們可以以批處理模式捕獲夜裡資料報,方便第二天早晨做分析。
比如: tcpdump -i any -c10 -nn -w webserver.pcap port 80
webserver.pcap是我們儲存的檔案名字,.pcap字尾代表「packet capture」並且是約定的一種包檔案格式。
webserver.pcap是二進位制檔案,不能以文字方式瀏覽,需使用命令開啟:tcpdump -nn -r webserver.pcap。
比如: tcpdump -nn -r webserver.pcap src 54.204.39.132
持續捕獲源ip為54.204.39.132的資料報
附:tcpdump官網:
tcpdump手冊:
帶gui圖形介面: 或
48 tcpdump簡單使用
1 說明 tcpdump dump traffic on a network tcpdum option tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 tcpdump可以將網路中傳送的資料報的 頭 完全截獲下...
tcpdump使用詳解
tcpdump採用命令列方式,它的命令格式為 tcpdump adeflnnopqstvx c 數量 f 檔名 i 網路介面 r 檔名 s snaplen t 型別 w 檔名 表示式 1.tcpdump的選項介紹 a 將網路位址和廣播位址轉變成名字 d 將匹配資訊包的 以人們能夠理解的彙編格式給出 ...
tcpdump 日常使用
使用 i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,使用 c引數指定要監聽的資料報數量,使用 w引數指定將監聽到的資料報寫入檔案中儲存 a想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料報 tcpdump host 210.27.48.1 b想要截獲...