码迷,mamicode.com
首页 > 其他好文 > 详细

tcpdump 命令详解

时间:2016-09-10 17:45:19      阅读:153      评论:0      收藏:0      [点我收藏+]

标签:

[html] view plain copy
 
  1. 下面的例子全是以抓取eth0接口为例,如果不加”-i eth0”是表示抓取所有的接口包括lo。  
  2. 首先安装tcpdump包:yum install -y tcpdump  
  3.   
  4.  1、抓取包含172.16.1.122的数据包  
  5. # tcpdump -i eth0 -vnn host 172.16.1.122  
  6.    
  7. 2、抓取包含172.16.1.0/24网段的数据包  
  8. # tcpdump -i eth0 -vnn net 172.16.1.0/24  
  9.    
  10. 3、抓取包含端口22的数据包  
  11. # tcpdump -i eth0 -vnn port 22  
  12.    
  13. 4、抓取udp协议的数据包  
  14. # tcpdump -i eth0 -vnn  udp  
  15.    
  16. 5、抓取icmp协议的数据包  
  17. # tcpdump -i eth0 -vnn icmp  
  18.   
  19. 6、抓取arp协议的数据包  
  20. # tcpdump -i eth0 -vnn arp  
  21.    
  22. 7、抓取ip协议的数据包  
  23. # tcpdump -i eth0 -vnn ip  
  24.    
  25. 8、抓取源ip是172.16.1.122数据包。  
  26. # tcpdump -i eth0 -vnn src host 172.16.1.122  
  27.    
  28. 9、抓取目的ip是172.16.1.122数据包  
  29. # tcpdump -i eth0 -vnn dst host 172.16.1.122  
  30.    
  31. 10、抓取源端口是22的数据包  
  32. # tcpdump -i eth0 -vnn src port 22  
  33.    
  34. 11、抓取源ip是172.16.1.253且目的ip是22的数据包  
  35. # tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22  
  36.                  
  37. 12、抓取源ip是172.16.1.122或者包含端口是22的数据包  
  38. # tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22  
  39.    
  40. 13、抓取源ip是172.16.1.122且端口不是22的数据包  
  41. [root@ ftp]# tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22  
  42.   
  43. 14、抓取源ip是172.16.1.2且目的端口是22,或源ip是172.16.1.65且目的端口是80的数据包。  
  44. # tcpdump -i eth0 -vnn srchost172.16.1.2anddstport22 or   srchost172.16.1.65anddstport80  
  45.    
  46. 15、抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的数据包。  
  47. # tcpdump -i  eth0 -vnn ‘src host 172.16.1.59 and dst port 22‘ or  ‘ src host 172.16.1.68 and dst port 80 ‘  
  48.    
  49. 16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。  
  50. # tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100  
  51.    
  52. 17、从/tmp/fill记录中读取tcp协议的数据包  
  53. # tcpdump –i eth0 -vnn -r  /tmp/fil1 tcp  
  54.    
  55. 18、从/tmp/fill记录中读取包含172.16.1.58的数据包  
  56. # tcpdump –i eth0 -vnn -r  /tmp/fil1 host  172.16.1.58  

tcpdump抓包并保存成cap文件

 

首选介绍一下tcpdump的常用参数

tcpdump采用命令行方式,它的命令格式为:
  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
          [ -T 类型 ] [ -w 文件名 ] [表达式 ]

1. tcpdump的选项介绍
   -a    将网络地址和广播地址转变成名字;
   -d    将匹配信息包的代码以人们能够理解的汇编格式给出;
   -dd    将匹配信息包的代码以c语言程序段的格式给出;
   -ddd    将匹配信息包的代码以十进制的形式给出;
   -e    在输出行打印出数据链路层的头部信息;
   -f    将外部的Internet地址以数字的形式打印出来;
   -l    使标准输出变为缓冲行形式;
   -n    不把网络地址转换成名字;
   -t    在输出的每一行不打印时间戳;
   -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
   -vv    输出详细的报文信息;
   -c    在收到指定的包的数目后,tcpdump就会停止;
   -F    从指定的文件中读取表达式,忽略其它的表达式;
   -i    指定监听的网络接口;
   -r    从指定的文件中读取包(这些包一般通过-w选项产生);
   -w    直接将包写入文件中,并不分析和打印出来;
   -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
          调用)和snmp(简单网络管理协议;)

当网络出现故障时,由于直接用tcpdump抓包分析有点困难,而且当网络中数据比较多时更不容易分析,使用tcpdump的-w参数+ethereal分析会很好的解决这个问题,具体参数如下:

tcpdump -i eth1 -c 2000 -w eth1.cap

-i eth1 只抓eth1口的数据

-c 2000代表数据包的个数,也就是只抓2000个数据包

-w eth1.cap 保存成cap文件,方便用ethereal分析

抓完数据包后ftp到你的FTP服务器,put一下,然后用ethereal软件打开就可以很直观的分析了

注:有时将.cap文件上传到FTP服务器后,发现用ethreal打开时提示数据包大于65535个,这是你在ftp上传或者下载的时候没有用bin的模式上传的原因。

另:有的网站提示在tcpdump中用-s 0命令,例如 tcpdump -i eth1 -c 2000 -s0 -w eth1.cap,可实际运行该命令时系统却提示无效的参数,去掉-s 0参数即可

例子:

[root@localhost cdr]#tcpdump -i eth0 -t tcp -s 60000 -w diaoxian.cap 
[root@localhost cdr]# tcpdump host 58.240.72.195 -s 60000 -w x.cap

 

 

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
抓eth1的包 
tcpdump -i eth1 -w /tmp/xxx.cap 
抓 192.168.1.123的包 
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 
抓192.168.1.123的80端口的包 
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 
抓192.168.1.123的icmp的包 
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap 
抓192.168.1.123的80端口和110和25以外的其他端口的包 
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap 
抓vlan 1的包 
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap 
抓pppoe的密码 
tcpdump -i eth1 pppoes -w /tmp/xxx.cap 
以100m大小分割保存文件, 超过100m另开一个文件 -C 100m 
抓10000个包后退出 -c 10000 
后台抓包, 控制台退出也不会影响: 
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 
抓下来的文件可以直接用ethereal 或者wireshark打开。 wireshark就是新版的ethereal,程序换名了

tcpdump 命令详解

标签:

原文地址:http://www.cnblogs.com/lpfuture/p/5859620.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!