码迷,mamicode.com
首页 > 其他好文 > 详细

tcpdump命令使用总结

时间:2017-09-07 14:46:53      阅读:156      评论:0      收藏:0      [点我收藏+]

标签:linux   tcpdump   抓包   

目录: 

1. 命令简介 

2. 编译安装

3. 命令格式 

4. 常用选项 

5. 表达式介绍

6. 命令示例


一、命令简介 

Tcpdump是一款用于截取网络分组,并过滤输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not等逻辑语句来帮助我们去掉无用的信息。

二、编译安装

前提:只有先安装好libpcap后,tcpdump安装才不会出问题。 
安装前的准备:
使用本地光盘yum安装flex和bison 

[root@ames ~]# yum install flex bison

安装libpcap: 

[root@ames tools]# wget http://www.tcpdump.org/release/libpcap-1.8.1.tar.gz
[root@ames tools]# tar zxvf libpcap-1.8.1.tar.gz 
[root@ames tools]# cd libpcap-1.8.1
[root@ames libpcap-1.8.1]# ./configure
[root@ames libpcap-1.8.1]# make && make install

然后开始安装tcpdump: 

[root@ames tools]# wget http://www.tcpdump.org/release/tcpdump-4.9.1.tar.gz 
[root@ames tools]# tar zxvf tcpdump-4.9.1.tar.gz 
[root@ames tools]# cd tcpdump-4.9.1
[root@ames tcpdump-4.9.1]# ./configure
[root@ames tcpdump-4.9.1]# make && make install

三、命令格式 

tcpdump [ 选项 ] [ -c 数量 ] [ -i 网络接口 ] [ -w 文件名 ] [ 表达式 ]

四、常用选项 

[root@ames ~]# man tcpdump
...
tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
        [ -c count ]
        [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
        [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
        [ --number ] [ -Q in|out|inout ]
        [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
        [ -W filecount ]
        [ -E spi@ipaddr algo:secret,...  ]
        [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
        [ --time-stamp-precision=tstamp_precision ]
        [ --immediate-mode ] [ --version ]
        [ expression ]
...

选项翻译如下: 

-l:使标准输出变为缓冲行形式;
-c:抓包次数;
-nn:直接以 IP 及 Port Number 显示,而非主机名与服务名称;
-s :<数据包大小> 设置每个数据包的大小;
-i:指定监听的网络接口;
-r:从指定的文件中读取包;
-w:输出信息保存到指定文件;
-a:将网络地址和广播地址转变成名字;
-d:将匹配信息包的代码以人们能够理解的汇编格式给出;
-e:在输出行打印出数据链路层的头部信息;
-f:将外部的Internet地址以数字的形式打印出来;
-t:在输出的每一行不打印时间戳;
-v :输出稍微详细的报文信息;--vv则输出更详细信息。

五、表达式介绍

表达式指正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则会捕获该报文。如果没有给出任何条件,则会截获网络上所有的信息包。 
在表达式中一般有如下几种类型的关键字:
 

1. 关于类型的关键字: 

主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。

2. 确定传输方向的关键字: 

主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字,则缺省是src or dst关键字。

3. 协议的关键字:

主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。

4. 三种逻辑运算: 

与运算是‘and‘,‘&&‘; 或运算是‘or‘ ,‘||‘; 非运算是 ‘not ‘ ‘! ‘。

5. 其他重要的关键字:

gateway, broadcast, less(小于), greater(大于)

六、命令示例

1. 默认启动

普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。

[root@ames ~]# tcpdump

2. 获取指定网络接口的数据包 

如果不指定网卡,默认tcpdump只会监视本机的第一个网络接口。 

[root@ames ~]# tcpdump -i ens33

3. 打印所有进入或离开‘ames‘这台主机的数据包

[root@ames ~]# tcpdump host ames
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
10:58:56.339806 IP ames.47460 > server.jotting.cn.domain: 18031+ A? ames.magedu.com. (33)
10:58:56.340324 IP ames.47460 > server.jotting.cn.domain: 14082+ AAAA? ames.magedu.com. (33)
10:58:56.340594 IP server.jotting.cn.domain > ames.47460: 18031 NXDomain 0/1/0 (93)
10:58:56.341291 IP server.jotting.cn.domain > ames.47460: 14082 NXDomain 0/1/0 (93)
10:58:56.341760 IP ames.48307 > server.jotting.cn.domain: 33925+ A? ames. (22)
...

也可以指定ip,例如截获所有 172.16.0.9 的主机收到的和发出的所有的数据包

[root@ames ~]# tcpdump host 172.16.0.9

4. 截获eth0网卡10次收发所有数据包并将抓包结果保存到test文件,再读取test抓包结果文件 

[root@ames ~]# tcpdump -i ens33 -c 10 -w test
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
10 packets captured
12 packets received by filter
0 packets dropped by kernel
[root@ames ~]# tcpdump -r test
reading from file test, link-type EN10MB (Ethernet)
11:09:58.776309 IP ames.ssh > station26.jotting.cn.61368: Flags [P.], seq 4287612257:4287612405, ack 1274827487, win 251, length 148
11:09:58.776690 IP station26.jotting.cn.61368 > ames.ssh: Flags [.], ack 148, win 2053, length 0
11:09:58.782086 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:09:58.784033 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:09:58.786659 IP pxe33.jotting.cn.60491 > 239.255.255.250.ssdp: UDP, length 133
11:09:58.789438 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:09:58.797115 IP 172.16.252.50.59388 > 239.255.255.250.ssdp: UDP, length 173
11:09:58.837599 IP 172.16.252.189.58166 > 239.255.255.250.ssdp: UDP, length 174
11:09:58.877108 IP pxe33.jotting.cn.49353 > station11.jotting.cn.ssh: Flags [.], ack 2053202339, win 11416, length 0
11:09:59.168665 ARP, Request who-has 192.168.0.1 tell 192.168.0.111, length 46
[root@ames ~]#

5. 获取所有来访问80端口的数据包(指定端口范围:portrange1-1024)

[root@ames ~]# tcpdump port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes
11:14:08.219687 IP ames.40608 > 10.68.7.12.http: Flags [P.], seq 4065612137:4065612783, ack 1201464828, win 65280, length 646
11:14:08.244030 IP 10.68.7.12.http > ames.40608: Flags [.], ack 646, win 65535, length 0
11:14:27.824996 IP 10.68.7.12.http > ames.40608: Flags [P.], seq 1:11, ack 646, win 65535, length 10
11:14:27.825014 IP ames.40608 > 10.68.7.12.http: Flags [.], ack 11, win 65280, length 0
11:14:27.835376 IP ames.40608 > 10.68.7.12.http: Flags [P.], seq 646:652, ack 11, win 65280, length 6
11:14:27.859675 IP 10.68.7.12.http > ames.40608: Flags [.], ack 652, win 65535, length 0
11:14:34.741259 IP ames.40608 > 10.68.7.12.http: Flags [.], seq 652:3332, ack 11, win 65280, length 2680

6. 获取ip包中源地址是172.16.0.1的数据包(目的是dst) 

[root@ames ~]# tcpdump src 172.16.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
11:37:22.749614 IP server.jotting.cn.domain > station26.jotting.cn.53491: 43693 8/4/4 CNAME clients.l.google.com., CNAME clients-china.l.google.com., A 74.125.204.138, A 74.125.204.139, A 74.125.204.101, A 74.125.204.100, A 74.125.204.113, A 74.125.204.102 (321)
11:37:22.768044 IP server.jotting.cn.domain > ames.43197: 63175* 1/1/1 PTR station26.jotting.cn. (118)
11:37:22.770613 IP server.jotting.cn.domain > ames.48682: 37078* 1/1/1 PTR server.jotting.cn. (105)
11:37:22.772635 IP server.jotting.cn.domain > ames.48980: 11819 NXDomain* 0/1/0 (105)
11:37:27.766386 ARP, Request who-has ames tell server.jotting.cn, length 46
^C  ---> 按ctrl+c终止.
5 packets captured
5 packets received by filter
0 packets dropped by kernel
[root@ames ~]#

7. 获取主机172.16.252.47和主机172.16.0.1之间通信的数据包

[root@ames ~]# tcpdump host 172.16.252.47 and 172.16.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
11:41:21.623567 IP server.jotting.cn.domain > ames.43836: 26320* 1/1/1 PTR server.jotting.cn. (105)
11:41:21.624211 IP ames.53567 > server.jotting.cn.domain: 27576+ PTR? 47.252.16.172.in-addr.arpa. (44)
11:41:21.667365 IP ames.45595 > server.jotting.cn.domain: 48898+ A? station26.jotting.cn. (41)
11:41:21.667657 IP ames.45595 > server.jotting.cn.domain: 3471+ AAAA? station26.jotting.cn. (41)
11:41:21.667946 IP server.jotting.cn.domain > ames.45595: 48898* 1/1/1 A 172.16.251.26 (94)
11:41:21.668210 IP server.jotting.cn.domain > ames.45595: 3471* 0/1/0 (89)
11:41:21.672773 IP ames.51764 > server.jotting.cn.domain: 21351+ A? station26.jotting.cn. (41)
11:41:21.673857 IP server.jotting.cn.domain > ames.51764: 21351* 1/1/1 A 172.16.251.26 (94)
...
^C
39 packets captured
42 packets received by filter
3 packets dropped by kernel
[root@ames ~]#

8. 获取tcp协议并且源地址来访问80的端口

实验方法:我开了两个终端,一个用来通过循环语句执行curl命令,另一个用来抓包。

第一个终端执行如下python代码:

#!/usr/bin/python 
# coding: utf-8
import time
import os
for i in range(5):
    os.system(‘curl jotting.cn‘)
    time.sleep(0.5)

第二个终端执行tcpdump命令:

[root@ames ~]# tcpdump tcp and src 172.16.252.47 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
13:09:50.403823 IP ames.34876 > 101.201.68.76.http: Flags [S], seq 2531480337, win 29200, options [mss 1460,sackOK,TS val 13321408 ecr 0,nop,wscale 7], length 0
13:09:50.409624 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 4100740743, win 229, options [nop,nop,TS val 13321414 ecr 222196798], length 0
13:09:50.409965 IP ames.34876 > 101.201.68.76.http: Flags [P.], seq 0:74, ack 1, win 229, options [nop,nop,TS val 13321414 ecr 222196798], length 74: HTTP: GET / HTTP/1.1
13:09:50.415583 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 384, win 237, options [nop,nop,TS val 13321420 ecr 222196804], length 0
13:09:50.416841 IP ames.34876 > 101.201.68.76.http: Flags [F.], seq 74, ack 384, win 237, options [nop,nop,TS val 13321421 ecr 222196804], length 0
13:09:50.424146 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 385, win 237, options [nop,nop,TS val 13321429 ecr 222196811], length 0
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel
[root@ames ~]#

9. 获取主机123.118.168.155和除了123.125.37.230之外的所有ip包 

[root@ames ~]# tcpdump ip host 123.118.168.155 and ! 123.125.37.230

10. 截获长度大于1000数据包,对于DDOS攻击时,可以使用

[root@ames ~]# tcpdump -i eth0 greater 1000

11. 过滤原物理主机地址为1C-39-47-AE-8A-5B的报头

[root@ames ~]# tcpdump ether src 1C-39-47-AE-8A-5B

...

完!


本文出自 “yangbin” 博客,请务必保留此出处http://13683137989.blog.51cto.com/9636221/1963383

tcpdump命令使用总结

标签:linux   tcpdump   抓包   

原文地址:http://13683137989.blog.51cto.com/9636221/1963383

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!