一:命令介绍:
tcpdump,用简单的语言概括就是 dump the traffic on a network,是一个运行在 linux 平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows 平台有 sniffer 等工具,tcpdump 可以将网络中传输的数据包的 "包头" 全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供 and、or、not 等语句进行逻辑组合捕获数据包或去掉不用的信息。
1:命令选项和捕获主机对到主机的数据包:
1.1:命令选项:
- -a #将网络地址和广播地址转变成名字
- -A #以ASCII格式打印出所有分组,并将链路层的头最小化
- -b #数据链路层上选择协议,包括ip/arp/rarp/ipx都在这一层
- -c #指定收取数据包的次数,即在收到指定数量的数据包后退出tcpdump
- -d #将匹配信息包的代码以人们能够理解的汇编格式输出
- -dd #将匹配信息包的代码以c语言程序段的格式输出
- -ddd #将匹配信息包的代码以十进制的形式输出
- -D #打印系统中所有可以监控的网络接口
- -e #在输出行打印出数据链路层的头部信息
- -f #将外部的Internet地址以数字的形式打印出来,即不显示主机名
- -F #从指定的文件中读取表达式,忽略其他的表达式
- -i #指定监听网络接口
- -l #使标准输出变为缓冲形式,可以数据导出到文件
- -L #列出网络接口已知的数据链路
- -n #不把网络地址转换为名字
- -N 不输出主机名中的域名部分,例如www.baidu.com只输出www
- -nn #不进行端口名称的转换
- -P #不将网络接口设置为混杂模式
- -q #快速输出,即只输出较少的协议信息
- -r #从指定的文件中读取数据,一般是-w保存的文件
- -w #将捕获到的信息保存到文件中,且不分析和打印在屏幕
- -s #从每个组中读取在开始的snaplen个字节,而不是默认的68个字节
- -S #将tcp的序列号以绝对值形式输出,而不是相对值
- -T #将监听到的包直接解析为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
- -t #在输出的每一行不打印时间戳
- -tt #在每一行中输出非格式化的时间戳
- -ttt #输出本行和前面以后之间的时间差
- -tttt #在每一行中输出data处理的默认格式的时间戳
- -u #输出未解码的NFS句柄
- -v #输出稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
- -vv#输出相信的保报文信息
1.1.1:#tcpdump 的表达式:
表达式是一个正则表达式,tcpdump 利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获,在表达式中一般如下几种类型的关键字:
a):关于数据类型的关键字:
包括 host、port、net,例如 host 192.168.1.1 表示这是一台主机,net 192.168.0.0 表示这是一个网络地址,port 22 指明端口号是 22,如果没有指明类型,则默认的类型是 host。
b):数据传输方向的关键字:
包括 src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如 src 192.168.1.1 说明数据包源地址是 192.168.1.1,dst net 192.168.0.0 指明目的网络地址是 192.168.0.0,默认是监控主机对主机的 src 和 dst,即默认监听本机和目标主机的所有数据。
c):协议关键字:
包括 ip、arp、rarp、tcp、udp 等,
d):其他关键字:
运算类型的:or、and、not、!
辅助功能型的:gateway、less、broadcast、greater
1.2:# tcpdump 默认捕获方式
#默认监听在第一块网卡上,监听所有经过此网卡通过的数据包
1.3:# tcpdump -i eth0 监听指定网卡 eth0 的所有传输数据包:
1.4:#tcpdump -i eth0 host 192.168.56.1 #捕获主机 192.168.56.1 经过本机网卡 eth0 的所有数据包(也可以是主机名,但要求可以解析出来 IP 地址)
1.5:#tcpdump host 192.168.56.209 and \(192.168.56.210 or 192.168.56.211 \) #捕获主机 192.168.56.209 和主机 192.168.56.210 或 192.168.56.211 的所有通信数据包
1.6:#tcpdump ip host node9 and not www.baidu.com #捕获主机 node9 与其他主机之间(不包括 www.baidu.com)通信的 ip 数据包
1.7:#tcpdump ip host node9 and ! www.baidu.com #捕获 node9 与其他所有主机的通信数据包(不包括 www.baidu.com)
1.8:#tcpdump -i eth0 src node10 #捕获源主机 node10 发送的所有的经过 eth0 网卡的所有数据包
1.9:##tcpdump -i eth0 dst host www.baidu.com #捕获所有发送到主机 www.baidu.com 的数据包
1.9.1: 监听主机 192.168.56.1 和 192.168.56.210 之间 ip 协议的 80 端口的且排除 www.baidu.com 通信的所有数据包:
# tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.baidu.com #也可以写成 tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host not www.baidu.com,即 not 和!都是相同的取反的意思
1.9.2:捕获 arp 的协议数据包:
#tcpdump arp #监控指定主机的通信数据包与 1.9.1 方式相同
2:捕获指定主机和端口的数据包:
2.1:#tcpdump tcp port 22 and host 192.168.56.210 #捕获主机 192.168.56.210 接收和发出的 tcp 协议的 ssh 的数据包:
2.2:# tcpdump udp port 53 #监听本机 udp 的 53 端口的数据包,udp 是 dns 协议的端口,这也是一个 dns 域名解析的完整过程
总结:tcpdump 的语法类似于 mysql 查询语句,可以指定各种查询的条件进行组合,还可以进行与或非的条件判断进行更精确的数据搜集,语法如下:
#tcpdump [协议类型] [源或目标] [主机名称或 IP] [or/and/not/! 条件组合] [源或目标] [主机名或 IP] [or/and/not/! 条件组合] [端口] [端口号] …… [or/and/not/! 条件组合] [条件]
#tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.baidu.com
来源: