概述
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump基于底层libpcap库开发,运行需要root权限。
一、tcpdump安装
环境虚拟机:vmware 15.5.2os: ubuntu 12.04
安装tcpdump
sudoapt-getinstalltcpdump
3. 版本查看
tcpdump--h
tcpdump version 4.0。
libpcap version 1.1.1 表示libpcap的版本。
二、tcpdump参数
常用参数选项说明:
参数 | 含义 |
---|---|
-a | 将网络地址和广播地址转变成名字 |
-c | 在收到指定的包的数目后,tcpdump就会停止; |
-d | 将匹配信息包的代码以人们能够理解的汇编格式给出;以可阅读的格式输出。 |
-dd | 将匹配信息包的代码以c语言程序段的格式给出; |
-ddd | 将匹配信息包的代码以十进制的形式给出; |
-e | 在输出行打印出数据链路层的头部信息; |
-f | 将外部的Internet地址以数字的形式打印出来; |
-l | 使标准输出变为缓冲行形式; |
-n | 直接显示IP地址,不显示名称; |
-nn | 端口名称显示为数字形式,不显示名称; |
-t | 在输出的每一行不打印时间戳; |
-v | 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息; |
-vv | 输出详细的报文信息; |
-F | 从指定的文件中读取表达式,忽略其它的表达式; |
-i | 指定监听的网络接口; |
-r | 从指定的文件中读取包(这些包一般通过-w选项产生); |
-w | 直接将包写入文件中,并不分析和打印出来; |
-T | 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单 网络管理协议;) |
三、命令选项使用举例
1. 截获主机收到和发出的所有数据包。
命令:
tcpdump
说明:
tcpdump截取包默认显示数据包的头部。
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
基础格式:时间 数据包类型 源IP 端口/协议 > 目标IP 端口/协议 协议详细信息
按下Ctrl+C会终止tcpdump命令。且会在结尾处生成统计信息。
终止tcpdump
2. 指定抓包数量 -c
指定抓取2个数据包。
命令:
tcpdump-c2
说明:
最后会自动生成统计信息。
【注意,已经切换到管理员了,虚拟机中要产生数据包,可以另外开一个窗口ping baidu.com后面不再提示】
ping baidu.com
3. 将抓包信息写入文件 -w
使用-w选项指定记录文件。
命令:
tcpdump-c10-wtcpdump_test.log
说明:
保存的文件不是文本格式,不能直接查看。tcpdump保存的文件的格式是几乎所有主流的抓包工具软件都可以读取。所以可以使用更易读的图形界面工具来查看记录文件。
4. 读取记录文件 -r
使用-r选项读取文件。
命令:
tcpdump-rtcpdump_test.log
![读取记录文件
5. 打印出所有可工作的接口 -D
命令:
tcpdump-D
其中网卡为eth0。
6. 指定监控的网卡 -i
命令:
tcpdump-ieth0
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
7. 显示更详细的数据包信息 -v -vv
选项-v,-vv可以显示更详细的抓包信息。
tcpdump -v
tcpdump -vv
8. 不使用域名反解 -n
使用-n后,tcpdump会直接显示IP地址,不会显示域名(与netstat命令相似)。
9. 增加抓包时间戳 -tttt选项
tcpdump的所有输出打印行中都会默认包含时间戳信息;时间戳信息的显示格式如下
hhss.frac(nt:小时:分钟:秒.)
此时间戳的精度与内核时间精度一致,反映的是内核第一次看到对应数据包的时间;
而数据包从物理线路传递到内核的时间, 以及内核花费在此包上的中断处理时间都没有算进来;
使用-tttt选项,抓包结果中将包含抓包日期:
命令:
tcpdump-tttt
增加抓包时间戳
四、条件过滤
1. 过滤:指定需要抓取的协议
tcpdump可以只抓某种协议的包,支持指定以下协议:「ip,ip6,arp,tcp,udp,wlan」等。
命令:
tcpdumpudp tcpdumpicmp tcpdumptcp tcpdumparp
2. 过滤:指定协议的端口号
使用port参数,用于指定端口号。
命令:tcpdump tcp port 80
使用portrange参数,用于指定端口范围。
命令:tcpdump tcp portrange 1-1024
3. 过滤:指定源与目标
src 表示源。
dst 表示目标。
命令:
tcpdump src port 8080
tcpdump dst port 80
4. 过滤:指定特定主机的消息包
使用host指定需要监听的主机。
命令:
tcpdumphost192.168.1.113
注意:若使用了host参数使用了计算机名或域名。例tcpdump host shi-pc ,则无法再使用-n选项。
5. 过滤:指定数据包大小
使用greater(大于)与less(小于)可以指定数据包大小的范围。
「例:只抓取大于1000字节的数据包。」
命令:
tcpdumpgreater1000
「例:只抓取小于10字节的数据包。」
命令:
tcpdumpless10
五、 逻辑表达式
使用基本逻辑组合拼装出更精细的过滤条件。
1. 逻辑与
逻辑与关系,使用and。
命令:
tcpdumptcpandhost192.168.1.112 tcpdumptcpandsrc192.168.1.112andport8080
2. 逻辑或
逻辑或关系,使用or。
命令:
tcpdumphost192.168.1.112or192.168.1.113
3. 逻辑非
逻辑非关系,使用not,也可以使用 ! 。
若使用 ! 必须与其后面的字符隔开一个空格。
例:当通过ssh协议远程使用tcpdump时,为了避免ssh的数据包的输出,所以一般需要禁止ssh数据包的输出。
命令:
tcpdumpnottcpport22 tcpdump!tcpport22
4. 括号
括号需要使用在引号内,或转意使用。否则会报错。
例:抓取非22端口,且主机为192.168.1.112 和 192.168.1.113的TCP数据包。
命令:
tcpdumpnottcpport22andhost192.168.1.112or192.168.1.113 tcpdump"nottcpport22andhost(192.168.1.112or192.168.1.113)" tcpdumpnottcpport22andhost"(192.168.1.112or192.168.1.113)"
六、其他实例
1. 打印所有进入或离开sundown的数据包.
tcpdumphostsundown
2. 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdumphost210.27.48.1and(210.27.48.2or210.27.48.3)
3. 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdumpiphost210.27.48.1and!210.27.48.2
4. 监视所有送到主机hostname的数据包
tcpdump-ieth0dsthosthostname
5. 获取主机210.27.48.1接收或发出的telnet包
23为telnet的端口
tcpdumptcpport23andhost210.27.48.1
6. 监视本机的udp 123 端口
123 为ntp的服务端口
tcpdumpudpport123
7. 使用tcpdump抓取HTTP包
tcpdump-XvvennSs0-ieth0tcp[20:2]=0x4745ortcp[20:2]=0x4854
0x4745 为"GET"前两个字母"GE",
0x4854 为"HTTP"前两个字母"HT"。
tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。
显然这不利于分析网络故障,通常的解决办法是先使用带**-w参数的tcpdump 截获数据并保存到文件中**,然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
六、查看数据包完整内容
tcpdump默认不显示数据包的详细内容。
方法一:
使用-A参数能以ASCII码显示数据包。
例:只抓取1个数据包,并显示其内容。
命令:
tcpdump-c1-A
方法二:
使用-X参数能16进制数与ASCII码共同显示数据包。
例:只抓取1个数据包,并显示其内容。
命令:
tcpdump-c1-X
七、tcpdump 与wireshark
Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具,现在也有Linux版本。
通过Tcpdump抓取的数据包分析比较麻烦,要想很方便的分析数据包, 我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。
保存数据包为wireshark能识别的文件:
tcpdumptcp-ieth1-t-s0-c100anddstport!22andsrcnet192.168.1.0/24-w./target.cap
参数 | 含义 |
---|---|
tcp | ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型 |
-i eth1 | 只抓经过接口eth1的包 |
-t | 不显示时间戳 |
-s 0 | 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包 |
-c 100 | 只抓取100个数据包 |
dst port ! 22 | 不抓取目标端口是22的数据包 |
src net 192.168.1.0/24 | 数据包的源网络地址为192.168.1.0/24 |
-w ./target.cap | 保存成cap文件,方便用ethereal(即wireshark)分析 |
责任编辑:haq
-
网络
+关注
关注
14文章
7561浏览量
88760
原文标题:网络/命令行抓包工具tcpdump详解
文章出处:【微信号:A1411464185,微信公众号:multisim】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论