tcpflow 抓包

转自：  http://www.rwifeng.com/jekyll/update/2015/04/16/how-to-tcpflow/

tcpflow 抓包

Apr 16, 2015

大家都知道 tcpdump 是一个很方便的抓包工具， 但是 tcpdump 是以包为单位进行输出的，阅读起来不是很方便。 而 tcpflow 是面向 TCP 流的，每个 TCP 传输会保存成一个文件。所以一个典型的 TCP 会话会产生两个文件，每个方向产生一个文件。 此外， tcpflow 还可以解析 tcpdump 保存的文件。

先看一个小例子。在我的 Mac 上有一个 HTTP 服务，所用端口号为 12345，那么用 tcpflow 抓包结果如下：

可以看到，tcpflow 直观地显示出了请求、响应的 HTTP 报文，具有很好的可读性。

安装

具体可以参考： tcpflow github

简单使用

具体的使用方法，可以去查应用手册 man tcpflow. 下面介绍几种简单的使用方法。

• 打印经过网卡的所有报文

在你的 terminal 中输入:

tcpflow -ci en0

其中 -c 表示将报文直接打印在 terminal 中。不指定 -c 参数会将抓取的 TCP 报文保存在文件中。 -i 表示你要监听的网络端口。 假如你不指定 -c 参数， tcpflow 会将每个 TCP 流的数据存储在他自己的文件中，其中文件的命名规则你可以参考: tcpflow github . 基本格式为：

[timestampT]sourceip.sourceport-destip.destport[--VLAN][cNNNN]

• 读取已有的 pcap 文件

在使用 tcpdump， 或者 wireshark 抓得包的格式是 pcap。 使用 tcpflow 也可以读取这些包得格式。 这儿有一个我使用 tcpdump 抓的包的格式： tcpdump pcap

tcpflow -cr test.pcap

可以将 pcap 包打印到 terminal 中。当然你也可以将 TCP 流保存在文件中：

tcpflow -r test.pcap
 
# 这样我得到了两个文件：
# 183.136.139.016.00080-192.168.199.146.49570
# 192.168.199.146.49570-183.136.139.016.00080

其中文件  192.168.199.146.49570-183.136.139.016.00080 是我的主机向服务器发送的请求包。文件 183.136.139.016.00080-192.168.199.146.49570 是服务器向客户端返回的响应包。如果你想要重放下请求，就可以使用这种方法。

nc -i 1 183.136.139.16 80 < 192.168.199.146.49570-183.136.139.016.00080

• 使用表达式过滤抓包

tcpflow 也是支持表达式过滤的，格式和 tcpdump 一样，具体格式和对应参数你可以参考 filter expression 。 这里列几种常用的表达式：

# 过滤经过 192.168.1.202 的流量：
tcpflow -i any host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量：
tcpflow -i any src host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量并且端口号为 80：
tcpflow -i any src host 192.168.1.202 and port 80

# 过滤固定端口的流量：
tcpflow -i en0 any port 443 or port 80

# 过滤主机 192.168.1.202 端口为 80 或 443 的流量：
tcpflow -i en0 'host 192.168.1.202 and (port 80 or port 443)'

...