tcpdump抓包神器详细介绍

                       tcpdump介绍

        tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

tcpdump语法

        tcpdump   [-adeflnNOpqStvx]  [-c<数据包数目>]  [-dd][-ddd]   [-F<表达文件>]   [-i<网络界面>]    [-r<数据包文件>]    [-s<数据包大小>]    [-tt]   [-T<数据包类型>]    [-vv]   [-w<数据包文件>]   [输出数据栏位]

tcpdump参数

-a    将网络地址和广播地址转变成名字；

-d    将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd    将匹配信息包的代码以c语言程序段的格式给出；

-ddd   将匹配信息包的代码以十进制的形式给出；

-e    在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议；

-f    将外部的Internet地址以数字的形式打印出来；

-l    使标准输出变为缓冲行形式；

-n    指定将每个监听到数据包中的域名转换成IP地址后显示，不把网络地址转换成名字；

-nn：  指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

-t    在输出的每一行不打印时间戳；

-v    输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv    输出详细的报文信息；

-c    在收到指定的包的数目后，tcpdump就会停止；

-F    从指定的文件中读取表达式,忽略其它的表达式；

-i    指定监听的网络接口；

-p：   将网卡设置为非混杂模式，不能与host或broadcast一起使用

-r    从指定的文件中读取包(这些包一般通过-w选项产生)；

-w    直接将包写入文件中，并不分析和打印出来；

-s    snaplen snaplen表示从一个包中截取的字节数。0表示包不截断，抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。

-T    将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

-X      告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器。

监听所有端口，直接显示 ip 地址。    tcpdump -nS

显示更详细的数据报文，包括 tos, ttl, checksum 等。    tcpdump -nnvvS

显示数据报的全部数据信息，用 hex 和 ascii 两列对比输出。   tcpdump -nnvvXS

host: 过滤某个主机的数据报文。   tcpdump host 1.2.3.4

src, dst: 过滤源地址和目的地址。     tcpdump src 1.2.3.4   /> tcpdump dst 1.2.3.4

net: 过滤某个网段的数据。    tcpdump net 1.2.3.0/24

过滤某个协议的数据，支持 tcp, udp 和 icmp。    tcpdump icmp

过滤通过某个端口的数据报。    tcpdump port 3306

src/dst, port, protocol: 结合三者。 tcpdump src port 22 and tcp  

抓取指定范围的端口。     tcpdump portrange 21-23

通过报文大小过滤请求,数据报大小，单位是字节。 

 tcpdump less 32
 tcpdump greater 128
 tcpdump > 32
 tcpdump <= 128

抓包输出到文件。       tcpdump -w rumenz.pcap port 80

从文件读取报文显示到屏幕。     tcpdump -nXr rumenz.pcap host web

源地址是 110，目的端口是3306的数据报。  tcpdump -nnvS src 110 and dst port 3306

tcpdump 的输出解读

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64)
    192.168.1.110.40411 > 192.168.1.123.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0

21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.123.80 > 192.168.1.110.40411: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0

21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.1.110.40411 > 192.168.1.123.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0

        最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是192.168.1.110，源端口是 40411，目的地址是 192.168.1.123，目的端口是 80。> 符号代表数据的方向。

        上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

[S]：SYN（开始连接）

[.]: 没有 Flag

[F]: FIN （结束连接）