日常工作中需要对网络传输的数据包进行抓取分析。在windows客户端,通常使用WireShark,但是在Linux/UNIX中,我们通常使用开源的tcpdump工具。该工具可扩展,对于网络维护和入侵者都是非常有用。
tcpdump可以将网络中传输的数据包“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and/or/not等逻辑语句来帮助用户去掉无用的信息。
tcpdump在root用户下运行。
tcpdump命令使用格式:
tcpdump [-nn] [-i 网络接口] [-w 存档的文件名] [-c 次数] [-Ae][-qX] [-r 档案][所欲截取的数据内容]
参数:
| -nn | 截取的内容中,直接以IP和port number显示,而非主机名与服务名称。即不进行端口和名字的转换。 |
| -i | 后面接要监听的网络接口,如eth0,lo,ppp0等。如果没有该参数,默认监控第一个网络接口(eth0)。 |
| -w | 如果需要将监听所得的数据包存储下来,则使用-w 存储文件名。可以直接将监控的内容输出到文件中。 |
| -c | 监听的封包数。即监听到指定的数量后自动停止命令的运行。否则tcpdump会不断地监听,直到使用者输入Ctrl+C为止。 |
| -A | 封包的内容以ASCII显示,通常用来捕捉www的网页封包资料。 |
| -e | 使用数据链路层(OSI第二层)的MAC封包数据来显示。 |
| -q | 仅列出较为简短的封包信息,第一行的内容比较精简。 |
| -X | 可以列出十六进制以及ASCII的封包内容,对于监听封包内容很有用。 |
| -r | 将后面接的档案中把数据读出来显示。那个档案是由-w存储的数据。 |
| -vv | 输出详细的报文信息到界面中。 |
| -t | 不在每一行中输出时间戳。
|
| -tt | 在每一行中输出非格式化时间戳。
|
| -ttt | 输出本行和前面一行之间的时间差。
|
| -tttt | 在每一行中输出由date处理的默认格式的时间戳。
|
常用的表达式逻辑字符:
- 非:! 或 not
- 且:&& 或 and
- 或:|| 或 or
常见的实例:
| tcpdump -i eth1 host 192.168.1.1 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 |
| tcpdump -i eth1 src host 192.168.1.1 抓取所有经过eth1,源地址是192.168.1.1的网络数据 |
| tcpdump -i eth1 dst host 192.168.1.1 抓取所有经过 |
| tcpdump -i eth1 port 22677 tcpdump -i eth1 src port 22677 tcpdump -i eth1 dst port 22677 |
| tcpdump -i eth1 net 192.168 |
| 协议过滤 tcpdump -i eth1 arp tcpdump -i eth1 ip tcpdump -i eth1 tcp |
| tcpdump -i eth1 '((tcp) and ((dst net 10.11) and (not dst host 10.11.210.15)))' 抓取所有经过eth1,目的网络是10.11,但是目的主机不是10.11.210.15的TCP数据。 |
| tcpdump -i eth1 '((udp) and (port 22677) and ((dst host 10.11.210.15) or (dst host 10.11.210.18)))' 抓取所有经过eth1,目的主机是10.11.210.15或10.11.210.18,端口是22677的UDP数据。 |
| tcpdump -vv -nn -c 100 -w /home/gateway/TCP%H%M%S.log 'dst host 10.11.210.15' 抓取100个目的地址是10.11.210.15的数据包,生成文件到/home/gateway目录下,存档文件的名字为TCP+时分秒.log |
| tcpdump -i eth1 'tcp[tcpflags]=tcp-syn' 只抓取SYN包。 |
扫一扫
6381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
