鸟哥私房菜学习笔记——tcpdump（数据包的抓取）

最近一直在看《鸟哥的私房菜》这个文档，里面讲的很详细，一般的初学者也能看的懂。是个非常不错的东东（ps：有需要的可以留下邮箱，我传给你，好东西大家共享嘛！）

写这篇博客是看到里面介绍tcpdump这个程序，来了些许兴致。来给大家介绍一下，大神勿喷啊。

tcpdump 这个软件如果用的好了，甚至也算是一个黑客的手法了。比如一些数据在路由等传输过程中没有加密，这时候通过这个软件便能轻易的抓取这个数据包然后知道数据流向，发送机和接收机的IP和端口，数据封装类型，甚至是数据内容（包括一些账户、密码）。仔细想起来还真是可怕啊。

root权限下使用这个命令。
#tcpdump [-nn] [-i接口] [-w 存储档名] [-c 次数] [-Ae] [-qX] [-r 档案] [所要截取的数据内容]

-nn：直接以IP及port number 显示
-i：后接要监听的网络接口如eth0，wlan0，lo，ppp0
-w：如果你要讲监听所得的封包数据存下来，就用这个参数，后接存档名。
-c：监听包个数，若不接会一直监听。
-A：封包内容以ASCII码显示，常用语截取www
-q：列出较为尖端的封包信息，每行内容比较精简
-X：可以列出十六进制以及ASCII的封包内容，对于监听封包内容很有用
-r：从后面接的档案封包数据读出来，那个【档案】是已经存在的档案，且这【档案】也是由-w制作出来的。

通过一些关键字来锁定一些IP或者协议来截取最简化有用的数据包。
比如：‘host foo’，‘host 127.0.0.1’；针对单个主机进行截取
‘net 192.168’针对某个网域
‘src host 127.0.0.1’ ‘dst net 192.168’同时加上源和目标的限制
‘tcp port 21’针对某个协议如tcp，udp，arp，ether等等。

例如：
#tcpdump -i eth0 -nn

得到：01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 9648

注解：01:33:40.41抓包时间；192.168.1.100.22发送端IP以及端口22；192.168.1.11.1190接收端IP以及端口1190，P 116:232(116)带有push的标志 数据包大小为116-232 实际大小为116，最后ack是系统相关。

大家有兴趣也可以打开终端输入#tcpdump -i lo -nn ；然后通过再打开一个端口通过ssh localhost 登陆看看会发生什么。


好了，基本用法也已经说了，大家有兴趣可以一起探讨一下哦！