tcpdump 学习笔记

tcpdump的表达式介绍 表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表 达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包 将会被截获。 在表达式中一般如下几种类型的关键字： 第一种是关于类型的关键字，主要包括host，net，port 例如 host 210.27.48.2， 指明 210.27.48.2是一台主机 net 202.0.0.0，指明202.0.0.0是一个网络地址 port 23 指明端口号是23。如果没有指定类型，缺省的类型是host。 第二种是确定传输方向的关键字，主要包括src，dst，dst or src，dst and src，这些关键字指明了传输的方向。 举例说明，src 210.27.48.2 ，指明ip包中源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字，则缺省是src or dst关键字。 第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。 Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump 将会 监听所有协议的信息包。 除了这三种类型的关键字之外，其他重要的关键字如下：gateway， broadcast，less， greater 还有三种逻辑运算，取非运算是not，! ；与运算是and，&& ；或运算是or ，|| ； 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。 example： 1. tcpdump port 23 and /( host 192.168.1.101 /) ： 过滤主机192.168.1.101（不管src还是dst）且端口为23的包 2. tcpdump host 192.168.1.1： 截获所有192.168.1.1主机收到的和发出的所有的包 3. tcpdump ip host 210.27.48.1 and ! 210.27.48.2： 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包 4. tcpdump host 210.27.48.1 and /(210.27.48.2 or 210.27.48.3 /)： 截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信 5. 先 tcpdump 一看，信息太多。 想了想我要做的是什么，主要是想看看，局域网中访问internet那些东西，跟那些机器有连接，而且要探测不明链接。从而可以发现是否有木马，病毒一些在作怪！ tcpdump dst net not 192.168.123.0/24 不监视跟网内机子的链接，过滤很多信息。迅速进入主题， 不想看发邮件的情况，一般的80网页访问，domain访问，还有要排除网内已有服务器的一些端口。 tcpdump dst net not 192.168.123.0/24 and dst port not /( www or 25 or 110 or 5000 or domain /) and src port ! /( 4011 or 4010 or 4009 /) 这样的话看到的信息就相对少了很多，这个时候就可以看到一些不常见的链接了，对发现木马和病毒会有一定的帮助。 相信大家看过tcpdump的用法，过滤表达式应该不难理解。 我也就解释下吧，高手就不用看了。 dst net not 192.168.123.0/24 不监视与网内机器的连接 dst port not /( www or 25 or 110 or 5000 or domain /) 过滤与internet中运行 目标端口的连接，不显示访问网页，邮件，查询DNS的这些连接 src port ! /( 4011 or 4010 or 4009 /) 这个主要是因为 装有虚拟局域网软件，网内服务器与外面分部的连接，不需要显示。 当然这里的端口可以根据实际情况换掉