1.命令简介
tcpdump命令是基于unix系统的命令行的数据报嗅探工具,可以抓取流动在网卡上的数据包。它的原理大概如下:**linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的是网络设备)消息的处理权。**当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它对网卡收到的保温进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收的报文,汇报给抓包模块。
2.语法
2.1 获取网卡信息
[root@VM_141_216_centos tomcat]# ifconfig -a
2.2 tcpdump命令关键字
2.2.1 类型关键字
host:指明一台主机。如:host 172.17.30.42
net: 指明一个网络地址。如:net www.baidu.com
port: 指明一个端口号。如:port 8080
2.2.2 方向关键字
src: ip包的源地址。如:src 172.17.30.42
dst: ip包的目标地址。如:dst 172.17.30.42
2.2.3 协议关键字
fddi、ip、arp、rarp、tcp、udp。缺省为抓取所有协议的信息包
2.2.4 常用表达式
!、not、&&、and、||、or
2.2.5 命令参数
A:以ASCII编码打印报文
a:将网络地址和广播地址转变成名字
c:抓取指定数目的包。
C:用于判断用 -w 选项将报文写入的文件的大小是否超过这个值,如果超过了就新建文件(文件名后缀是1、2、3依次增加);
d:将匹配信息包的代码以人们能够理解的汇编格式给出;
dd:将匹配信息包的代码以c语言程序段的格式给出;
ddd:将匹配信息包的代码以十进制的形式给出;
D:列出当前主机的所有网卡编号和名称,可以用于选项 -i;
e:在输出行打印出数据链路层的头部信息;
f:将外部的Internet地址以数字的形式打印出来;
F<表达文件>:从指定的文件中读取表达式,忽略其它的表达式;
i<网络界面>:监听主机的该网卡上的数据流,如果没有指定,就会使用最小网卡编号的网卡(在选项-D可知道,但是不包括环路接口),linux 2.2 内核及之后的版本支持 any 网卡,用于指代任意网卡;
l:如果没有使用 -w 选项,就可以将报文打印到 标准输出终端(此时这是默认);
n:显示ip,而不是主机名;
nn:显示port,而不是服务名;
N:不列出域名;
O:不将数据包编码最佳化;
p:不让网络界面进入混杂模式;
q:快速输出,仅列出少数的传输协议信息;
r<数据包文件>:从指定的文件中读取包(这些包一般通过-w选项产生);
s<数据包大小>:指定抓包显示一行的宽度,-s0表示可按包长显示完整的包,经常和-A一起用,默认截取长度为60个字节,但一般ethernet MTU都是1500字节。所以,要抓取大于60字节的包时,使用默认参数就会导致包数据丢失;
S:用绝对而非相对数值列出TCP关联数;
t:在输出的每一行不打印时间戳;
tt:在输出的每一行显示未经格式化的时间戳记;
T<数据包类型>:将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议);
v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
vv:输出详细的报文信息;
x/-xx/-X/-XX:以十六进制显示包内容,几个选项只有细微的差别,详见man手册;
w:直接将包写入文件中,并不分析和打印出来;
expression:用于筛选的逻辑表达式;
3. 常用示例
抓取与某个ip的通信并存储在文件里面以便使用工具(如Wireshark)分析。
ens192为本机ip所在网卡,ip1为本机ip,ip2为与本机通信ip,-s 表示抓取数据包大小,-s 0表示抓取完整数据包,-w表示将数据包输出成文件
[root@VM_141_216_centos tomcat]# tcpdump -i ens192 host ip1 and host ip2 -s 0 -w log.pcap