(一)tcpdump介绍
tcpdump 就是在Linux下的命令行抓包分析软件,tcpdump是款历史悠久的抓包软件,在Linux下是一个抓包利器,企业的Linux一般运行型id=3模式,即命令行多永远模式,为了排错经常需要使用tcpdump,tcpdump本身功能强大,保护的文件也可以直接使用wireshark直接打开使用。
(二)类型关键字
主要包括host,net,port:
1、tcpdump host 172.32.15.44;
2、tcpdump net 172.32.15.0/24;(针对使用net抓包记得加上掩码)
3、tcpdump tcp port 22。
(三)传输关键字
主要包括src,dst,dst or src,dst and src,这些关键字指明了传输方向。例如:
1、tcpdump src 210.27.48.2;
2、tcpdump dst net 202.0.0.0;
注意:如果没有指明方向关键字,则缺省是src or dst关键字。
(四)协议关键字
主要包括fddi,ip,arp,rarp,tcp,udp等类型。例如:
1、tcpdump tcp;
2、tcpdump udp;
3、tcpdump tcp port 80;
4、tcpdump udp port 53;
注意:如果没有指定仍和协议,则tcpdump将会监听所有协议的信息包。
(五)应用举例
1、抓取包含172.16.1.122的数据包:
tcpdump -i eth0 -vnn host 172.16.1.122
2、抓取包含172.16.1.0/24网段的数据包:
tcpdump -i eth0 -vnn net 172.16.1.0/24
3、抓取包含端口22的数据包:
tcpdump -i eth0 -vnn port 22
4、抓取udp协议的数据包:
tcpdump-i eth0 -vnn udp
5、抓取icmp协议的数据包:
tcpdump-i eth0 -vnn icmp
6、抓取arp协议的数据包:
tcpdump-i eth0 -vnn arp
7、抓取ip协议的数据包:
tcpdump-i eth0-vnn ip
8、抓取源ip是172.16.1.122数据包:
tcpdump -i eth0 -vnn src host 172.16.1.122
9、抓取目的ip是172.16.1.122数据包:
tcpdump-i eth0 -vnn dst host 172.16.1.122
10、抓取源端口是22的数据包:
tcpdump-i eth0 -vnn src port 22
11、抓取源ip是172.16.1.253且目的ip是22的数据包:
tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22
12 、抓取源p是172 16.1.122或者包含端口是22的数据包:
tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22
13 、抓取源ip是172.16.1.122且端口不是22的数据包:
tcpdum -i eth0 -vnn src host 172.16.1.122 and not port 22
(六)输出wireshark识别格式
例如:tcpdump -i eth0 -t tcp -s 60000 -w test.cap