最近工作上领导让测试个东西需要抓包,虽然不如直接下个wireshark方便,但是当没网的时候也得会救急用一下tcpdump命令。
下面就放出个人总结和防坑指南。
【参考链接在每部分开头放出,分类明确~】
开始使用:
https://blog.csdn.net/hzhsan/article/details/43445787
1.抓
tcpdump [-i 网卡]
一般就是这样,在我的kali2019.3里直接输入tcpdump就可以监听默认网卡,
而在老版本的Kylin系统里就会报错,必须加上网卡名(用ifconfig来确认)
举个例子,监听网卡名为eth0的网络包
tcpdump -i eth0
记得用ctrl+z中断进程。
其他实用命令:
https://acooly.iteye.com/blog/1207473
https://www.cnblogs.com/zhouhaibing/p/7633198.html
2.过滤
http://www.45it.com/linux/201409/37882.htm
常用:(看了这篇博文才知道 “-参数” 可以连写成 “-参数1参数2参数3” ……)
tcpdump [-i 网卡] -nnAX '表达式'
各参数说明如下:
-i:interface 监听的网卡。
-nn:表示以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务。
-A:以ascii的方式显示数据包,抓取web数据时很有用。
-X:数据包将会以16进制和ascii的方式显示。
表达式:表达式有很多种,常见的有:host 主机;port 端口;src host 发包主机;dst host 收包主机。多个条件可以用and、or组合,取反可以使用!,更多的使用可以查看man 7 pcap-filter。
下面进行一些命令测试,如果没有权限,可以先切换成root用户。
例如:
(1)监听指定的主机
$ tcpdump -i eth0 -nn 'host 192.168.1.231'
↑这样的话,192.168.1.231这台主机接收到的包和发送的包都会被抓取。
$ tcpdump -i eth0 -nn 'src host 192.168.1.231'
↑这样只有192.168.1.231这台主机发送的包才会被抓取。
$ tcpdump -i eth0 -nn 'dst host 192.168.1.231'
↑这样只有192.168.1.231这台主机接收到的包才会被抓取。
(2)监听指定主机和端口
$ tcpdump -i eth0 -nnA 'port 80 and src host 192.168.1.231'
↑多个条件可以用and,or连接。上例表示监听192.168.1.231主机通过80端口发送的数据包。
……至于抓包的参数,用-help出来的一堆东西……
例如[ -C file_size ],就是直译过来【-c 数字】这么用……(参数详解在本贴最下面)
3.显示包内容
我最开始想要的结果是“显示16进制的字节序”
(1)在tcpdump中显示
-X:数据包将会以16进制和ascii的方式显示。
tcpdump [-i 网卡] -X
(2)存文件,然后用工具分析(当然,tcpdump当然不如有界面的wireshark好用……)
将报文内容存在a.cap里面。【a.cap将存在当前路径下】a.cap文件是2进制的,需要用ethreal工具专门读取。——https://zhidao.baidu.com/question/187200099.html
tcpdump tcp -A port 22 -w a.cap
使用tcpdump命令抓取UDP 2000端口报文,并将报文保存到当前目录下的udp.cap文件,命令如下:
——https://www.cnblogs.com/liyuchuan/p/10620081.html
tcpdump -i 网络接口名称 udp port 2000 -w ./udp.cap
4.分析报文内容
https://blog.csdn.net/chinainvent/article/details/5177877(分析TCP包)
https://blog.csdn.net/mingri_xing/article/details/79603264(分析一个UDP包)
(可以分析一下tcp的三次握手,这里不探究~)
(1)在同一目录下,用tcpdump的"-r"命令打开
https://zhidao.baidu.com/question/1051902885571225979.html(看了百度知道,回来才发现-r早已写明……)
(2)使用wiresharp分析抓取到的报文文件。(不细说了)
错误解决:
(1)Linux调用tcpdump时“tcpdump: USB link-layer type filtering not implemented”解决方案
https://www.leelib.com/page/5/index.html
原因
说明系统可能有多块网卡共存。
需要指定工作网卡才能开始截包,使用参数举例
[root@centos]# tcpdump -i eth0 udp port 53
在实际使用中例子中“eth0”“udp”“53”等参数,要根据实际需要来进行修改。
虽然一般单网卡默认名称应该是eth0,但也有其他情况。实际中要使用ifconfig查看自己需要使用的网卡。
详细手册:
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
https://www.cnblogs.com/verawang/p/5810683.html
引用
-A 以ASCII格式打印出所有分组,并将链路层的头最小化。
-c 在收到指定的数量的分组后,tcpdump就会停止。
-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l 使标准输出变为缓冲行形式,可以把数据导出到文件。
-L 列出网络接口的已知数据链路。
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
-n 不把网络地址转换成名字。
-nn 不进行端口名称的转换。
-N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配(packet-matching)代码优化程序。
-P 不将网络接口设置成混杂模式。
-q 快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S 将tcp的序列号以绝对值形式输出,而不是相对值。
-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u 输出未解码的NFS句柄。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中,而不是不分析并打印出来。