前言:Wireshark虽然好用,但是一般生成环境是Linux环境,而TCPDUMP作为Linux网络服务器,便成为了我们抓包的首选。通常我们在生产环境会用TCPDUMP抓包,导出数据后,用Wireshark导入分析。
简介:
tcpdump 可以抓所有层的数据,功能十分强大,tcpdump Linux 作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump 是 Linux 中强大的网络数据采集分析工具之一。用简单的话来定义 tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员或者运维人员必备工具,tcpdump 以其强大的功能,灵活的截取第略,成为每个高级的系统管理员/运维人员分析网格,排查问题等所必备的工具之一。
注意 tcpdump 必须以超级管理员的身份登录系统才能使用。
TCPDUMP参数
tcp
各个参数的意义如下:
A:以 ascii 编码打印每个报文(不包括链路的头)。
a:将网络地址和广播地址转变成名字。
c:抓取指定数目的包。
C:用于判断用 -w 选项将报文写入的文件的大小是否超过这个值,如果超过了就新建
文件(文件名后缀是 1、2、3 依次增加);
d:将匹配信息包的代码以人们能够理解的汇编格式给出;
dd:将匹配信息包的代码以 c 语言程序段的格式给出;
ddd:将匹配信息包的代码以十进制的形式给出;
D:列出当前主机的所有网卡编号和名称,可以用于选项 -i;
e:在输出行打印出数据链路层的头部信息;
f:将外部的 Internet 地址以数字的形式打印出来;
F<表达文件>:从指定的文件中读取表达式,忽略其它的表达式;
i<网络界面>:监听主机的该网卡上的数据流,如果没有指定,就会使用最小网卡编号
的网卡(在选项-D 可知道,但是不包括环路接口),linux 2.2 内核及之后的版本支持 any 网
卡,用于指代任意网卡;
l:如果没有使用 -w 选项,就可以将报文打印到 标准输出终端(此时这是默认);
n:显示 ip,而不是主机名;
nn:显示 port,而不是服务名;
N:不列出域名;
O:不将数据包编码最佳化;
p:不让网络界面进入混杂模式;
q:快速输出,仅列出少数的传输协议信息;
r<数据包文件>:从指定的文件中读取包(这些包一般通过-w 选项产生);
s<数据包大小>:指定抓包显示一行的宽度,-s0 表示可按包长显示完整的包,经常和-A
一起用,默认截取长度为 60 个字节,但一般 ethernet MTU 都是 1500 字节。所以,要抓取
大于 60 字节的包时,使用默认参数就会导致包数据丢失;
S:用绝对而非相对数值列出 TCP 关联数;
t:在输出的每一行不打印时间戳;
tt:在输出的每一行显示未经格式化的时间戳记;
T<数据包类型>:将监听到的包直接解释为指定的类型的报文,常见的类型有 rpc (远
程过程调用)和 snmp(简单网络管理协议);
v:输出一个稍微详细的信息,例如在 ip 包中可以包括 ttl 和服务类型的信息;
vv:输出详细的报文信息;
x/-xx/-X/-XX:以十六进制显示包内容,几个选项只有细微的差别,详见 man 手册;
w<数据包文件>:直接将包写入文件中,并不分析和打印出来;
expression:用于筛选的逻辑表达式。
正则表达式
在 tcpdump 中,tcpdump 利用正则表达式作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。
在表达式中一般如下几种类型的关键字:
第一种是关于类型的关键字,主要包括 host,port, 例如 host 210.27.48.2,指明 210.27.48.2 是一台主机,port 23 指明端口号是 23。如果没有指定类型,缺省的类型是 host。
第二种是确定传输方向的关键字,主要包括 src , dst 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明 ip 包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是 202.0.0.0 。如果没有指明方向关键字,则缺省是 src or dst 关键字。
第三种是协议的关键字,主要包括 fddi,ip ,arp,rarp,tcp,udp 等类型。如果没有指定任何协议,则 tcpdump 将会监听所有协议的信息包。
表达式还可以通过
! or not
&& or and
|| or or
进行连接
比如,
tcpdump -i eth0 tcp port 22 -w ./ssh.cap
捕获本机网络设备eth0上tcp协议,端口22的数据包,并写入当前目录下的ssh.cap
文件。
不过 tcpdump 的输出不够直观,所以我们一般用 tcpdump 抓包以后下载到本地用
Wireshark 打开分析。