tcpdump打印一个网络接口上符合表达式的包情况,它可以使用-w选项,将数据分析结果保存到文件中,供后面分析使用,也可以使用-r选项,从一个保存好的文件中读取数据信息,正常情况下,只有符合表达式的数据包才会被tcpdump处理
1.1 常用选项说明
语法:
tcpdump [ -AdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ]
-A 以ASCII格式显示每个包
-B 指定操作系统捕获的buffer-size大小
-c 指定捕获数据包的数量,如果不指定,默认会持续不断的捕获
-C 指定写入文件的大小,如果文件大于指定大小,将会重新打开一个新的文件,在文件后面添加一个序号,
从1开始,一般与-w一起,文件大小的单位是1000000b
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-D 列出可以捕获的接口信息列表
-e 输出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议
-f 将外部的Internet地址以数字的形式打印出来
-F 从指定的文件中读取表达式,忽略其它的表达式
-G 指定间隔轮巡的间隔时间(秒)
-i 指定监听的接口
-K 不偿试校验IP、TCP、UDP,通常在一些硬件上做校验时有效,否则所有的校验和都会标记为错误
-l 使标准输出变为缓冲行形式
-n 指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字
-nn 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-p 将网卡设置为非混杂模式,不能与host或broadcast一起使用
-q 打印较少的协议信息,输出会更少
-r 从指定文件读取信息包(这些包通过-w产生)
-S 输出绝对的而不是相对的TCP序号
-s snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息
-X 告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器
1.2 常用用法
tcpdump有如下三种常用类型的关键字:
1、主要包括host,net,port, 例如 host210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
2、主要包括src , dst ,dstor src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
3、主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ''! ', 与运算是'and','&&;或运算是'or' ,'||';这些关键字可以组合起来构成强大的组合条件来满足人们的需要
捕获所有来自主机10.0.8.11的数据包
tcpdump host 10.0.8.11
捕获主机10.0.8.10和10.0.8.11或10.0.8.12间的数据(注意使用括号)
[root@***server~]# tcpdump host 10.0.8.10 and \(10.0.8.11 or10.0.8.12 \) tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth0, link-type EN10MB (Ethernet),capture size 65535 bytes 16:13:22.666426 ARP, Request who-has 10.0.8.10 tell10.0.8.11, length 46 16:13:22.666457 ARP, Reply 10.0.8.10 is-at 00:0c:29:78:0f:ca(oui Unknown), length 28 16:13:22.723727 IP 10.0.8.10> 10.0.8.11: ICMP echo request, id 46232, seq 3835, length 64 16:13:22.724228 IP 10.0.8.11 > 10.0.8.10: ICMPecho reply, id 46232, seq 3835, length 64 16:13:23.390572 IP 10.0.8.12.ssh> 10.0.8.10.49267: Flags [P.], seq 1682138431:1682138511, ack3504236350, win 138, options [nop,nop,TS val 94046081 ecr 114459899], length 80 16:13:23.431143 IP 10.0.8.10.49267 >10.0.8.12.ssh: Flags [.], ack 80, win 151, options [nop,nop,TS val 114469970 ecr94046081], length 0
监控指定的网络
tcpdump net 10.0.8.0/24
捕获数据包到指定文件
tcpdump -c 3-w tcpdump.out -i eth1 tcpdump: listening on eth1, link-type EN10MB(Ethernet), capture size 65535 bytes 3 packets captured 4 packets received by filter 0 packets dropped by kernel
说明:如果直接使用vim工具编辑捕获的数据包文件tcpdump.out会提示乱码
查看捕获到的数据包文件,使用-r选项
tcpdump -r tcpdump.out reading from file tcpdump.out, link-type EN10MB(Ethernet) 10:48:54.721100 IP 192.168.3.202.ssh >192.168.3.121.5976: Flags [P.], seq 2864005111:2864005243, ack 3743349366, win562, length 132 10:48:54.756892 IP 61.183.138.62.19913 >192.168.3.121.solid-mux: Flags [P.], seq 408859221:408859316, ack 2533624174,win 115, length 95 10:48:54.762236 IP 192.168.3.202.ssh >192.168.3.121.5976: Flags [P.], seq 4294967244:132, ack 1, win 562, length 184
不监听某个网段的信息
监听icmp协议,并且不监听192.168.3.0/24网段的信息,从eth1接口
tcpdump icmp and not net 192.168.3.0/24 -i eth1
监听某个端口流量信息
监听22号端口的tcp协议信息
tcpdump 'tcp port 22'
显示数据链路层头信息
[root@***server ~]# tcpdump host 192.168.3.201 -ieth1 -c 1 tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth1, link-type EN10MB (Ethernet),capture size 65535 bytes 11:13:21.073400 IP 192.168.3.201.ssh > 192.168.3.121.5974:Flags [P.], seq 1278055606:1278055802, ack 3966883815, win 562, length 196
[root@***server~]# tcpdump -e host 192.168.3.201 -i eth1 -c 1 tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth1, link-type EN10MB (Ethernet),capture size 65535 bytes 11:13:27.494123 00:0c:29:68:6e:9a(oui Unknown) > 44:39:c4:54:d2:89 (oui Unknown), ethertype IPv4(0x0800), length 250: 192.168.3.201.ssh > 192.168.3.121.5974: Flags [P.],seq 1278058034:1278058230, ack 3966885687, win 562, length 196
显示arp数据包信息
[root@***server ~]# tcpdump arp tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth0, link-type EN10MB (Ethernet),capture size 65535 bytes 11:15:46.699150 ARP, Request who-has 192.168.18.203(00:0c:29:3c:de:86 (oui Unknown)) tell 192.168.18.1, length 46 11:15:46.700554 ARP, Reply 192.168.18.203 is-at00:0c:29:3c:de:86 (oui Unknown), length 46 11:15:49.112560 ARP, Request who-has 192.168.18.2tell 192.168.18.203, length 46 11:15:49.112590 ARP, Reply 192.168.18.2 is-at00:50:56:ef:2f:c5 (oui Unknown), length 46 11:16:24.698352 ARP, Request who-has 192.168.18.201tell 192.168.18.203, length 46 11:16:24.698363 ARP, Reply 192.168.18.201 is-at00:0c:29:68:6e:90 (oui Unknown), length 28 11:16:26.188827 ARP, Request who-has 192.168.18.203(00:0c:29:3c:de:86 (oui Unknown)) tell 192.168.18.1, length 46
监视所有送到主机hostname的数据包
#tcpdump -i eth0 dst host hostname
条件运算符
监控指定主机并且目标端口为80的数据包
tcpdump –i eth0 host hostname and dst port 80
使用and或or限定主机
tcpdump -i eth0 host ! 192.168.18.201 and ! 192.168.18.203and dst port 80
监控源主机为192.168.18.203的数据包
tcpdump -i eth1 src host 192.168.18.203
转载于:https://blog.51cto.com/francis198/1812249
650
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
