Linux中tcpdump命令

本文详细介绍了tcpdump这款Linux抓包工具,包括其参数、过滤器的使用方法,以及如何结合Wireshark和Snort等工具进行高效数据分析。重点讲解了如何通过协议、方向和类型进行精准过滤,以及实战操作示例。
摘要由CSDN通过智能技术生成

一、介绍
tcpdump是一款linux平台的抓包工具。可以抓取涵盖整个Tcp/IP协议族的数据包,支持针对对网络层、协议、主机、端口的过滤,并提供and、or、not等逻辑语句来过滤无用的信息。
二、参数

-A 只使用 ASCII 打印报文的全部数据,不要和 -X 一起使用,获取 http 可以用 tcpdump-nSA port80

-b 在数据链路层上选择协议,包括 ip, arp, rarp, ipx 等

-c 指定要抓取包的数量

-D 列出操作系统所有可以用于抓包的接口

-i 指定监听的网卡, -i any 显示所有网卡

-n 表示不解析主机名,直接用 IP 显示,默认是用 hostname 显示

-nn 表示不解析主机名和端口,直接用端口号显示,默认显示是端口号对应的服务名

-p 关闭接口的混杂模式

-P 指定抓取的包是流入的包还是流出的,可以指定参数 in, out, inout 等,默认是 inout

-q 快速打印输出,即只输出少量的协议相关信息

-s len 设置要抓取数据包长度为 len,默认只会截取前 96bytes 的内容, -s0 的话,会截取全部内容。

-S 将 TCP 的序列号以绝对值形式输出,而不是相对值

-t 不要打印时间戳

-vv 输出详细信息(比如 tos、ttl、checksum等)

-X 同时用 hex 和 ascii 显示报文内容

-XX 同 -X,但同时显示以太网头部

三、过滤器
网络报文是很多的,很多时候我们在主机上抓包,会抓到很多我们并不关心的无用包,然后要从这些包里面去找我们需要的信息,无疑是一件费时费力的事情,tcpdump 提供了灵活的语法可以精确获取我们关心的数据,这些语法说得专业点就是过滤器。

过滤器简单可分为三类:协议(proto)、传输方向(dir)和类型(type)。
四、操作
测试环境 IP:192.168.200.100
4.1 抓取某主机的数据包
抓取主机 192.168.200.100上所有收到(DST_IP)和发出(SRC_IP)的所有数据包

tcpdump host  192.168.200.100

抓取经过指定网口 interface ,并且 DST_IP 或 SRC_IP 是 172.18.82.173 的数据包

tcpdump -i eth0 host 192.168.200.100

筛选 SRC_IP,抓取经过 interface 且从 192.168.200.100发出的包

tcpdump -i eth0 src host 192.168.200.100

筛选 DST_IP,抓取经过 interface 且发送到 192.168.200.100 的包

tcpdump -i eth0 dst host 192.168.200.100

抓取主机 192.168.200.101 和主机 192.168.200.102 或 192.168.200.103 通信的包

tcpdump host 192.168.200.101 and \(192.168.200.102 or 192.168.200.103\  )

4.2 抓取某端口的数据包
抓取所有端口,显示 IP 地址

tcpdump -nS

抓取某端口上的包

tcpdump  port 22

抓取经过指定 interface,并且 DST_PORT 或 SRC_PORT 是 22 的数据包

tcpdump -i eth0 port 22

查看发送到 host 192.168.200.100 的网口 eth0 的 22 号端口的包

tcpdump  -i eth0 -nnt  dst host 192.168.200.100  and port 22 -c 1 -vv

4.3 抓取某网络(网段)的数据包
抓取经过指定 interface,并且 DST_NET 或 SRC_NET 是 192.168.200的包

tcpdump  -i eth0 -net  192.168.200

4.4 抓取某协议的数据包

tcpdump  -i eth0 icmp
tcpdump  -i eth0 ip
tcpdump  -i eth0 tcp
tcpdump  -i eth0 udp
tcpdump  -i eth0 arp

4.5 复杂的逻辑表达式抓取过滤条件

  1. 抓取经过 interface eth0 发送到 host 200.200.200.1 或 200.200.200.2 的 TCP 协议 22 号端口的数据包
tcpdump -i eth0 -nntvv -c 10 '((tcp) and (port 22) and ((dst host 200.200.200.1) or (dst host 200.200.200.2)))'
  1. 抓取经过 interface eth0, DST_MAC 或 SRC_MAC 地址是 00:16:3e:12:16:e7 的 ICMP 数据包
 tcpdump -i eth0 '((icmp) and ((ether host 00:16:3e:12:16:e7)))' -nnvv`
  1. 抓取经过 interface eth0,目标网络是 192.168 但目标主机又不是 192.168.200.100 的 TCP 且非 22 号端口号的数据包
tcpdump -i eth0 -nntvv  '((dst net 192.168) and (not dst host 192.168.200.100) and (tcp) and (not port 22))'
  1. 抓取流入 interface eth0,host 为 192.168.200.100且协议为 ICMP 的数据包
tcpdump -i eth0 -nntvv -P in host 192.168.200.100 and icmp
  1. 抓取流出 interface eth0,host 为 192.168.200.100且协议为 ICMP 的数据包
tcpdump -i eth0 -nntvv -P out host 192.168.200.100 and icmp

五、与 wireshark、Snort 等工具的结合
tcpdump 抓包的时候,默认是打印到屏幕输出,如果是抓取包少还好,如果包很多,很多行数据,刷刷刷从眼前一闪而过,根本来不及看清内容。不过,tcpdump 提供了将抓取的数据保存到文件的功能,查看文件就方便分析多了,而且还能与其他图形工具一起配合分析,比如 wireshark、Snort 等。
参数:

-w 选项表示把数据报文输出到文件
tcpdump -w capture_file.pcap port 80
 
# 把所有 80 端口的数据导出到文件
-r 选项表示读取文件里的数据报文,显示到屏幕上
tcpdump -nXr capture_file.pcap host host1

六、tcpdump 的输出格式
tcpdump总体输出格式:
系统时间 源主机.端口 > 目标主机.端口 数据包参数

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睡不醒的猪儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值