linux使用tcpdump抓包工具抓取网络数据包

tcpdump是linux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是ubuntu 12.04。

tcpdump的命令格式

tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数:

tcpdump [-i 网卡] -nnAX '表达式'

各参数说明如下:

  • -i:interface 监听的网卡。
  • -nn:表示以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务。
  • -A:以ascii的方式显示数据包,抓取web数据时很有用。
  • -X:数据包将会以16进制和ascii的方式显示。
  • 表达式:表达式有很多种,常见的有:host 主机;port 端口;src host 发包主机;dst host 收包主机。多个条件可以用and、or组合,取反可以使用!,更多的使用可以查看man 7 pcap-filter。

下面进行一些命令测试,如果没有权限,可以先切换成root用户。

监听网卡eth0

$ tcpdump -i eth0

这个方式最简单了,但是用处不多,因为基本上只能看到数据包的信息刷屏,压根看不清,可以使用ctrl+c中断退出,如果真有需求,可以将输出内容重定向到一个文件,这样也更方便查看。

监听指定协议的数据

$ tcpdump -i eth0 -nn 'tcp'

这个是用来监听icmp协议的数据,就是ping命令使用的协议。类似的,如果要监听icmp或者是udp协议,只需要修改上例的icmp就可以了。ping下监听的机器,输出如下:

16:27:05.956315 IP 10.241.47.200.6379 > 10.241.47.201.42067: Flags [.], seq 1353755:1355215, ack 1, win 29, length 1460
16:27:05.956315 IP 10.241.47.201.42067 > 10.241.47.200.6379: Flags [.], ack 1347915, win 6118, length 0
16:27:05.956317 IP 10.241.47.200.6379 > 10.241.47.201.42067: Flags [.], seq 1355215:1356675, ack 1, win 29, length 1460
16:27:05.956318 IP 10.241.47.201.42067 > 10.241.47.200.6379: Flags [.], ack 1350835, win 6118, length 0
16:27:05.956319 IP 10.241.47.200.6379 > 10.241.47.201.42067: Flags [P.], seq 1356675:1357544, ack 1, win 29, length 869
16:27:05.956320 IP 10.241.47.200.6379 > 10.241.47.201.42067: Flags [P.], seq 1357544:1357546, ack 1, win 29, length 2
16:27:05.956321 IP 10.241.47.201.42067 > 10.241.47.200.6379: Flags [.], ack 1353755, win 6118, length 0
16:27:05.956329 IP 10.241.47.201.42067 > 10.241.47.200.6379: Flags [.], ack 1357546, win 6113, length 0
16:27:06.250394 IP 10.241.47.200.6379 > 10.241.47.201.42067: Flags [P.], seq 1357546:1357714, ack 1, win 29, length 168
16:27:06.250420 IP 10.241.47.201.42067 > 10.241.47.200.6379: Flags [.], ack 1357714, win 6118, length 0
16:27:06.381280 IP 10.241.47.201.46854 > 10.241.47.200.22122: Flags [P.], seq 490:500, ack 491, win 29, length 10
16:27:06.381685 IP 10.241.47.200.22122 > 10.241.47.201.46854: Flags [P.], seq 491:501, ack 500, win 29, length 10
16:27:06.381693 IP 10.241.47.201.46854 > 10.241.47.200.22122: Flags [.], ack 501, win 29, length 0
16:27:07.381843 IP 10.241.47.201.46854 > 10.241.47.200.22122: Flags [P.], seq 500:510, ack 501, win 29, length 10
16:27:07.382179 IP 10.241.47.200.22122 > 10.241.47.201.46854: Flags [P.], seq 501:511, ack 510, win 29, length 10
16:27:07.382187 IP 10.241.47.201.46854 > 10.241.47.200.22122: Flags [.], ack 511, win 29, length 0

每一行的各个数据表示的含义:

抓到包的时间 IP 发包的主机和端口 > 接收的主机和端口 数据包内容

监听指定的主机

$ tcpdump -i eth0 -nn 'host 192.168.1.231'

这样的话,192.168.1.231这台主机接收到的包和发送的包都会被抓取。

$ tcpdump -i eth0 -nn 'src host 192.168.1.231'

这样只有192.168.1.231这台主机发送的包才会被抓取。

$ tcpdump -i eth0 -nn 'dst host 192.168.1.231'

这样只有192.168.1.231这台主机接收到的包才会被抓取。

监听指定端口

$ tcpdump -i eth0 -nnA 'port 80'

上例是用来监听主机的80端口收到和发送的所有数据包,结合-A参数,在web开发中,真是非常有用。

监听指定主机和端口

$ tcpdump -i eth0 -nnA 'port 80 and src host 192.168.1.231'

多个条件可以用and,or连接。上例表示监听192.168.1.231主机通过80端口发送的数据包。

监听除某个端口外的其它端口

$ tcpdump -i eth0 -nnA '!port 22'

如果需要排除某个端口或者主机,可以使用“!”符号,上例表示监听非22端口的数据包。

小结:

tcpdump这个功能参数很多,表达式的选项也非常多,非常强大,不过常用的功能确实不多。详情可以通过man查看系统手册。

另外在抓取web包的时候,发送网页内容都是很奇怪的字符,发现是apache开启了gzip压缩的缘故,关闭掉gzip压缩就可以了。在ubuntu 12.04下,编辑vim /etc/apache2/mods-enabled/deflate.load文件,将加载模块deflate_module的语句注释掉,然后重启apache就OK了。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值