tcpdump

簡介

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據使用者的定義對網絡上的數據包進行截獲的包分析工具。 tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。

實用命令實例

默認啟動 普通情況下，直接啟動tcpdump將監視第一個網絡接口上所有流過的數據包。

tcpdump

監視指定網絡接口的數據包

tcpdump?-i?eth1

如果不指定網卡，默認tcpdump只會監視第一個網絡接口，一般是eth0，下面的例子都沒有指定網絡接口。

監視指定主機的數據包,打印所有進入或離開sundown的數據包.

tcpdump?host?sundown

也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的數據包

tcpdump?host?210.27.48.1

打印helios 與 hot 或者與 ace 之間通信的數據包

tcpdump?host?helios?and?\(?hot?or?ace?\)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

tcpdump?host?210.27.48.1?and?\?(210.27.48.2?or?210.27.48.3?\)

打印ace與任何其他主機之間通信的IP 數據包, 但不包括與helios之間的數據包.

tcpdump?ip?host?ace?and?not?helios

如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：

tcpdump?ip?host?210.27.48.1?and?!?210.27.48.2

截獲主機hostname發送的所有數據

tcpdump?-i?eth0?src?host?hostname

監視所有送到主機hostname的數據包

tcpdump?-i?eth0?dst?host?hostname

監視指定主機和端口的數據包,如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令

tcpdump?tcp?port?23?and?host?210.27.48.1

*對本機的udp 123 端口進行監視 123 為ntp的服務端口

tcpdump?udp?port?123

監視指定網絡的數據包，打印本地主機與Berkeley網絡上的主機之間的所有通信數據包(nt: ucb-ether, 此處可理解為'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達為: 打印網絡地址為ucb-ether的所有數據包)

tcpdump?net?ucb-ether

打印所有通過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)

tcpdump?'gateway?snup?and?(port?ftp?or?ftp-data)'

打印所有源地址或目標地址是本地主機的IP數據包(如果本地網絡通過網關連到了另一網絡, 則另一網絡并不能算作本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)

tcpdump?ip?and?not?net?localnet

監視指定協議的數據包,打印TCP會話中的的開始和結束數據包, 并且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))

tcpdump?'tcp[tcpflags]?&?(tcp-syn|tcp-fin)?!=?0?and?not?src?and?dst?net?localnet'

打印所有源或目的端口是80, 網絡層協議為IPv4, 并且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本的表達式可做練習)

tcpdump?'tcp?port?80?and?(((ip[2:2]?-?((ip[0]&0xf)<<2))?-?((tcp[12]&0xf0)>>2))?!=?0)'

(nt: 可理解為, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf代表包中的IHL域, 而此域的單位為32bit, 要換算

成字節數需要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit,　換算成比特數為 ((tcp[12]&0xf0) >> 4)　<<　２,

即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整個ip數據包的長度減去ip頭的長度,再減去

tcp頭的長度不為0, 這就意味著, ip數據包中確實是有數據.對于ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 并且其中表達方式'ip[]'需換成'ip6[]'.)

打印長度超過576字節, 并且網關地址是snup的IP數據包

tcpdump?'gateway?snup?and?ip[2:2]?>?576'

打印所有IP層廣播或多播的數據包， 但不是物理以太網層的廣播或多播數據報

tcpdump?'ether[0]?&?1?=?0?and?ip[16]?>=?224'

打印除'echo request'或者'echo reply'類型以外的ICMP數據包( 比如,需要打印所有非ping 程序產生的數據包時可用到此表達式 .

(nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包通常由ping程序產生))

tcpdump?'icmp[icmptype]?!=?icmp-echo?and?icmp[icmptype]?!=?icmp-echoreply'

tcpdump 與wireshark

Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。

還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現：在 Linux 里抓包，然后在Windows 里分析包。

tcpdump?tcp?-i?eth1?-t?-s?0?-c?100?and?dst?port?!?22?and?src?net?192.168.1.0/24?-w?./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型

(2)-i eth1 : 只抓經過接口eth1的包

(3)-t : 不顯示時間戳

(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包

(5)-c 100 : 只抓取100個數據包

(6)dst port ! 22 : 不抓取目標端口是22的數據包

(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24

(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

使用tcpdump抓取HTTP包

tcpdump??-XvvennSs?0?-i?eth0?tcp[20:2]=0x4745?or?tcp[20:2]=0x4854

0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。

tcpdump 對截獲的數據并沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據并保存到文件中，然后再使用其他程序(如Wireshark)進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。

網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。