tcpdump 是一款开源的命令行数据包分析获取软件,它有着丰富的功能,通常我们在 linux 服务器上使用他进行网络故障的分析,可以输出 wireshark 支持的 cap 文件打开查看。
tcpdump可以指定关键字加各种条件判断进行过滤。
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是”ether”的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&;或运算 是’or’ ,’||’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要。
安装 1.centos
2.ubuntu
sudo apt-get install tcpdump
案例 -i 指定接口
其中
10 packets captured 表示捕捉数据包的数量
tcpdump -i eth1 -c 10 host 115.231.100.10
host ip_address 只输出指定 host 的数据包
tcpdump -i eth1 -c 10 host 115.231.100.10 -s0 -w /home/fangwenjun/tcp.pcap
保存为 wireshark 可以打开的格式,-s0 表示输出完整的报文头
tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)
截取 210.27.48.1 210.27.48.2 210.27.48.3 的数据包
tcpdump -i eth1 host 115.231.100.10 -s0 -c 100 and tcp port 80 or 443
打印指定host 的80和443端口的数据包
17 :05 :26.738783 IP spider-141-8-142-49 .yandex.com.44018 > 121.42.148.6 .https: Flags [.], ack 1466937074 , win 122 , options [nop,nop,TS val 3216080543 ecr 96181242 ], length 0 17 :05 :26.738831 IP spider-141-8-142-49 .yandex.com.44018 > 121.42.148.6 .https: Flags [.], ack 1399 , win 132 , options [nop,nop,TS val 3216080543 ecr 96181242 ], length 0 17 :05 :26.738839 IP spider-141-8-142-49 .yandex.com.44018 > 121.42.148.6 .https: Flags [.], ack 1510 , win 132 , options [nop,nop,TS val 3216080543 ecr 96181242 ], length 0
如果加上-nn 参数则不会解析常用端口所对应的协议,例如 http 会变成80 https 会变成443
tcpdump -i eth1 host 115.231.100.10 -s0 -c 100 and tcp port 80 or 443 -nn
tcpdump -i eth1 host 115.231.100.10 -s0 -c 100 and tcp port 80 or 443 -nn -q
-q 参数会显示比较短的数据包信息,如下
tcpdump : verbose output suppressed, use -v or -vv for full protocol decodelistening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes17 :11 :03 .670618 IP 115.231.100.10 .62036 > 121.42.148.6 .443 : tcp 77 17 :11 :03 .670670 IP 121.42.148.6 .443 > 115.231.100.10 .62036 : tcp 0 17 :11 :03 .670681 IP 115.231.100.10 .62036 > 121.42.148.6 .443 : tcp 46 17 :11 :03 .670687 IP 121.42.148.6 .443 > 115.231.100.10 .62036 : tcp 0 17 :11 :03 .670956 IP 121.42.148.6 .443 > 115.231.100.10 .62036 : tcp 46 17 :11 :03 .698967 IP 115.231.100.10 .62036 > 121.42.148.6 .443 : tcp 0
然后,我们看-e 参数
tcpdump -i eth1 host 115.231.100.10 -s0 -c 100 and tcp port 80 or 443 -nn -qe
-e 参数会使用二层的 mac 地址输出信息,例如
tcpdump : verbose output suppressed, use -v or -vv for full protocol decodelistening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes17 :13 :53 .002550 ee:ff:ff:ff:ff:ff > 00 :16 :3 e:00 :29 :6 d, IPv4, length 143 : 115.231.100.10 .62036 > 121.42.148.6 .443 : tcp 77 17 :13 :53 .002731 ee:ff:ff:ff:ff:ff > 00 :16 :3 e:00 :29 :6 d, IPv4, length 112 : 115.231.100.10 .62036 > 121.42.148.644 3: tcp 46
我们继续看
tcpdump -i eth1 host 115.231.100.106 -s0 -c 10 and tcp port 80 or 443 -nn -X
-X参数,会打印16位进制(hex)以及 ASCII 的封包內容
文章作者: 阿文
版权声明: 本博客所有文章除特别声明外,均采用
CC BY-NC-SA 4.0 许可协议。转载请注明来自
阿文的博客 !
