tcpdump
tcpdump命令介绍
tcpdump,用简单的语言概括就是dump the traffic on a network,是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有sniffer等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。
tcpdump命令选项
◇ -a #将网络地址和广播地址转变成名字
◇ -A #以ASCII格式打印出所有分组,并将链路层的头最小化
◇ -b #数据链路层上选择协议,包括ip/arp/rarp/ipx都在这一层
◇ -c #指定收取数据包的次数,即在收到指定数量的数据包后退出tcpdump
◇ -d #将匹配信息包的代码以人们能够理解的汇编格式输出
◇ -dd #将匹配信息包的代码以c语言程序段的格式输出
◇ -ddd #将匹配信息包的代码以十进制的形式输出
◇ -D #打印系统中所有可以监控的网络接口
◇ -e #在输出行打印出数据链路层的头部信息
◇ -f #将外部的Internet地址以数字的形式打印出来,即不显示主机名
◇ -F #从指定的文件中读取表达式,忽略其他的表达式
◇ -i #指定监听网络接口
◇ -l #使标准输出变为缓冲形式,可以数据导出到文件
◇ -L #列出网络接口已知的数据链路
◇ -n #不把网络地址转换为名字
◇ -N 不输出主机名中的域名部分,例如www.baidu.com只输出www
◇ -nn #不进行端口名称的转换
◇ -P #不将网络接口设置为混杂模式
◇ -q #快速输出,即只输出较少的协议信息
◇ -r #从指定的文件中读取数据,一般是-w保存的文件
◇ -w #将捕获到的信息保存到文件中,且不分析和打印在屏幕
◇ -s #从每个组中读取在开始的snaplen个字节,而不是默认的68个字节
◇ -S #将tcp的序列号以绝对值形式输出,而不是相对值
◇ -T #将监听到的包直接解析为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
◇ -t #在输出的每一行不打印时间戳
◇ -tt #在每一行中输出非格式化的时间戳
◇ -ttt #输出本行和前面以后之间的时间差
◇ -tttt #在每一行中输出data处理的默认格式的时间戳
◇ -u #输出未解码的NFS句柄
◇ -v #输出稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
◇ -vv#输出相信的保报文信息
tcpdump的表达式
◇ 表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获,在表达式中一般如下几种类型的关键字:
a):关于数据类型的关键字:
- 包括host、port、net,例如host 192.168.38.7表示这是一台主机,net 192.168.38.0表示这是一个网络地址,port 22指明端口号是22,如果没有指明类型,则默认的类型是host。
b):数据传输方向的关键字:
- 包括src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如src 192.168.38.7说明数据包源地址是192.168.38.7,dst net 192.168.38.0指明目的网络地址是192.168.38.0,默认是监控主机对主机的src和dst,即默认监听本机和目标主机的所有数据。
c):协议关键字:
- 包括ip、arp、rarp、tcp、udp、icmp等,
d):其他关键字:
- 运算类型的:or、and、not、!
- 辅助功能型的:gateway、less、broadcast、greater
tcpdump用法
◇ tcpdump [协议类型] [源或目标] [主机名称或IP] [or/and/not/!条件组合] [源或目标] [主机名或IP] [or/and/not/!条件组合] [端口] [端口号] …… [or/and/not/!条件组合] [条件]
◇ 用法示例:
①tcpdump 默认捕获方式
- 默认监听在第一块网卡(eth0)上,监听所有经过此网卡通过的数据包
[root@centos7-17 ~]# tcpdump
10:04:48.841265 IP centos7-17.ssh > 192.168.38.1.netop-rc: Flags [P.], seq 322664:322976, ack 53, win 254, length 312
10:04:48.841538 IP 192.168.38.1.netop-rc > centos7-17.ssh: Flags [.], ack 322976, win 217, length 0
②tcpdump -i eth1
[root@centos7-17 ~]# tcpdump -i eth1
③tcpdump -i eth0 host 192.168.38.57
- 捕获主机192.168.56.1经过本机网卡eth0的所有数据包(也可以是主机名,但要求可以解析出来IP地址)
[root@centos7-17 ~]# tcpdump -i eth0 host 192.168.38.57
10:08:33.694975 IP 192.168.38.1.globe > 192.168.38.57.ssh: Flags [P.], seq 2533623824:2533623876, ack 3477726843, win 256, length 52
10:08:33.694992 IP 192.168.38.57.ssh > 192.168.38.1.globe: Flags [.], ack 52, win 1013, length 0
....
10:08:34.948957 IP 192.168.38.57 > centos7-17: ICMP echo request, id 6842, seq 2, length 64
10:08:34.948994 IP centos7-17 > 192.168.38.57: ICMP echo reply, id 6842, seq 2, length 64
- centos7-17 -nn(不进行端口名称转换) 选项可以将本机的hostname改为ip
④tcpdump ip host node9 and not www.baidu.com
- 捕获主机node9与其他主机之间(不包括www.baidu.com)通信的ip数据包
⑤tcpdump host 192.168.38.57 and \( 192.168.38.210 or 192.168.38.211 \)
- 捕获主机 192.168.38.57 和主机192.168.38.210或192.168.38.211的所有通信数据包
⑥tcpdump tcp port 22 and host 192.168.38.210
- 捕获主机192.168.38.210接收和发出的tcp协议的ssh的数据包:
⑦ tcpdump udp port 53
- 监听本机udp的53端口的数据包,udp是dns协议的端口,这也是一个dns域名解析的完整过程
⑧tcpdump -nn icmp -i eth0
tcpdump: 'icmp' modifier applied to host
==>icmp修饰符应用于主机
[root@centos7-17 ~]# tcpdump -i eth0 -nn icmp and src 192.168.38.17
抓取eth0网卡icmp协议,源地址是 192.168.38.17数据报文
⑨tcpdump ip host centos7-17 -nn -i eth0
- 抓取centos7-17通过eth0网卡与其他主机通信的ip数据包
⑩tcpdump -i eth0 -nn arp
[root@centos7-17 ~]# tcpdump -i eth0 -nn arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:34:45.042336 ARP, Request who-has 192.168.38.57 (00:0c:29:47:83:75) tell 192.168.38.1, length 46
10:34:45.042675 ARP, Reply 192.168.38.57 is-at 00:0c:29:47:83:75, length 46
10:34:46.135686 ARP, Request who-has 192.168.38.57 tell 192.168.38.17, length 28
10:34:46.136710 ARP, Request who-has 192.168.38.17 tell 192.168.38.57, length 46
10:34:46.136726 ARP, Reply 192.168.38.17 is-at 00:0c:29:c0:a0:4d, length 28
10:34:46.136922 ARP, Reply 192.168.38.57 is-at 00:0c:29:47:83:75, length 46
[root@centos7-17 ~]# arp -h arp命令用法帮助
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
