tcpdump

tcpdump

-i 指定網卡（更準確地說是網絡接口）
-w 輸出到文件


Q1.如何抓tcp端口1125上的包,並生成文件1125.dump?
A1.    sudo tcpdump -i eth0 -w 1125.dump tcp port 1125

Q2.爲什麼用vi打開1125.dump是亂碼?
A2.wireshark 1125.dump
  用wireshark查看抓包結果保存的文件，另:wireshark裏的filter只是對結果的過濾，
不是用來抓包的filter。如果要用wireshark抓包要在菜單中的Capture-->Capture Filters...
裏設置filter規則。

Q3.抓取192.168.30.6:8080的包
sudo tcpdump -i eth0 -w ab_keepalive.dump tcp port 8080 and host 192.168.30.6
  tcp 後面不能跟host

Q4.抓取192.168.60.11:6969的所有tcp包，保留所有數據
root@xxx:~ tcpdump -i eth0 -s 0 -w 91.dump tcp port 6969 and host 192.168.60.11

Q4.抓取所有的ARP包
root@xxx:~ tcpdump -i eth0 -w 91arp.dump arp

Q5:如何查看tcpdump -w xxx 生成的文件

tcpdump -r xxx

or  other tools : wireshark , etc.

Q6: 同時抓取來自多個ip的arp包

tcpdump -i eth0 src 192.168.30.6 or src 192.168.30.11 and arp

Q7: 顯示包內容

$ sudo tcpdump -i p2p1 -X src 192.168.30.163 and  udp
$ sudo tcpdump -i p2p1 -X -r 1.dump

-X : Show the packet's contents in both hex and ASCII.

-XX : Same as -X, but also shows the ethernet header.

參考：

http://danielmiessler.com/study/tcpdump/

----------------------------------------------------------------------------

使用詳解及評論摘要

第一種是關於類型的關鍵字，主要包括host，net，port：
例如 host 210.27.48.2，指明 210.27.48.2是一臺主機
   net 202.0.0.0 指明 202.0.0.0是一個網絡地址
   port 23 指明端口號是23。
如果沒有指定類型，缺省的類型是host.

第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src
這些關鍵字指明瞭傳輸的方向。
舉例說明 src 210.27.48.2 ,指明ip包中源地址是210.27.48.2
       dst net 202.0.0.0 指明目的網絡地址是202.0.0.0
如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。


第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。
Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議，實際上它是"ether"的別名，
fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和
分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。
如果沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。

   除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,
還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││'；
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。

   普通情況下，直接啓動tcpdump將監視第一個網絡界面上所有流過的數據包。

# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                        0000 0000 0080 0000 1007 cf08 0900 0000
                        0e80 0000 902b 4695 0980 8701 0014 0002
                        000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                        ffff 0060 0004 ffff ffff ffff ffff ffff
                        0452 ffff ffff 0000 e85b 6d85 4008 0002
                        0640 4d41 5354 4552 5f57 4542 0000 0000
                        0000 00
使用-i參數指定tcpdump監聽的網絡界面，這在計算機具有多個網絡界面時非常有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存

A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123

F 系統將只對名爲hostname的主機的通信數據包進行監視。主機名可以是本地主機，
也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據：
#tcpdump -i eth0 src host hostname

G 下面的命令可以監視所有送到主機hostname的數據包：
#tcpdump -i eth0 dst host hostname

H  我們還可以監視通過指定網關的數據包：
#tcpdump -i eth0 gateway Gatewayname

I 如果你還想監視編址到指定端口的TCP或UDP數據包，那麼執行以下命令：
#tcpdump -i eth0 host hostname and port 80

J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中適用　　　括號時，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
　　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
　　　#tcpdump tcp port 23 host 210.27.48.1


如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  一般是提供http的服務的主機


如果條件很多的話  要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

如果在ethernet 使用混雜模式 系統的日誌將會記錄
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。
顯然這不利於分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，然後
再使用其他程序進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。

評論摘要：
1，
其實LZ 只說明了過濾語句的用法，沒有將很重要另外一個參數說明，也就是說，如果這個參數不設置正確，
會導致包數據的丟失！它就是-s 參數，snaplen, 也就是數據包的截取長度，仔細看man就會明白的！
默認截取長度爲60個字節，但一般ethernet MTU都是1500字節。所以，要抓取大於60字節的包時，
使用默認參數就會導致包數據丟失！

只要使用-s 0就可以按包長，截取數據！


2，
各位有興趣，我可以多說一點。
LZ所說的這個格式有一個業界標準，稱作bpf (Berkeley Packet Filter)包過濾語言。現在有很多抓包
工具支持這個標準。包擴ethereal的capture filter, 注意不是displayfilter, 因爲ethereal的
display filter 使用了近似於C/C++表達式的另一套自己的表達方式。

其實，如果各位使用過libpcap的，就知道，所有的libpcap都需要 snaplen 這個參數設定才能抓到整個的
包數據。那如果不熟悉C/C++怎麼辦?，沒關係那也可以結合tcpdump -xls 0 命令行加管道導向到Awk的程序
來自己解析IP數據包並分析應用層的數據。如果用tcpdump+Perl的話，更可以經過簡單的包數據重構，方便地
組成 NetPacket模塊能自動識別的包數據，讓現成的NetPacket模塊自動解析和分析底層的IP和TCP/UDP層
數據包。而你則只要懂得gawk /nawk或Perl就可以簡單的自己編程來解析非標的應用層的數據了。注意，這裏
我並沒有使用perl 的libpcap兼容模塊，而是直接用tcpdump替代了。這樣對Perl模塊的要求降得比較低了，
如果遇到非標的協議，就是不會C/C++, 沒裝抓包的perl模塊，也可以通過自己編程來解析數劇包了！

3，
還好的是可以通過hex value來查包中的漢字。我是先在linux上邊tcpdump出完整的package data，然後呢，
將文件down到windows上來用ethereal來做查看的。
我不是很理解你所說的 '要麼在服務器端裝支持相應編碼的代理，然後dump數據。
你說的編碼的代理，我覺得這個與整個網頁的charset是有關係的。可能是不同的charset,gb2312,unicode
或是gbk之類的。很難理解你說的編碼的代理是什麼東東？
我想ethereal就是沒有去分析每個包應該用什麼來charset來做顯示，所以都以ascii來顯示了。所以漢字就顯示
不出來。要想ethereal知道使用什麼樣的charset顯示，那麼就需要聯繫其他包裏的charset設置來做顯示，看來
ethereal目前還沒這麼做，就只是簡單的顯示ascii。