tcpdump打印一個網絡接口上符合表達式的包情況,它可以使用-w選項,將數據分析結果保存到文件中,供後面分析使用,也可以使用-r選項,從一個保存好的文件中讀取數據信息,正常情況下,只有符合表達式的數據包纔會被tcpdump處理
1.1 常用選項說明
語法:
tcpdump [ -AdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ]
-A 以ASCII格式顯示每個包
-B 指定操作系統捕獲的buffer-size大小
-c 指定捕獲數據包的數量,如果不指定,默認會持續不斷的捕獲
-C 指定寫入文件的大小,如果文件大於指定大小,將會重新打開一個新的文件,在文件後面添加一個序號,
從1開始,一般與-w一起,文件大小的單位是1000000b
-d 將匹配信息包的代碼以人們能夠理解的彙編格式給出;
-dd 將匹配信息包的代碼以c語言程序段的格式給出;
-ddd 將匹配信息包的代碼以十進制的形式給出;
-D 列出可以捕獲的接口信息列表
-e 輸出數據鏈路層的頭部信息,包括源mac和目的mac,以及網絡層的協議
-f 將外部的Internet地址以數字的形式打印出來
-F 從指定的文件中讀取表達式,忽略其它的表達式
-G 指定間隔輪巡的間隔時間(秒)
-i 指定監聽的接口
-K 不償試校驗IP、TCP、UDP,通常在一些硬件上做校驗時有效,否則所有的校驗和都會標記爲錯誤
-l 使標準輸出變爲緩衝行形式
-n 指定將每個監聽到數據包中的域名轉換成IP地址後顯示,不把網絡地址轉換成名字
-nn 指定將每個監聽到的數據包中的域名轉換成IP、端口從應用名稱轉換成端口號後顯示
-p 將網卡設置爲非混雜模式,不能與host或broadcast一起使用
-q 打印較少的協議信息,輸出會更少
-r 從指定文件讀取信息包(這些包通過-w產生)
-S 輸出絕對的而不是相對的TCP序號
-s snaplen表示從一個包中截取的字節數。0表示包不截斷,抓完整的數據包。默認的話 tcpdump 只顯示部分數據包,默認68字節。
-T 將監聽到的包直接解釋爲指定的類型的報文,常見的類型有rpc (遠程過程調用)和snmp(簡單網絡管理協議;)
-t 在輸出的每一行不打印時間戳;
-v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息;
-vv 輸出詳細的報文信息
-X 告訴tcpdump命令,需要把協議頭和包內容都原原本本的顯示出來(tcpdump會以16進制和ASCII的形式顯示),這在進行協議分析時是絕對的利器
1.2 常用用法
tcpdump有如下三種常用類型的關鍵字:
1、主要包括host,net,port, 例如 host210.27.48.2,指明 210.27.48.2是一臺主機,net 202.0.0.0 指明 202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host.
2、主要包括src , dst ,dstor src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。
3、主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是 'not ''! ', 與運算是'and','&&;或運算是'or' ,'||';這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要
捕獲所有來自主機10.0.8.11的數據包
tcpdump host 10.0.8.11
捕獲主機10.0.8.10和10.0.8.11或10.0.8.12間的數據(注意使用括號)
[root@***server~]# tcpdump host 10.0.8.10 and \(10.0.8.11 or10.0.8.12 \) tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth0, link-type EN10MB (Ethernet),capture size 65535 bytes 16:13:22.666426 ARP, Request who-has 10.0.8.10 tell10.0.8.11, length 46 16:13:22.666457 ARP, Reply 10.0.8.10 is-at 00:0c:29:78:0f:ca(oui Unknown), length 28 16:13:22.723727 IP 10.0.8.10> 10.0.8.11: ICMP echo request, id 46232, seq 3835, length 64 16:13:22.724228 IP 10.0.8.11 > 10.0.8.10: ICMPecho reply, id 46232, seq 3835, length 64 16:13:23.390572 IP 10.0.8.12.ssh> 10.0.8.10.49267: Flags [P.], seq 1682138431:1682138511, ack3504236350, win 138, options [nop,nop,TS val 94046081 ecr 114459899], length 80 16:13:23.431143 IP 10.0.8.10.49267 >10.0.8.12.ssh: Flags [.], ack 80, win 151, options [nop,nop,TS val 114469970 ecr94046081], length 0
監控指定的網絡
tcpdump net 10.0.8.0/24
捕獲數據包到指定文件
tcpdump -c 3-w tcpdump.out -i eth1 tcpdump: listening on eth1, link-type EN10MB(Ethernet), capture size 65535 bytes 3 packets captured 4 packets received by filter 0 packets dropped by kernel
說明:如果直接使用vim工具編輯捕獲的數據包文件tcpdump.out會提示亂碼
查看捕獲到的數據包文件,使用-r選項
tcpdump -r tcpdump.out reading from file tcpdump.out, link-type EN10MB(Ethernet) 10:48:54.721100 IP 192.168.3.202.ssh >192.168.3.121.5976: Flags [P.], seq 2864005111:2864005243, ack 3743349366, win562, length 132 10:48:54.756892 IP 61.183.138.62.19913 >192.168.3.121.solid-mux: Flags [P.], seq 408859221:408859316, ack 2533624174,win 115, length 95 10:48:54.762236 IP 192.168.3.202.ssh >192.168.3.121.5976: Flags [P.], seq 4294967244:132, ack 1, win 562, length 184
不監聽某個網段的信息
監聽icmp協議,並且不監聽192.168.3.0/24網段的信息,從eth1接口
tcpdump icmp and not net 192.168.3.0/24 -i eth1
監聽某個端口流量信息
監聽22號端口的tcp協議信息
tcpdump 'tcp port 22'
顯示數據鏈路層頭信息
[root@***server ~]# tcpdump host 192.168.3.201 -ieth1 -c 1 tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth1, link-type EN10MB (Ethernet),capture size 65535 bytes 11:13:21.073400 IP 192.168.3.201.ssh > 192.168.3.121.5974:Flags [P.], seq 1278055606:1278055802, ack 3966883815, win 562, length 196
[root@***server~]# tcpdump -e host 192.168.3.201 -i eth1 -c 1 tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth1, link-type EN10MB (Ethernet),capture size 65535 bytes 11:13:27.494123 00:0c:29:68:6e:9a(oui Unknown) > 44:39:c4:54:d2:89 (oui Unknown), ethertype IPv4(0x0800), length 250: 192.168.3.201.ssh > 192.168.3.121.5974: Flags [P.],seq 1278058034:1278058230, ack 3966885687, win 562, length 196
顯示arp數據包信息
[root@***server ~]# tcpdump arp tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode listening on eth0, link-type EN10MB (Ethernet),capture size 65535 bytes 11:15:46.699150 ARP, Request who-has 192.168.18.203(00:0c:29:3c:de:86 (oui Unknown)) tell 192.168.18.1, length 46 11:15:46.700554 ARP, Reply 192.168.18.203 is-at00:0c:29:3c:de:86 (oui Unknown), length 46 11:15:49.112560 ARP, Request who-has 192.168.18.2tell 192.168.18.203, length 46 11:15:49.112590 ARP, Reply 192.168.18.2 is-at00:50:56:ef:2f:c5 (oui Unknown), length 46 11:16:24.698352 ARP, Request who-has 192.168.18.201tell 192.168.18.203, length 46 11:16:24.698363 ARP, Reply 192.168.18.201 is-at00:0c:29:68:6e:90 (oui Unknown), length 28 11:16:26.188827 ARP, Request who-has 192.168.18.203(00:0c:29:3c:de:86 (oui Unknown)) tell 192.168.18.1, length 46
監視所有送到主機hostname的數據包
#tcpdump -i eth0 dst host hostname
條件運算符
監控指定主機並且目標端口爲80的數據包
tcpdump –i eth0 host hostname and dst port 80
使用and或or限定主機
tcpdump -i eth0 host ! 192.168.18.201 and ! 192.168.18.203and dst port 80
監控源主機爲192.168.18.203的數據包
tcpdump -i eth1 src host 192.168.18.203