Linux-tcpdump常规应用

Linux-tcpdump

在linux系统下，利用tcpdump工具抓取网络传输过程中的数据包。tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息

常用命令实例：
1.抓取指定网络接口的数据包
[root@iZwz9bkgrde0jw4ljfex93Z log]# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:04:27.978783 IP iZwz9bkgrde0jw4ljfex93Z.ssh > 119.123.65.241.25699: Flags [P.], seq 3834927895:3834928091,…
注：如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0。
2.抓取指定主机的数据包
1）截获某个ip所有 的主机收到的和发出的所有的数据包
[root@iZwz9bkgrde0jw4ljfex93Z log]# tcpdump host 112.74.129.99
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:20:06.501912 IP iZwz9bkgrde0jw4ljfex93Z.48940 > 112.74.129.99.mysql: Flags [P.], seq 1150545980:1150545985, ack 270519202, win
254, options [nop,nop,TS val 4172958996 ecr 4172958000], length 511:20:06.503282 IP 112.74.129.99.48940 > …
2）抓取某几个主机之间的通信信息
[root@iZwz9bkgrde0jw4ljfex93Z log]# tcpdump host 120.76.100.210 and (112.74.129.99 or 139.196.185.31 )
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
3.抓取指定主机和端口的数据包
1)抓取主机112.74.129.99接收或发出的某程序（端口为6002）包，使用如下命令

tcpdump tcp port 6002 and host 118.31.228.190

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
对本机的udp 123 端口进行监视 123 为ntp的服务端口
tcpdump udp port 123
4.tcpdump 与wireshark
Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

tcpdump tcp -i eth0 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
注释：
A.tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
B.-i eth0 : 只抓经过接口eth0的包
C.-t : 不显示时间戳
D.-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
E.-c 100 : 只抓取100个数据包
F.dst port ! 22 : 不抓取目标端口是22的数据包
G.src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
H.-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析