官網地址:http://www.tcpdump.org/
歡迎
tcpdump是一個功能強大的命令行數據包分析器(使用了libpcap,一個可移植的C/ c++庫),用於網絡流量捕獲。
在這個頁面中,您將找到tcpdump和libpcap的最新穩定版本,以及當前的開發快照、完整的文檔,以及關於如何報告bug或提交補丁的信息。
文檔
源代碼包中以MAN頁面格式提供了完整的文檔。使用Windows發行版的用戶最好查看Windows PCAP頁面以獲得WinDUMP的參考資料。以下是HTML格式的手冊頁(使用man2html)和一些由外部貢獻者編寫的教程。
Tcpdump手冊頁
主要pcap手冊頁(更多pcap手冊頁)
常見問答
使用pcap進行編程,作者:Tim Carstens
libpcap:一種數據包捕獲的架構和優化方法,作者:Steve McCanne, CTO Riverbed Technology - Sharkfest’11
對libpcap架構的精彩講解,作者:Steve McCanne
使用libpcap進行包捕獲及其他底層網絡技巧,作者:NAU’s Computer Systems Engineering.
Aprendiendo a programar con libpcap(西班牙語),作者:Alejandro Lopez Monge
Tcpdump過濾器,作者:Marios Iliofotou
使用Libpcap編程—從我們自己的應用程序中嗅探網絡(代碼示範),作者:Luis MartinGarcia. Hakin9 Magazine. Issue 2/2008
讓我們學習tcpdump ,作者:Julia Evans
當前版本
tcpdump和libpcap都可以在github上找到,並且免費下載,下載地址
git clone https://github.com/the-tcpdump-group/tcpdump.git
git clone https://github.com/the-tcpdump-group/libpcap.git
相關項目
ECap
Ecap(external capture)是一個帶有web前端的分佈式網絡嗅探器。Ecap是2005年寫的,但是tcpdump員工郵件列表上的一個帖子要求類似的應用,所以就在這裏。如果有興趣,可以更新一下,然後再做一次。
Network Expect
它是一個框架,它允許輕鬆構建可以與網絡流量交互的工具。在腳本里,網絡流量可以注入到網絡中,並且可以根據接收到的網絡流量來做出決策和採取對策。解釋語言提供分支和高級控制結構來指導與網絡的交互。它使用libpcap進行包捕獲,使用libwireshark(來自Wireshark項目)進行包分析
Socket Sentry
它是一個用於KDE Plasma的實時網絡流量監視器,功能和iftop、netstat等工具相似
Tools for modeling the user-traffic(用戶流量建模工具)
它是一個帶有各種工具的鏈接的頁面,其中許多工具可以處理tcpdump輸出,例如,生成統計信息
LibNet
它是一套幫助構建和處理網絡數據包的集合,爲底層網絡包的修改、處理和注入提供了一個可移植的框架。它在IP層和鏈路層提供了輕便的數據包創建接口,以及一系列補充和完善功能。使用LibNet可以輕鬆的組建快速簡單的包
tcpreplay
根據pcap文件內容,使用libnet庫在網絡接口上重新發送數據包
TTT: Tele Traffic Tapper(遠程交通竊聽器)
TTT是tcpdump的另一個衍生,但它能夠實時、圖形化和遠程流量監控。它並不是爲了取代tcpdump,相反可以幫助您更方便的查找tcpdump中的內容。TTT監視網絡,並在時間窗口內自動獲取流量的主要發送者。默認情況下,圖形每秒更新一次。
Internet Traffic Archive
它是一個支持廣泛訪問因特網流量蹤跡的模型庫,由ACM Sigcomm贊助。
EtherApe(網絡分析儀)
EtherApe是仿照etherman的Unix圖形網絡監視器。它具有鏈路層、ip和TCP模式,以圖形方式顯示網絡活動。主機和鏈接的大小隨流量而變化。彩色編碼協議顯示。它支持以太網、FDDI、令牌環、ISDN、PPP和SLIP設備。它可以過濾要顯示的流量,可以從文件中讀取流量,也可以從網絡中實時讀取流量。
TCPslice
TCPslice是用於提取文件部分(使用tcpdump的-w標誌生成)的一個工具,。它可以組合多個文件,和/或基於時間提取一個或多個文件的部分。TCPslice最初來自LBL,現在由tcpdump.org維護。我們還沒有正式發佈它,儘管有一些更新。
TCPTrace
TCP trace分析捕獲的TCP流的行爲,並接受許多跟蹤文件格式(包括pcap)。它提供連接統計和幾種類型的圖,包括廣泛使用的時序圖。
tcpflow
tcpflow捕獲作爲TCP傳輸的數據,並以便於協議分析或調試的方式存儲數據。“tcpdump”只顯示包摘要,但通常不存儲實際傳輸的數據。相反,tcpflow重建實際的數據流,並將每個流存儲在單獨的文件中,以供以後分析。
snort
Snort是由Sourcefire開發的一個開源的網絡入侵防禦和檢測系統(IDS/IPS)。Snort結合了簽名、協議和基於異常的檢測的優點,是全球部署最廣泛的IDS/IPS技術。隨着數百萬下載和大約300000註冊用戶,Snort已經成爲IPS的事實標準。
Scapy
Scapy是一個強大的交互式包操作程序。它能夠僞造或解碼大量協議的數據包,將它們發送到網上,捕獲它們,匹配請求和回覆,等等。它可以輕鬆地處理大多數經典任務,如掃描、跟蹤、探測、單元測試、攻擊或網絡發現(它可以替代hping、85%的nmap、arpsoof、arp sk、arping、tcpdump、tesereal、p0f等)。它在許多其他工具無法處理的特定任務上也表現得非常好,比如發送無效幀、注入自己的802.11幀、組合技術(VLAN跳頻+ARP緩存中毒、WEP加密信道上的VOIP解碼等)
Bro(最近改名爲Zeek)
Bro是一個開源的、基於Unix的網絡入侵檢測系統(NIDS),它被動地監視網絡流量並查找可疑活動
Network Top
ntop是一個顯示網絡使用情況的網絡流量探測器,類似於流行的Unix命令TOP。ntop基於libpcap,它是以一種可移植的方式編寫的,以便在每個Unix平臺上以及Win32上運行
Wireshark
一個免費的Unix和Windows網絡協議分析器。它允許您檢查來自實時網絡或磁盤上的捕獲文件的數據。您可以交互瀏覽捕獲數據,查看每個數據包的摘要和詳細信息。Wireshark有幾個強大的特性,包括豐富的顯示過濾語言和查看TCP會話的重建流的能力
CoralReef
CoralReef是CAIDA開發的一個軟件套件,用於分析從互聯網流量監視器中收集的數據。它提供了一個編程庫libcoral(類似於libpcap),具有ATM和其他網絡類型的擴展,支持C和Perl。該軟件目前支持使用OC3mon和OC12mon卡的專用PC盒,這些卡可以實時收集流量數據,以及從pcap跟蹤文件中讀取數據。即將發佈的3.4版支持通過支持bpf的設備進行監聽。CoralReef包括驅動程序、分析、web報告生成、示例和捕獲軟件。該軟件包由CAIDA開發人員在Internet測量社區的支持和協作下維護
TCPstat
tcpstat像VMSTAT一樣報道網絡接口的統計數據。tcpstat通過監視特定接口或從文件讀取先前保存的tcpdump數據來獲取信息
NetDude
netdude(網絡轉儲數據顯示器和編輯器)。從官網網來看,“這是一個基於GUI的工具,允許對tcpdump tracefile中的數據包進行詳細的更改
Usenix 93 paper on BPF
libpcap接口支持基於BSD包過濾器中的體系結構的過濾機制。BPF在1993年冬季Usenix的論文“BSD包過濾器:用戶級包捕獲的新體系結構”中進行了描述。
原件:ftp://ftp.ee.lbl.gov/papers/bpf-usenix93.ps.Z
副本:compressed PostScript(144K),gzip'ed PostScript(100K)
BPF for Ultrix
Ultrix 4.2的BPF發行版,包含源代碼和二進制模塊
DPF
一篇發表在SIGCOMM'96上“關於增強版BPF”的論文
Win32 info
蓋伊·哈里斯關於WinPcap和WinDump狀態的信息摘錄
Xplot
xplot程序是在20世紀80年代末編寫的,用於支持對TCP包跟蹤的分析
Multitail
現在有一個彩色方案,包括用於監測TCPDUMP輸出。還可以過濾、轉換時間戳到時間字符串等等
netsniff-ng
Netsniff-NG是一個自由,性能好的Linux網絡分析器和網絡工具
networking toolkit
提交人:丹尼爾·博克曼
libcrafter
LICRCREST是一個高級C++庫,旨在簡化網絡包的創建和解碼。它能夠處理或解碼大多數常見網絡協議的數據包,將它們發送到網上,捕獲它們,並匹配請求和回覆
提交人:Esteban Pellegrino
pcapfix
pcapfix是一個修復損壞的pcap和pcapng文件的工具。它檢查是否有完整的pcap全局報頭和數據包塊,如果有任何損壞的字節,它將進行修復。如果頭不存在,則創建一個頭並將其添加到文件的開頭。然後,它試圖找到pcap包頭或包塊,並檢查和修復它們
httpflow
包捕獲和分析實用程序,類似於HTTP的tcpdump
PcapPlusPlus
一個多平臺的C++網絡嗅探、數據包解析和製作框架。它爲LIPPCAP和WiNPCAP提供了一種輕量級、易用和高效的C++包裝器
Termshark
tshark的終端用戶界面,靈感來自Wireshark。