2. 程式人生 > >Linux 抓包工具 tcpdump

Linux 抓包工具 tcpdump

阿新 發佈:2019-03-01
邏輯運算 端口號 eth1 方便 ESS out 與運算 通用 gre

Linux 抓包工具 tcpdump

1、概述

用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。?tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

tcpdump是一個用於截取網絡分組,並輸出分組內容的工具,簡單說就是數據包抓包工具。tcpdump憑借強大的功能和靈活的截取策略,使其成為Linux系統下用於網絡分析和問題排查的首選工具。

tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對於網絡維護和***者都是非常有用的工具。tcpdump存在於基本的Linux系統中,由於它需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。

顧名思義,tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

不帶參數的tcpdump會收集網絡中所有的信息包頭,數據量巨大,必須過濾。

2、選項

  • -A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。
  • -c 在收到指定的數量的分組後,tcpdump就會停止。
  • -C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然後在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。
  • -d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
  • -dd 將匹配信息包的代碼以c語言程序段的格式給出。
  • -ddd 將匹配信息包的代碼以十進制的形式給出。
  • -D 打印出系統中所有可以用tcpdump截包的網絡接口。
  • -e 在輸出行打印出數據鏈路層的頭部信息。
  • -E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec?ESP分組。
  • -f 將外部的Internet地址以數字的形式打印出來。
  • -F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。
  • -i 指定監聽的網絡接口。
  • -l 使標準輸出變為緩沖行形式,可以把數據導出到文件。
  • -L 列出網絡接口的已知數據鏈路。
  • -m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。
  • -M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
  • -b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。
  • -n 不把網絡地址轉換成名字。
  • -nn 不進行端口名稱的轉換。
  • -N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。
  • -t 在輸出的每一行不打印時間戳。
  • -O 不運行分組分組匹配(packet-matching)代碼優化程序。
  • -P 不將網絡接口設置成混雜模式。
  • -q 快速輸出。只輸出較少的協議信息。
  • -r 從指定的文件中讀取包(這些包一般通過-w選項產生)。
  • -S 將tcp的序列號以絕對值形式輸出,而不是相對值。
  • -s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。
  • -T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。
  • -t 不在每一行中輸出時間戳。
  • -tt 在每一行中輸出非格式化的時間戳。
  • -ttt 輸出本行和前面一行之間的時間差。
  • -tttt 在每一行中輸出由date處理的默認格式的時間戳。
  • -u 輸出未解碼的NFS句柄。
  • -v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。
  • -vv 輸出詳細的報文信息。
  • -w 直接將分組寫入文件中,而不是不分析並打印出來。

3、tcpdump的表達式介紹

表達式是一個正則表達式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表 達式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網絡上所有的信息包 將會被截獲。

  • 在表達式中一般如下幾種類型的關鍵字:
    • 第一種是關於類型的關鍵字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一臺主機,net 202.0.0.0指明202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host。
    • 第二種是確定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src, 這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0。如果沒有指明 方向關鍵字,則缺省是src or dst關鍵字。
    • 第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI (分布式光纖數據接口網絡)上的特定的網絡協議,實際上它是”ether”的別名,fddi和ether 具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。 其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議,則tcpdump 將會 監聽所有協議的信息包。
  • 除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less, greater, 還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘, 與運算是’and’,’&&’;或運算是’or’ ,’||’; 這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。

4、輸出結果介紹

下面我們介紹幾種典型的tcpdump命令的輸出信息

4.1、數據鏈路層頭信息

使用命令:
#tcpdump --e host ICE
ICE 是一臺裝有linux的主機。它的MAC地址是0:90:27:58:AF:1A H219是一臺裝有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一條命令的輸出結果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. ?telne t 0:0(0) ack 22535 win 8760 (DF)
21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0接收該分組, eth0 >表示從網絡接口設備發送分組, 8:0:20:79:5b:46是主機H219的MAC地址, 它表明是從源地址H219發來的分組. 0:90:27:58:af:1a是主機ICE的MAC地址, 表示該分組的目的地址是ICE。 ip 是表明該分組是IP分組,60 是分組的長度, h219.33357 > ICE. telnet 表明該分組是從主機H219的33357端口發往主機ICE的 TELNET(23)端口。 ack 22535 表明對序列號是222535的包進行響應。 win 8760表明發 送窗口的大小是8760。

4.2、ARP包的tcpdump輸出信息

使用命令:
#tcpdump arp
得到的輸出結果是:
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該分組,arp表明是ARP請求包, who-has route tell ICE表明是主機ICE請求主機route的MAC地址。 0:90:27:58:af:1a是主機 ICE的MAC地址。

4.3、TCP包的輸出信息

用tcpdump捕獲的TCP包的一般輸出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP報文中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) “.” (沒有標記); data-seqno是報文中的數據 的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明 報文中是否有緊急指針。 Options是選項。

4.4、UDP包的輸出信息

用tcpdump捕獲的UDP包的一般輸出信息是:
route.port1 > ICE.port2: udp lenth
UDP十分簡單,上面的輸出行表明從主機route的port1端口發出的一個UDP報文 到主機ICE的port2端口,類型是UDP, 包的長度是lenth。

5、舉例

(1) 想要截獲所有210.27.48.1 的主機收到的和發出的所有的分組:

tcpdump host 210.27.48.1

(2) 想要截獲主機210.27.48.1 和主機210.27.48.2或210.27.48.3的通信,使用命令(註意:括號前的反斜杠是必須的):

tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

(4) 如果想要獲取主機192.168.228.246接收或發出的ssh包,並且不轉換主機名使用如下命令:

tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

(5) 獲取主機192.168.228.246接收或發出的ssh包,並把mac地址也一同顯示:

tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn

(6) 過濾的是源主機為192.168.0.1與目的網絡為192.168.0.0的報頭:

tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

(7) 過濾源主機物理地址為XXX的報頭:

tcpdump ether src 00:50:04:BA:9B and dst……

(為什麽ether src後面沒有host或者net?物理地址當然不可能有網絡嘍)。
(8) 過濾源主機192.168.0.1和目的端口不是telnet的報頭,並導入到tes.t.txt文件中:

Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型。
例題:如何使用tcpdump監聽來自eth0適配卡且通信協議為port 22,目標來源為192.168.1.100的數據包資料?

tcpdump -i eth0 -nn port 22 and src host 192.168.1.100

例題:如何使用tcpdump抓取訪問eth0適配卡且訪問端口為tcp 9080?

tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080

例題:如何使用tcpdump抓取與主機192.168.43.23或著與主機192.168.43.24通信報文,並且顯示在控制臺上

tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and? host 172.16.70.35

5.9 參數說明

tcpdump -i p6p1 -C 1000M -W 5 -s 1600 -w guizhou105date +%Y%m%d%H%M -Z root 獲取網卡p5p1上

抓包工具:
tcpdump -nn -vvv -s 1500 -w /tmp/1 host 192.168.18.254 and port 80

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
(2)-i eth1 : 只抓經過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 後可以抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
(8)-w ./target.pcap : 保存成pcap文件,方便用ethereal(即wireshark)分析

-i : 設備名
-s : 過濾包大小限制
-C :(M), 定義生成文件大小,兆為單位,取整數
-W : 可生成多少個文件
-w :指定生成文件的路徑

實例:

tcpdump -i eth0 -C 10240M -W 300 -s 1600 -w /usr/local/pcap1/henan_104_`date +%Y%m%d`00 -Z root
tcpdump -i eth4 -C 200M -s 1600 -w /usr/local/pcap1/henan`date +%Y%m%d`00001.pcap -Z root
tcpdump -i eth4 -C 200M -W 1 -s 1600 -w /usr/local/pcap1/henan`date +%Y%m%d`00001.pcap -Z root
tcpdump -i eth2 -s 1600 src host 192.168.0.127 -w ./192.168.0.127.pcap

Linux 抓包工具 tcpdump

相關推薦

linux工具-tcpdump用法說明

抓包工具tcpdump基本使用 tcpdump採用命令列方式對介面的資料包進行篩選抓取,其豐富特性表現在靈活的表示式上。 不帶任何選項的tcpdump,預設會抓取第一個網路介面,且只有將tcpdump程序終止才會停止抓包。 例如: shell> tcpdump -nn

Linux 工具 tcpdump

邏輯運算 端口號 eth1 方便 ESS out 與運算 通用 gre Linux 抓包工具 tcpdump 1、概述 用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。?

linux系統的工具tcpdump的使用

是windows系統下的wireshark工具的linux系統版本。 NAME         tcpdump - dump traffic on a network  SYNOPSIS     &nb

工具tcpdump用法說明

mac ive 方向 接口 res 分析 方式 interface tcp 本文目錄: 1.1 tcpdump選項 1.2 tcpdump表達式 1.3 tcpdump示例 tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在靈活的表達式上。 不帶任

監控io性能、free、ps命令及netstat命令、工具tcpdump,tshark

20180507一、監控io性能iostat -x 關註%utiliotop 查看哪一個進程在進行讀寫 二、free命令(查看內存使用)-m -h-gbuff 緩沖(cpu處理完的數據 > 內存 (buff)> 磁盤)cache 緩存(磁盤 >內存(cache) >cpu處理數據)公

linux工具ngrep

安裝 rpm -ivh http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum  install  ngrep 抓包(埠3306) ngrep -W byline -d e

工具tcpdump

簡介 tcpdump可以抓取指定規則的流量包,並按要求儲存或者解析列印,可以通過 and、not、or等邏輯語 拼出多個條件的命令,抓取符合要求的流量資料 資料儲存到檔案 # -w儲存資料到檔案,檔名字尾為.pcap #可以儲存80埠的tcp流量,1000條 儲

監控io效能、free、ps、檢視網路狀態和linux工具

一、監控io效能 1、iostat -x 磁碟使用 關注最後一列的數值,數值大說明磁碟有異常2、iotop 磁碟使用 安裝:yum install -y iotop 二、free命令 檢視記憶體使用多少,剩餘多少請看第二行的資料。另外我們還可以加-m或-h 或者-g選項分別以M或G為單位列印記憶體使用狀況:常

Ubuntu下的工具tcpdump

Ubuntu預設是安裝好了tcpdump工具的,如果沒有安裝的話使用sudo apt-get install tcpdump即可安裝。 (如果遇到tcpdump: no suitable device found的問題,檢查一下是不是在用root許可權執行tcpdump,tcpdump只能在root許可權下

Android工具tcpdump使用教程(整理)

一、準備: 1. Android手機需要先獲得root許可權。一種是否獲得root許可權的檢驗方法:安裝並開啟終端模擬器(可通過安卓市場等渠道獲得)。在終端模擬器介面輸入su並回車,若報錯則說明未root,若命令提示符從$變#則為rooted; 2. 如果Android手機

(轉)工具tcpdump用法說明

轉義 ref 抓包工具 ESS 切換 dir 連接 技術分享 win 本文原創地址在博客園:https://www.cnblogs.com/f-ck-need-u/p/7064286.html tcpdump采用命令行方式對接口的數據包進行篩選抓取,其豐富特性表現在

tcpdump-工具-Linux

expr ret 效果 packet 返回 dump alt ping ati 環境:VMware-Workstation-12-Pro,Windows-10,CentOS-6.9-x86_64,Xshell5 基本介紹 tcpdump是Linux自帶的抓包工具,可以詳細看

linuxtcpdump工具的安裝和使用

1.yum  install  tcpdump 2.檢視網絡卡名稱: ifconfig 3.監視指定網路介面的資料包  tcpdump -i ens33 4.也可以指定ip,例如截獲所有192.1

linux tcpdump 簡單應用

lai 包含 數字 -s 格式 home 鏈路層 expr art 在linuxserver上,常常要定位網絡問題,就須要用到抓包。 比如:tcpdump -X -s 0 host 10.17.81.22 and port 9999 -w /home/text.ca

Linux日常管理技巧(2):free,ps,netstat命令和工具

情況下 路由器配置 傳輸協議 method ups lis red field 保存 一、free命令 free命令可以顯示當前系統未使用的和已使用的內存數目,還可以顯示被內核使用的內存緩沖區。用法: free [選項] 選項: -b:以Byte為單位顯示內存使用情況;-

查看磁盤io、內存free、系統進程ps、網絡狀態netstat、Linuxtcpdump

ipv mon 1.3 sda verify available x86 4.0 length 查看磁盤io性能狀態 iostat -x 查看磁盤使用(安裝包與sar的安裝包一起)主要查看%util [root@shu-test ~]# iostat -x Linux 3.

windows和linux下的工具

gpo tcpdump linu window clas dst post blog windows Linux 抓包工具 tcpdump 示例 tcpdump -i bond0 host 10.70.11.182 -w ./sms.cap windows抓包

tcpdump工具

ive link 簡單 網絡管理 直接 抓取 可擴展性 less read tcpdump抓包工具 一:TCPDump介紹 ? TcpDump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏

嵌入式linux網路程式設計,TCP、IP協議原理,wireshark工具,乙太網頭(Ethernet header),IP頭,TCP頭,三次握手,四次握手,UDP頭

文章目錄 1,wireshark抓包工具 1.1,wireshark安裝 1.2,wireshark啟動 1.2.1,出現錯誤警告 1.2.2,解決方案 2,常用除錯測試工具 3,TCP

nmap掃描工具tcpdump工具的安裝和使用

掃描:以獲取一些公開的、非公開資訊為目的。檢測潛在的風險,查詢可攻擊的目標,收集 裝置、主機、系統、軟體資訊,發現可利用的漏洞。 掃描方式:主動探測(scan)、被動監聽嗅探(sniff)、抓包(capture) 常用的分析工具:掃描器(NMAP)、協議分析(tcpdumpWireShark) NMAP: