CentOS下使用tcpdump網絡抓包

tcpdump是Linux下的截獲分析網絡數據包的工具，對優化系統性能有很大參考價值。

安裝

tcpdump不是默認安裝的，在CentOS下安裝：

yum install tcpdump

在Ubuntu下安裝：

apt-get install tcpdump

默認啓動

tcpdump

普通狀況下，直接啓動tcpdump將監視第一個網絡接口上全部流過的數據包。

監視指定網絡接口的數據包(必定要查看網卡)

tcpdump -i eth1

若是不指定網卡，默認tcpdump只會監視第一個網絡接口，通常是eth0，下面的例子都沒有指定網絡接口。　

監視指定主機的數據包

打印全部進入或離開sundown的數據包.

tcpdump host sundown

也能夠指定ip,例如截獲全部210.27.48.1 的主機收到的和發出的全部的數據包

tcpdump host 210.27.48.1

打印helios 與 hot 或者與 ace 之間通訊的數據包

tcpdump host helios and \( hot or ace \)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

打印ace與任何其餘主機之間通訊的IP 數據包, 但不包括與helios之間的數據包.

tcpdump ip host ace and not helios

若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截獲主機hostname發送的全部數據

tcpdump -i eth0 src host hostname

監視全部送到主機hostname的數據包

tcpdump -i eth0 dst host hostname

監視指定主機和端口的數據包

若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令

tcpdump tcp port 23 and host 210.27.48.1

對本機的udp 123 端口進行監視 123 爲ntp的服務端口

tcpdump udp port 123

監視指定網絡的數據包

打印本地主機與Berkeley網絡上的主機之間的全部通訊數據包(nt: ucb-ether, 此處可理解爲'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達爲: 打印網絡地址爲ucb-ether的全部數據包)

tcpdump net ucb-ether

打印全部經過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這能夠防止shell對其中的括號進行錯誤解析)

tcpdump 'gateway snup and (port ftp or ftp-data)'

打印全部源地址或目標地址是本地主機的IP數據包

(若是本地網絡經過網關連到了另外一網絡, 則另外一網絡並不能算做本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)

tcpdump ip and not net localnet

監視指定協議的數據包

打印TCP會話中的的開始和結束數據包, 而且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

打印全部源或目的端口是80, 網絡層協議爲IPv4, 而且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本的表達式可作練習)

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

(nt: 可理解爲, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf表明包中的IHL域, 而此域的單位爲32bit, 要換算

成字節數須要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit,　換算成比特數爲 ((tcp[12]&0xf0) >> 4)　<<　２,　
即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整個ip數據包的長度減去ip頭的長度,再減去
tcp頭的長度不爲0, 這就意味着, ip數據包中確實是有數據.對於ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 而且其中表達方式'ip[]'需換成'ip6[]'.)

打印長度超過576字節, 而且網關地址是snup的IP數據包

tcpdump 'gateway snup and ip[2:2] > 576'

打印全部IP層廣播或多播的數據包， 但不是物理以太網層的廣播或多播數據報

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

打印除'echo request'或者'echo reply'類型之外的ICMP數據包( 好比,須要打印全部非ping 程序產生的數據包時可用到此表達式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包一般由ping程序產生))

tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

tcpdump 與wireshark

Wireshark(之前是ethereal)是Windows下很是簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。咱們能夠用Tcpdump + Wireshark 的完美組合實現：在 Linux 裏抓包，而後在Windows 裏分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型
(2)-i eth1 : 只抓通過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後能夠抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 爲"GET"前兩個字母"GE",0x4854 爲"HTTP"前兩個字母"HT"。

tcpdump 對截獲的數據並無進行完全解碼，數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，而後再使用其餘程序(如Wireshark)進行解碼分析。固然也應該定義過濾規則，以免捕獲的數據包填滿整個硬盤。

一、抓取回環網口的包：tcpdump -i lo

二、防止包截斷：tcpdump -s0

三、以數字顯示主機及端口：tcpdump -n

第一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網絡地址，port 23 指明端口號是23。若是沒有指定類型，缺省的類型是host.

第二種是肯定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。若是沒有指明方向關鍵字，則缺省是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議，實際上它是"ether"的別名，fddi和ether具備相似的源地址和目的地址，因此能夠將fddi協議包看成ether的包進行處理和 分析。其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議，則tcpdump將會監聽全部協議的信息包。

除了這三種類型的關鍵字以外，其餘重要的關鍵字以下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&;或運算 是'or' ,'||'；這些關鍵字能夠組合起來構成強大的組合條件來知足人們的須要，下面舉幾個例子來講明。

普通狀況下，直接啓動tcpdump將監視第一個網絡界面上全部流過的數據包。

# tcpdump 
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00

使用-i參數指定tcpdump監聽的網絡界面，這在計算機具備多個網絡界面時很是有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存
A想要截獲全部210.27.48.1 的主機收到的和發出的全部的數據包：

#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令：（在命令行中適用　括號時，必定要

#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

C若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令：

#tcpdump tcp port 23 host 210.27.48.1

E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口

# tcpdump udp port 123

F 系統將只對名爲hostname的主機的通訊數據包進行監視。主機名能夠是本地主機，也能夠是網絡上的任何一臺計算機。下面的命令能夠讀取主機hostname發送的全部數據：

#tcpdump -i eth0 src host hostname

G 下面的命令能夠監視全部送到主機hostname的數據包：

#tcpdump -i eth0 dst host hostname

H 咱們還能夠監視經過指定網關的數據包：

#tcpdump -i eth0 gateway Gatewayname

I 若是你還想監視編址到指定端口的TCP或UDP數據包，那麼執行如下命令：

#tcpdump -i eth0 host hostname and port 80

J 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包
，使用命令：

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令
：（在命令行中適用　括號時，必定要

#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

L 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令：

#tcpdump tcp port 23 host 210.27.48.1

第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字以外，其餘重要的關鍵字以下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||'；
第二種是肯定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,
若是咱們只須要列出送到80端口的數據包，用dst port；若是咱們只但願看到返回80端口的數據包，用src port。

#tcpdump –i eth0 host hostname and dst port 80  目的端口是80

或者

#tcpdump –i eth0 host hostname and src port 80  源端口是80  通常是提供http的服務的主機

若是條件不少的話 要在條件以前加and 或 or 或 not

#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

若是在ethernet 使用混雜模式 系統的日誌將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並無進行完全解碼，數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，而後再使用其餘程序進行解碼分析。固然也應該定義過濾規則，以免捕獲的數據包填滿整個硬盤。

# tcpdump   -i eth1 src  host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576

代表在00:02:03點的時候，211.167.237.199經過ssh源端口鏈接到221.216.165.189的1467端口

#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576

截獲全部由eth0進入、源地址(src)爲192.168.0.5的主機(host)，而且(and)目標(dst)端口(port)爲80的數據包

觀看網卡傳送、接收數據包的狀態

$ netstat  -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500  0  14639   0      0      0    5705    119    0     0   BMRU

Iface:  網卡
RX-OK RX-ERR RX-DRP RX-OVR : 網卡正確接收數據包的數量以及發生錯誤、流失、碰撞的總數
TX-OK TX-ERR TX-DRP TX-OVR : 網卡正確發送數據包的數量以及發生錯誤、流失、碰撞的總數

感謝https://blog.csdn.net/u011630575/article/details/48271711，從這裏轉載