Linux 抓包工具 tcpdumplinux
用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。 tcpdump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。正則表達式
tcpdump是一個用於截取網絡分組,並輸出分組內容的工具,簡單說就是數據包抓包工具。tcpdump憑藉強大的功能和靈活的截取策略,使其成爲Linux系統下用於網絡分析和問題排查的首選工具。shell
tcpdump提供了源代碼,公開了接口,所以具有很強的可擴展性,對於網絡維護和***者都是很是有用的工具。tcpdump存在於基本的Linux系統中,因爲它須要將網絡界面設置爲混雜模式,普通用戶不能正常執行,但具有root權限的用戶能夠直接執行它來獲取網絡上的信息。所以系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其餘計算機的安全存在威脅。緩存
顧名思義,tcpdump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。安全
不帶參數的tcpdump會收集網絡中全部的信息包頭,數據量巨大,必須過濾。網絡
表達式是一個正則表達式,tcpdump利用它做爲過濾報文的條件,若是一個報文知足表 達式的條件,則這個報文將會被捕獲。若是沒有給出任何條件,則網絡上全部的信息包 將會被截獲。less
下面咱們介紹幾種典型的tcpdump命令的輸出信息ssh
使用命令:tcp
tcpdump --e host ICE
ICE 是一臺裝有linux的主機。它的MAC地址是0:90:27:58:AF:1A H219是一臺裝有Solaris的SUN工做站。它的MAC地址是8:0:20:79:5B:46; 上一條命令的輸出結果以下所示:分佈式
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)
21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0接收該分組, eth0 >表示從網絡接口設備發送分組, 8:0:20:79:5b:46是主機H219的MAC地址, 它代表是從源地址H219發來的分組. 0:90:27:58:af:1a是主機ICE的MAC地址, 表示該分組的目的地址是ICE。 ip 是代表該分組是IP分組,60 是分組的長度, h219.33357 > ICE. telnet 代表該分組是從主機H219的33357端口發往主機ICE的 TELNET(23)端口。 ack 22535 代表對序列號是222535的包進行響應。 win 8760代表發 送窗口的大小是8760。
使用命令:
tcpdump arp
獲得的輸出結果是:
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a) 22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是時間戳, 802509是ID號, eth0 >代表從主機發出該分組,arp代表是ARP請求包, who-has route tell ICE代表是主機ICE請求主機route的MAC地址。 0:90:27:58:af:1a是主機 ICE的MAC地址。
用tcpdump捕獲的TCP包的通常輸出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:代表從源地址到目的地址, flags是TCP報文中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) 「.」 (沒有標記); data-seqno是報文中的數據 的順序號, ack是下次指望的順序號, window是接收緩存的窗口大小, urgent代表 報文中是否有緊急指針。 Options是選項。
用tcpdump捕獲的UDP包的通常輸出信息是:
route.port1 > ICE.port2: udp lenth
UDP十分簡單,上面的輸出行代表從主機route的port1端口發出的一個UDP報文 到主機ICE的port2端口,類型是UDP, 包的長度是lenth。
tcpdump host 210.27.48.1
tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
tcpdump ether src 00:50:04:BA:9B and dst……
(爲何ether src後面沒有host或者net?物理地址固然不可能有網絡嘍)。
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型。
例題:如何使用tcpdump監聽來自eth0適配卡且通訊協議爲port 22,目標來源爲192.168.1.100的數據包資料?
tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
例題:如何使用tcpdump抓取訪問eth0適配卡且訪問端口爲tcp 9080?
tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
例題:如何使用tcpdump抓取與主機192.168.43.23或着與主機192.168.43.24通訊報文,而且顯示在控制檯上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and host 172.16.70.35
tcpdump -i p6p1 -C 1000M -W 5 -s 1600 -w guizhou105date +%Y%m%d%H%M
-Z root 獲取網卡p5p1上
抓包工具:
tcpdump -nn -vvv -s 1500 -w /tmp/1 host 192.168.18.254 and port 80
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
(2)-i eth1 : 只抓通過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後能夠抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24
(8)-w ./target.pcap : 保存成pcap文件,方便用ethereal(即wireshark)分析
-i : 設備名
-s : 過濾包大小限制
-C :(M), 定義生成文件大小,兆爲單位,取整數
-W : 可生成多少個文件
-w :指定生成文件的路徑
實例:
tcpdump -i eth0 -C 10240M -W 300 -s 1600 -w /usr/local/pcap1/henan_104_`date +%Y%m%d`00 -Z root tcpdump -i eth4 -C 200M -s 1600 -w /usr/local/pcap1/henan`date +%Y%m%d`00001.pcap -Z root tcpdump -i eth4 -C 200M -W 1 -s 1600 -w /usr/local/pcap1/henan`date +%Y%m%d`00001.pcap -Z root tcpdump -i eth2 -s 1600 src host 192.168.0.127 -w ./192.168.0.127.pcap