linux-網絡數據包抓取-tcpdump

用法格式：

　　tcpdump [-i 網卡]  [選項]  '表達式'

選項說明以下：

• -i：interface 監聽的網卡。
• -nn：表示以ip和port的方式顯示來源主機和目的主機，而不是用主機名和服務。
• -A：以ascii的方式顯示數據包，抓取web數據時頗有用。
• -X：數據包將會以16進制和ascii的方式顯示。
• 表達式：表達式有不少種，常見的有：host 主機；port 端口；src host 發包主機；dst host 收包主機。多個條件能夠用and、or組合，取反可使用!，更多的使用能夠查看man 7 pcap-filter。

舉例說明：

監聽網卡eth0

$ tcpdump -i eth0

這個方式最簡單了，可是用處很少，由於基本上只能看到數據包的信息刷屏，壓根看不清，可使用ctrl+c中斷退出，若是真有需求，能夠將輸出內容重定向到一個文件，這樣也更方便查看。

監聽指定協議的數據

$ tcpdump -i eth0 -nn 'icmp'

這個是用來監聽icmp協議的數據，就是ping命令使用的協議。相似的，若是要監聽tcp或者是udp協議，只須要修改上例的icmp就能夠了。ping下監聽的機器，輸出以下：

linux使用tcpdump抓包示例

每一行的各個數據表示的含義：

抓到包的時間 IP 發包的主機和端口 > 接收的主機和端口 數據包內容

監聽指定的主機

$ tcpdump -i eth0 -nn 'host 192.168.1.231'

這樣的話，192.168.1.231這臺主機接收到的包和發送的包都會被抓取。

$ tcpdump -i eth0 -nn 'src host 192.168.1.231'

這樣只有192.168.1.231這臺主機發送的包纔會被抓取。

$ tcpdump -i eth0 -nn 'dst host 192.168.1.231'

這樣只有192.168.1.231這臺主機接收到的包纔會被抓取。

監聽指定端口

$ tcpdump -i eth0 -nnA 'port 80'

上例是用來監聽主機的80端口收到和發送的全部數據包，結合-A參數，在web開發中，真是很是有用。

監聽指定主機和端口

$ tcpdump -i eth0 -nnA 'port 80 and src host 192.168.1.231'

多個條件能夠用and，or鏈接。上例表示監聽192.168.1.231主機經過80端口發送的數據包。

監聽除某個端口外的其它端口

$ tcpdump -i eth0 -nnA '!port 22'

若是須要排除某個端口或者主機，可使用「!」符號，上例表示監聽非22端口的數據包。

小結：

tcpdump這個功能參數不少，表達式的選項也很是多，很是強大，不過經常使用的功能確實很少。詳情能夠經過man查看系統手冊。

另外在抓取web包的時候，發送網頁內容都是很奇怪的字符，發現是apache開啓了gzip壓縮的緣故，關閉掉gzip壓縮就能夠了。在ubuntu 12.04下，編輯vim /etc/apache2/mods-enabled/deflate.load文件，將加載模塊deflate_module的語句註釋掉，而後重啓apache就OK了

 

小技巧：

可結合tcpdump(命令) + wireshark(圖形化)

操做：　

• 在服務器上進行tcpdump -A -w /tmp/tcp.cap 指定輸出外部文件
• scp /tmp/tcp.cap 拷貝文件到你本地
• wireshark & 　啓動wireshark
• 經過　File -> Open 　打開拷貝下來的文件，這樣就能夠利用進行數據包分析了
• 剩下來的事就很是方便了

分類: linux學習