tcpdump使用方法

簡介

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據使用者的定義對網絡上的數據包進行截獲的包分析工具。 tcpdump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

實用命令實例

默認啓動

tcpdump

普通狀況下，直接啓動tcpdump將監視第一個網絡接口上全部流過的數據包。

監視指定網絡接口的數據包

tcpdump -i eth1

若是不指定網卡，默認tcpdump只會監視第一個網絡接口，通常是eth0，下面的例子都沒有指定網絡接口。　

監視指定主機的數據包

打印全部進入或離開sundown的數據包.

tcpdump host sundown

也能夠指定ip,例如截獲全部210.27.48.1 的主機收到的和發出的全部的數據包

tcpdump host 210.27.48.1

打印helios 與 hot 或者與 ace 之間通訊的數據包

tcpdump host helios and \( hot or ace \)

截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

打印ace與任何其餘主機之間通訊的IP 數據包, 但不包括與helios之間的數據包.

tcpdump ip host ace and not helios

若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

截獲主機hostname發送的全部數據

tcpdump -i eth0 src host hostname

監視全部送到主機hostname的數據包

tcpdump -i eth0 dst host hostname

監視指定主機和端口的數據包

若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令

tcpdump tcp port 23 and host 210.27.48.1

對本機的udp 123 端口進行監視 123 爲ntp的服務端口

tcpdump udp port 123

監視指定網絡的數據包

打印本地主機與Berkeley網絡上的主機之間的全部通訊數據包(nt: ucb-ether, 此處可理解爲'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達爲: 打印網絡地址爲ucb-ether的全部數據包)

tcpdump net ucb-ether

打印全部經過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這能夠防止shell對其中的括號進行錯誤解析)

tcpdump 'gateway snup and (port ftp or ftp-data)'

打印全部源地址或目標地址是本地主機的IP數據包

(若是本地網絡經過網關連到了另外一網絡, 則另外一網絡並不能算做本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)

tcpdump ip and not net localnet

監視指定協議的數據包

打印TCP會話中的的開始和結束數據包, 而且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

打印全部源或目的端口是80, 網絡層協議爲IPv4, 而且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本的表達式可作練習)

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

(nt: 可理解爲, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf表明包中的IHL域, 而此域的單位爲32bit, 要換算

成字節數須要乘以4,　即左移2.　(tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit,　換算成比特數爲 ((tcp[12]&0xf0) >> 4)　<<　２,　
即 ((tcp[12]&0xf0)>>2).　((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0　表示: 整個ip數據包的長度減去ip頭的長度,再減去
tcp頭的長度不爲0, 這就意味着, ip數據包中確實是有數據.對於ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 而且其中表達方式'ip[]'需換成'ip6[]'.)

打印長度超過576字節, 而且網關地址是snup的IP數據包

tcpdump 'gateway snup and ip[2:2] > 576'

打印全部IP層廣播或多播的數據包， 但不是物理以太網層的廣播或多播數據報

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

打印除'echo request'或者'echo reply'類型之外的ICMP數據包( 好比,須要打印全部非ping 程序產生的數據包時可用到此表達式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包一般由ping程序產生))

tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

tcpdump 與wireshark

Wireshark(之前是ethereal)是Windows下很是簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。咱們能夠用Tcpdump + Wireshark 的完美組合實現：在 Linux 裏抓包，而後在Windows 裏分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型
(2)-i eth1 : 只抓通過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後能夠抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 爲"GET"前兩個字母"GE",0x4854 爲"HTTP"前兩個字母"HT"。

tcpdump 對截獲的數據並無進行完全解碼，數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，而後再使用其餘程序(如Wireshark)進行解碼分析。固然也應該定義過濾規則，以免捕獲的數據包填滿整個硬盤。

轉載：https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html