一、tcpdump介绍
tcpdump是Linux下功能强大的截帧工具,相当于windows下的wireshark一下,只是操作方式是命令行的,需要熟悉Linux命令行操作。
常用的Linux发行版基本上都已经自带了tcpdump,如果没有可以下载安装,官网只提供了源代码,下载后需要先编译。具体编译方式这里不做介绍。
二、tcpdump常用参数介绍
下面列出了tcpdump的常用参数:
- -a 将网络地址和广播地址转换成名字
- -A 以ASCⅡ 格式显示截取到的数据帧
- -c num 截取到num条数据后就停止
- -C file-size 用于配合-w file,如果文件大小超过,file-size 则新创建一个文件
- -D 列出系统中所有可以用以 tcpdump 截包的网络接口。显示的接口序号或接口名称可以通过 - i 指定
- -q 快速输出,只显示较少信息
- -w 将输出结果保存到文件中,可以在windows下使用wireshark分析
- -r 从指定文件读取数据包,一般用来读取使用 -w 参数保存文件
- -i 指定抓取哪个网卡的数据包,如需要抓取所有网卡使用 -i any
- -x 以十六进制显示截取到的数据帧
- -nnn参数。使用-nnn参数禁用tcpdump展示时把IP、端口等转换为域名、端口对应的知名服务名称。
三、tcpdump表达式
tcpdump表达式用来设置哪些数据包被打印到命令行,如果不设置过滤表达式网络上所有被捕获的包都会被打印,否则, 只有满足条件表达式的数据包被打印。
在表达式中一般有如下几种类型的关键字
关于类型的关键字,host、net、port、ip >proto、protochain 等
确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src 等
协议的关键字,ip、arp、rarp、tcp、udp>、icmp、http 等
表达式的基本格式为协议+[传输方向]+类型+ 具体数值
,具体使用请看实例。
ip src host 192.168.0.1tcp port 1883
四、实例
抓取所有网卡的数据包
tcpdump -i any
抓取端口1883的数据包
tcp dump -i eth0 port 1883 # 1883 端口的所有数据包 tcp dump -i eth0 tcp port 1883 # 1883 端口的所有tcp数据包 tcp dump -i eth0 udp port 1883 # 1883 端口的所有udp数据包
抓取源 ip 是 172.30.20.10 的数据包
tcpdump -i eth0 src host 172.30.20.10
抓取目的地址是172.30.20.10的数据包
tcpdump -i eth0 dst host 172.30.20.10
抓取源 ip 是172.30.20.10 且目的端口是 22 的数据包
tcpdump -i eth0 src host172.30.20.10 and dst port 22
抓取源 ip 是172.30.20.10 且目的端口是 22 的数据包
tcpdump -i eth0 -vnn src host 172.30.20.10 or port 22
抓取源 ip 是172.30.20.10 且目的端口不是 22 的数据包
tcpdump -i eth0 -vnn src host 172.30.20.10 and not port 22
抓取网卡eth0的数据包并保存到文件
tcpdump -i eth0 -w data.cap
抓取网卡eth0的 100 条数据并保存到文件
tcpdump -i eth0 -c 100 -w data.cap
抓取ip协议的数据包
tcpdump -i eth0 ip