[[373681]]

 概述

用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。

tcpdump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。

tcpdump基于底層libpcap庫開發(fā)，運行需要root權限。

一、tcpdump安裝

1.環(huán)境 虛擬機：vmware 15.5.2 os: ubuntu 12.04

2.安裝tcpdump

sudo apt-get install tcpdump 

 

3. 版本查看

tcpdump --h 

 tcpdump version 4.0。

libpcap version 1.1.1 表示libpcap的版本。

二、tcpdump參數(shù)常用參數(shù)

選項說明：

三、命令選項使用舉例

1. 截獲主機收到和發(fā)出的所有數(shù)據(jù)包。

命令：

tcpdump 

說明：

tcpdump截取包默認顯示數(shù)據(jù)包的頭部。

普通情況下，直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡接口上所有流過的數(shù)據(jù)包。

基礎格式：時間 數(shù)據(jù)包類型 源IP 端口/協(xié)議 > 目標IP 端口/協(xié)議 協(xié)議詳細信息

按下Ctrl+C會終止tcpdump命令。且會在結尾處生成統(tǒng)計信息。

終止tcpdump

2. 指定抓包數(shù)量 -c

指定抓取2個數(shù)據(jù)包。

命令：

tcpdump -c 2 

說明：

最后會自動生成統(tǒng)計信息。

【注意，已經(jīng)切換到管理員了，虛擬機中要產(chǎn)生數(shù)據(jù)包，可以另外開一個窗口ping baidu.com后面不再提示】

 

ping baidu.com

3. 將抓包信息寫入文件 -w

使用-w選項指定記錄文件。

命令：

tcpdump -c 10 -w tcpdump_test.log 

說明：

保存的文件不是文本格式，不能直接查看。tcpdump保存的文件的格式是幾乎所有主流的抓包工具軟件都可以讀取。所以可以使用更易讀的圖形界面工具來查看記錄文件。

4. 讀取記錄文件 -r

使用-r選項讀取文件。

命令：

tcpdump -r tcpdump_test.log 

![讀取記錄文件

5. 打印出所有可工作的接口 -D

命令：

tcpdump -D 

 其中網(wǎng)卡為eth0。

6. 指定監(jiān)控的網(wǎng)卡 -i

命令：

tcpdump -i eth0 

如果不指定網(wǎng)卡，默認tcpdump只會監(jiān)視第一個網(wǎng)絡接口，一般是eth0。

7. 顯示更詳細的數(shù)據(jù)包信息 -v -vv

選項-v，-vv可以顯示更詳細的抓包信息。

tcpdump -v

tcpdump -vv

8. 不使用域名反解 -n

使用-n后，tcpdump會直接顯示IP地址，不會顯示域名(與netstat命令相似)。

9. 增加抓包時間戳 -tttt選項

tcpdump的所有輸出打印行中都會默認包含時間戳信息;時間戳信息的顯示格式如下

hh:mm:ss.frac (nt: 小時:分鐘:秒.) 

此時間戳的精度與內(nèi)核時間精度一致,　反映的是內(nèi)核第一次看到對應數(shù)據(jù)包的時間;

而數(shù)據(jù)包從物理線路傳遞到內(nèi)核的時間, 以及內(nèi)核花費在此包上的中斷處理時間都沒有算進來;

使用-tttt選項，抓包結果中將包含抓包日期：

命令：

tcpdump -tttt 

 

增加抓包時間戳

四、條件過濾

1. 過濾：指定需要抓取的協(xié)議

tcpdump可以只抓某種協(xié)議的包，支持指定以下協(xié)議：「ip,ip6,arp,tcp,udp,wlan」等。

命令：

tcpdump udp 
 
tcpdump icmp 
 
tcpdump tcp 
 
tcpdump arp 

2. 過濾：指定協(xié)議的端口號

使用port參數(shù)，用于指定端口號。

命令：tcpdump tcp port 80

使用portrange參數(shù)，用于指定端口范圍。

命令：tcpdump tcp portrange 1-1024

3. 過濾：指定源與目標

src 表示源。

dst 表示目標。

命令：

tcpdump src port 8080

tcpdump dst port 80

4. 過濾：指定特定主機的消息包

使用host指定需要監(jiān)聽的主機。

命令：

tcpdump host 192.168.1.113 

注意：若使用了host參數(shù)使用了計算機名或域名。例tcpdump host shi-pc ，則無法再使用-n選項。

5. 過濾：指定數(shù)據(jù)包大小

使用greater(大于)與less(小于)可以指定數(shù)據(jù)包大小的范圍。

「例：只抓取大于1000字節(jié)的數(shù)據(jù)包?！?/p>

命令：

tcpdump greater 1000 

「例：只抓取小于10字節(jié)的數(shù)據(jù)包?！?/p>

命令：

tcpdump less 10 

五、 邏輯表達式

使用基本邏輯組合拼裝出更精細的過濾條件。

1. 邏輯與

邏輯與關系，使用and。

命令：

tcpdump tcp and host 192.168.1.112 
 
tcpdump tcp and src 192.168.1.112 and port 8080 

2. 邏輯或

邏輯或關系，使用or。

命令：

tcpdump host 192.168.1.112 or 192.168.1.113 

3. 邏輯非

邏輯非關系，使用not，也可以使用 ! 。

若使用 ! 必須與其后面的字符隔開一個空格。

例：當通過ssh協(xié)議遠程使用tcpdump時，為了避免ssh的數(shù)據(jù)包的輸出，所以一般需要禁止ssh數(shù)據(jù)包的輸出。

命令：

tcpdump not tcp port 22 
 
tcpdump ! tcp port 22 

4. 括號

括號需要使用在引號內(nèi)，或轉意使用。否則會報錯。

例：抓取非22端口，且主機為192.168.1.112 和 192.168.1.113的TCP數(shù)據(jù)包。

命令：

tcpdump not tcp port 22 and host 192.168.1.112or192.168.1.113 
 
tcpdump "not tcp port 22 and host (192.168.1.112 or 192.168.1.113)" 
 
tcpdump not tcp port 22 and host "(192.168.1.112 or 192.168.1.113)" 

六、其他實例

1. 打印所有進入或離開sundown的數(shù)據(jù)包

tcpdump host sundown 

2. 截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)   

3. 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：

tcpdump ip host 210.27.48.1 and ! 210.27.48.2 

4. 監(jiān)視所有送到主機hostname的數(shù)據(jù)包

tcpdump -i eth0 dst host hostname 

5. 獲取主機210.27.48.1接收或發(fā)出的telnet包

23為telnet的端口

tcpdump tcp port 23 and host 210.27.48.1 

6. 監(jiān)視本機的udp 123 端口

123 為ntp的服務端口

tcpdump udp port 123 

7. 使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 

• 0x4745 為"GET"前兩個字母"GE",
• 0x4854 為"HTTP"前兩個字母"HT"。

tcpdump 對截獲的數(shù)據(jù)并沒有進行徹底解碼，數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進制的形式直接打印輸出的。

顯然這不利于分析網(wǎng)絡故障，通常的解決辦法是先使用帶**-w參數(shù)的tcpdump 截獲數(shù)據(jù)并保存到文件中**，然后再使用其他程序(如Wireshark)進行解碼分析。當然也應該定義過濾規(guī)則，以避免捕獲的數(shù)據(jù)包填滿整個硬盤。

六、查看數(shù)據(jù)包完整內(nèi)容

tcpdump默認不顯示數(shù)據(jù)包的詳細內(nèi)容。

方法一：

使用-A參數(shù)能以ASCII碼顯示數(shù)據(jù)包。

例：只抓取1個數(shù)據(jù)包，并顯示其內(nèi)容。

命令：

tcpdump -c 1 -A 

 

方法二：

使用-X參數(shù)能16進制數(shù)與ASCII碼共同顯示數(shù)據(jù)包。

例：只抓取1個數(shù)據(jù)包，并顯示其內(nèi)容。

命令：

tcpdump -c 1 -X 

 

七、tcpdump 與wiresharkWireshark

(以前是ethereal)是Windows下非常簡單易用的抓包工具，現(xiàn)在也有Linux版本。

通過Tcpdump抓取的數(shù)據(jù)包分析比較麻煩，要想很方便的分析數(shù)據(jù)包， 我們可以用Tcpdump + Wireshark 的完美組合實現(xiàn)：在 Linux 里抓包，然后在Windows 里分析包。

保存數(shù)據(jù)包為wireshark能識別的文件：

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap 

參數(shù)含義