Tcpdump介绍
Tcpdumph会打印输出一个满足条件的网络接口上数据包内容。 它也可以用-w标志运行,这样它将数据信息保存到一个文件中供以后分析,或使用-r标志,从保存的文件中读取数据。它也可以用-V标志运行,使其读取已保存的数据包文件列表。 在任何情况下,只有匹配表达式的数据包才会被tcpdump处理。
如果Tcpdump没有指定-c选项,它将不断捕获数据包,直到它被一个SIGINT信号(例如,通过输入中断字符,通常为control+c)或一个SIGTERM信号(通常由kill (1)命令)中断。如果使用-c标志运行,它将捕获数据包,直到数据包数量到-c为止。
在支持SIGINFO信号的平台上,比如大多数BSD(包括Mac OS X)和Digital / Tru64 UNIX,它会在接收到SIGINFO信号(例如,通过输入“status”字符 ,通常是control-T,尽管在一些平台上,比如Mac OS X,“status”字符默认没有设置,所以你必须设置stty(1)才能使用它),并继续捕获数据包。
Tcpdump命令格式
tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ -P in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ expression ]
虽然上面这么多参数看着都让人头疼,其实总结出来很简单:tcpdump option filter,其中option表示选项,而filter则表示过滤条件,你要对什么进行过滤,filter可以是单个条件(tcp、src、host xxx),也可以将这些单一的参数进行组合,比如:dst port 3306 and src port 58895
Tcpdump选项
-i 选项:表示tcpdump监听端口,如果不指定,那么会搜索所有的网络接口
~ ]# tcpdump -i ens33 # 在ens33这个网络接口监听
~ ]# tcpdump -i any # linux 2.2以上支持 -i any,可以监听所有端口
-n 选项:不要把ip转换为主机名
~ ]#tcpdump -i ens33 -n
-w -选项,-w为把内容write到某个地方, -表示标准输出 也就是输出到标准输出中,下面是一个超级有用的命令,把包的数据,用字符展示出来。
~ ]# tcpdump -i ens33 -w - | strings
~ ]# tcpdump -w test.cap # 把抓包结果写入test.cap中,方便wireshark分析
-C num选项:如果test.cap 超过num大小,则新开一个文件, -C fileSize , 单位是MB
~ ]# tcpdump -C 1 -w test.cap
-r 选项: 从某个文件读取
~ ]# tcpdump -n -r test.cap
-X 选项:以十六进制以及ASCII的形式打印数据内容。
~ ]# tcpdump -X
~ ]# tcpdump -x # 除了打印出header外,还打印packet里面的数据(十六进制的形式)
~ ]# tcpdump -xx # 以十六进制的形式打印header, data内容
- A 选项,把每一个packet都用以ASCII的形式打印出来
~ ]# tcpdump -i ens33 -A host www.itshouce.com.cn
-c # 表示收到 # 个packet就退出
~ ]# tcpdump -i ens33 -A -c 3 172.18.14.55 # 接收三个包就退出
-D 选项:看目前机器上有哪些网络接口
~ ]# tcpdump -D
1.nflog (Linux netfilter log (NFLOG) interface)
2.nfqueue (Linux netfilter queue (NFQUEUE) interface)
3.usbmon1 (USB bus number 1)
4.usbmon2 (USB bus number 2)
5.ens33
6.ens34
7.ens33 (Pseudo-device that captures on all interfaces)
8.lo
-e 选项:把连接层的头打印出来
~ ]# tcpdump -i ens33 -e
16:49:14.658811 78:e3:b5:82:39:1b (oui Unknown) > 00:0c:29:66:59:95 (oui Unknown), ethertype IPv4 (0x0800), length 60: 172.18.14.200.59324 > node1.ssh: Flags [.], ack 40028648, win 2, length 0
-j 选项,修改时间格式
~ ]# tcpdump -i ens33 -j timestamp type # 可以修改输出的时间格式,
~ ]# tcpdump -J
# 显示支持的时间格式 : List the supported time stamp types for the interface and exit. If the time stamp type cannot be set for the interface, no time stamp types are listed。
-l 选项:把stdout bufferd住,当你既想在屏幕上看结果,又想把结果输出到文件中时,比较有用
~ ]# tcpdump -l
# 可以配合tee命令,在屏幕上显示dump内容,并把内容输出到dump.log中,如下
~ ]# tcpdump -l |tee dump.log # or下面这种写法
~ ]# tcpdump -l > dump.log &tail -f dump.log
-q 选项: 就是quiect output, 静默输出,尽量少的打印一些信息
~ ]# tcpdump -q
-S 选项:打印真实的,绝对的tcp seq no
~ ]# tcpdump -i ens33 -S
-s 选型:指定包大小,默认抓取包长度是65535,
~ ]# tcpdump # capture sieze 65535l
~ ]# tcpdump -s 256 # 我们设置为256 该参数目的:减少抓包文件的大小
-t 选项:不要打时间戳,
~ ]# tcpdump -i ens33 -t
-tt 选项:打出timstamp,从1970-1-1 以来的秒数,以及微秒数。
~ ]# tcpdump -i ens33 -tt
-v 选项:verbose,即打印详细信息。
~ ]# tcpdump -i ens33 -v # 打印出详细结果,如ttl值
~ ]# tcpdump -i ens33 -vv # 打印出更加详细的结果 如window, checksum等
Tcpdump过滤项
下面所有测试中都有 -i ens33的选项,表示抓取ens33网络接口上的包,只是为了让测试方便。你可以指定所有端口:-i any。
# 抓取arp协议的包,然后host为192.168.199.* 测试时需要在另一个session,做一个ifconfig指令。arp可以换为tcp,udp等。
~ ]# tcpudmp -i ens33 -n arp host 192.168.199
22:39:58.991043 ARP, Request who-has 192.168.199.125 tell 192.168.199.1, length 28
22:39:58.991059 ARP, Reply 192.168.199.125 is-at a4:5e:60:dc:d0:d9, length 28
# 抓取访问destination 80端口的包,然后我们做一个curl www.baidu.com的操作。
~ ]# tcpdump -i ens33 -n dst port 80
22:53:06.041382 IP 192.168.199.125.63161 > 119.75.219.45.80: Flags [F.], seq 0, ack 1, win 65535, length 0
# 抓取源上端口是80的包
~ ]# tcpdump -i ens33 -n src port 80
22:57:48.343422 IP 112.80.248.73.80 > 192.168.199.125.63275: Flags [.], seq 38478:39918, ack 78, win 193, length 1440
# 抓取源或者目标端口都是80的包
~ ]# tcpdump -i ens33 -n port 80
22:58:51.165333 IP 112.80.248.74.80 > 192.168.199.125.63298: Flags [F.], seq 100439, ack 79, win 193, length 0
# 表示抓取destination prot 在1到80之间的端口的数据
~ ]# tcpdump -i ens33 -n dst portrange 1-80
# 抓取源的端口是20-80的包
~ ]# tcpdump -i ens33 -n src portrange 20-80
# 抓取端口是20-80的包,不考虑源
~ ]# tcpdump -i ens33 -n portrange 20-80
# 抓取destination为www.baidu.com的包
~ ]# tcpdump -i ens33 dst www.baidu.com
# 在另外的session中ping www.baidu.com ,以及 在浏览器中访问www.baidu.com
# 抓取destination为192.168.14.55的包
~ ]# tcpdump -i ens33 dst 192.168.14.55
# 抓取destination为192.168.1.[0-255]的包
~ ]# tcpdump -i ens33 dst 192.168.1 # 也可以指定范围
# 抓取source为192.168.*.*的包, 使用-n 则只是为了显示ip,而不是主机名,
~ ]# tcpdump -i ens33 -n src 192.168
22:30:50.490355 IP 192.168.199.125.61086 > *.*.*.*.341: Flags [.], ack 56, win 8185, options [nop,nop,TS val 1239157627 ecr 1580310986], length 0
# 抓取192.168的包(不管是source还是destination )
~ ]# tcpdump -i ens33 -n host 192.168
22:38:07.580567 IP *.*.*.*.34186 > 192.168.199.125.61086: Flags [P.], seq 787907565:787907668, ack 871423065, win 126, options [nop,nop,TS val 1580748123 ecr 1239593243], length 103
# 抓取包长度小于800的包
~ ]# tcpudmp -i ens33 -n less 800
21:09:17.687673 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385
# 抓取包长度大于800的包
~ ]# tcpdump -i ens33 -n greater 800
21:13:21.801351 IP 192.168.199.125.64826 > *.*.*.*.80: Flags [P.], seq 2155:3267, ack 44930, win 8192, length 1112
# 只抓取tcp包
~ ]# tcpdump -i ens33 -n tcp
1:21:18.777815 IP 192.168.199.125.50249 > *.*.*.*.443: Flags [.], ack 75, win 4093, options [nop,nop,TS val 1269008649 ecr 44997038], length 0
# 只抓取udp包
~ ]# tcpdump -i ens33 -n udp
21:22:48.434449 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385
# 只抓取icmp的包,internet控制包
~ ]# tcpdump -i ens33 -n icmp
21:25:42.550374 IP 192.168.199.1 > 192.168.199.125: ICMP *.*.*.* unreachable - need to frag (mtu 1480), length 556