写点什么

linux 之抓包神器 tcpdump

作者:入门小站
  • 2022 年 7 月 11 日
  • 本文字数:2088 字

    阅读完需:约 7 分钟

tcpdump 介绍

tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

tcpdump 语法

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]
复制代码

tcpdump 参数

-a    将网络地址和广播地址转变成名字;-d    将匹配信息包的代码以人们能够理解的汇编格式给出;-dd    将匹配信息包的代码以c语言程序段的格式给出;-ddd   将匹配信息包的代码以十进制的形式给出;-e    在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;-f    将外部的Internet地址以数字的形式打印出来;-l    使标准输出变为缓冲行形式;-n    指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字;-nn:   指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示-t    在输出的每一行不打印时间戳;-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;-vv    输出详细的报文信息;-c    在收到指定的包的数目后,tcpdump就会停止;-F    从指定的文件中读取表达式,忽略其它的表达式;-i    指定监听的网络接口;-p:    将网卡设置为非混杂模式,不能与host或broadcast一起使用-r    从指定的文件中读取包(这些包一般通过-w选项产生);-w    直接将包写入文件中,并不分析和打印出来;-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。-T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)-X      告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。
复制代码

监听所有端口,直接显示 ip 地址

> tcpdump -nS
复制代码

显示更详细的数据报文,包括 tos, ttl, checksum 等。

> tcpdump -nnvvS
复制代码

显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出。

> tcpdump -nnvvXS
复制代码

host: 过滤某个主机的数据报文

> tcpdump host 1.2.3.4
复制代码

src, dst: 过滤源地址和目的地址

> tcpdump src 1.2.3.4> tcpdump dst 1.2.3.4
复制代码

net: 过滤某个网段的数据

> tcpdump net 1.2.3.0/24
复制代码

过滤某个协议的数据,支持 tcp, udp 和 icmp

> tcpdump icmp
复制代码

过滤通过某个端口的数据报

> tcpdump port 3306
复制代码

src/dst, port, protocol: 结合三者

> tcpdump src port 22 and tcp> tcpdump udp and src port 25
复制代码

抓取指定范围的端口

> tcpdump portrange 21-23
复制代码

通过报文大小过滤请求,数据报大小,单位是字节

> tcpdump less 32> tcpdump greater 128> tcpdump > 32> tcpdump <= 128
复制代码

抓包输出到文件

> tcpdump -w rumenz.pcap port 80
复制代码

从文件读取报文显示到屏幕

> tcpdump -nXr rumenz.pcap host web
复制代码

源地址是 192.168.1.110,目的端口是 3306 的数据报

> tcpdump -nnvS src 192.168.1.110 and dst port 3306
复制代码

从 192.168 网段到 10 或者 172.31 网段的数据报

> tcpdump -nvX src net 192.168.0.0/16 and dat net 10.0.0.0/8 or 172.31.0.0/16
复制代码

tcpdump 的输出解读

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64)    192.168.1.110.40411 > 192.168.1.123.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0
21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44) 192.168.1.123.80 > 192.168.1.110.40411: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0
21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40) 192.168.1.110.40411 > 192.168.1.123.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0
复制代码


最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口,上面的例子第一条数据报中,源地址 ip 是 192.168.1.110,源端口是 40411,目的地址是 192.168.1.123,目的端口是 80。 > 符号代表数据的方向。


上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文,这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:


[S]: SYN(开始连接)[.]: 没有 Flag[P]: PSH(推送数据)[F]: FIN (结束连接)[R]: RST(重置连接)
复制代码


而第二条数据的 [S.] 表示 SYN-ACK,就是 SYN 报文的应答报文。


原文链接:https://rumenz.com/rumenbiji/linux-tcpdump.html微信公众号:入门小站


  • 回复【1001】获取 linux 常用命令速查手册

  • 回复【10010】获取 阿里云 ECS 运维 Linux 系统诊断

  • 回复【10012】获取 Linux 学习笔记【强悍总结值得一看】

  • 回复【10013】获取 shell 简明教程



发布于: 刚刚阅读数: 2
用户头像

入门小站

关注

还未添加个人签名 2020.01.18 加入

还未添加个人简介

评论

发布
暂无评论
linux之抓包神器tcpdump_Linux_入门小站_InfoQ写作社区