zoukankan      html  css  js  c++  java
  • UNIX系统上的抓包工具tcpdump常用命令说明

    tcpdump 介绍

    tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。

    不带任何选项的tcpdump,默认会抓取第一个网络接口,且只有将tcpdump进程终止才会停止抓包。

    例如:

    
    tcpdump - dump traffic on a network
    
    

    tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具

    tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息

    tcpdump安装

    通常情况下,该工具默认是已经安装好,可以使用 tcpdump --version命令查看是否安装

    • 已经安装的话,可以查看版本信息
    
    [root@localhost ~]# tcpdump --version
    
    tcpdump version 4.9.2
    
    libpcap version 1.5.3
    
    OpenSSL 1.0.2k-fips 26 Jan 2017
    
    
    • 没有安装,则会提示命令没找到
    
    [root@localhost ~]# tcpdump --version
    
    -bash: tcpdump: command not found
    
    

    yum安装

    
    yum install tcpdump
    
    

    源码安装

    
    # flex   
    
    yum -y install flex  
    
    
    
    # bison  
    
    yum -y install bison
    
    wget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz    
    
    wget http://www.tcpdump.org/release/tcpdump-4.5.1.tar.gz    
    
    tar -zxvf libpcap-1.5.3.tar.gz    
    
    cd libpcap-1.5.3    
    
    ./configure    
    
    sudo make install    
    
    cd .. / 
    
    tar -zxvf tcpdump-4.5.1.tar.gz    
    
    cd tcpdump-4.5.1    
    
    ./configure    
    
    sudo make install   
    
    

    tcpdump选项

    使用tcpdump --help则可以查看它的命令格式

    [root@localhost ~]# tcpdump --help
    
    tcpdump version 4.9.2
    
    libpcap version 1.5.3
    
    OpenSSL 1.0.2k-fips  26 Jan 2017
    
    Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
    
                    [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
    
                    [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
    
                    [ -Q|-P in|out|inout ]
    
                    [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
    
                    [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
    
                    [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
    
                    [ -Z user ] [ expression ]
    
    
    
    • 抓包选项:

    -c:指定要抓取的包数量。

    -i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口

    -n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。

    -nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。

    -P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。

    -s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,
    :输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,
    :从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。

    • 输出选项:

    -e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。

    -q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。

    -X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。

    -XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。

    -v:当分析和打印的时候,产生详细的输出。

    -vv:产生比-v更详细的输出。
    -vvv:产生比-vv更详细的输出。

    
    [root@localhost ~]# tcpdump -i ens192 tcp -nn -X -c 10
    
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    
    listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
    
    08:54:56.494187 IP 10.15.247.72.22 > 10.10162.243.51546: Flags [P.], seq 1398502444:1398502620, ack 3022776686, win 908, length 176
    
            0x0000: 4510 00d8 22ed 4000 4006 68d5 0a0a f747 E...".@.@.h....G
    
            0x0010: 0a09 a2f3 0016 c95a 535b 742c b42b e96e .......ZS[t,.+.n
    
            0x0020: 5018 038c af18 0000 c9d9 0e04 1e69 3c46 P............i<F
    
            0x0030: 288a bb0a 30fc de9f 2f9b 4dfc bab3 b36f (...0.../.M....o
    
            0x0040: 21dc e594 7e26 7f65 4f1e e566 b323 252e !...~&.eO..f.#%.
    
            0x0050: b940 6703 19d6 7434 e641 2e44 31a2 f74d .@g...t4.A.D1..M
    
            0x0060: 70a8 219b d701 b578 7e85 7e05 481f d22a p.!....x~.~.H..*
    
            0x0070: 8b8f 1b43 9165 c728 3b36 462f f9c3 e889 ...C.e.(;6F/....
    
            0x0080: 0223 d841 05b2 447f 8438 d0b8 bbea 1195 .#.A..D..8......
    
            0x0090: ff1c 85b5 93c1 8e10 9f21 a45c f52f ca95 .........!../..
    
            0x00a0: 46c1 730a 9635 5df1 9018 c1f5 46d9 57cd F.s..5].....F.W.
    
            0x00b0: 3074 16a6 bde6 1661 c86f 61ff 72c7 15a0 0t.....a.oa.r...
    
            0x00c0: 62cc c8fc 6a30 353f e359 ce7c bbdb fecd b...j05?.Y.|....
    
            0x00d0: 352a 2766 6740 ef78 5*'fg@.x
    
    08:54:56.494693 IP 10.10.247.71.22 > 10.9.162.243.51546: Flags [P.], seq 176:784, ack 1, win 908, length 608
    
            0x0000: 4510 0288 22ee 4000 4006 6724 0a0a f747 E...".@.@.g$...G
    
            0x0010: 0a09 a2f3 0016 c95a 535b 74dc b42b e96e .......ZS[t..+.n
    
            0x0020: 5018 038c b0c8 0000 89da aa2d 3d3b 491e P..........-=;I.
    
            0x0030: 2c5e e4a1 d07f b6bb 79e1 e8f2 83f5 6e08 ,^......y.....n.
    
            0x0040: cec3 8434 182d d17a 5c8d 121f e758 c982 ...4.-.z....X..
    
            0x0050: b6a9 4de1 a79a 18c0 c6ce 86ad 67a6 562c ..M.........g.V,
    
            0x0060: c982 b6bb e61a 9c1f 3c24 5866 b579 f710 ........<$Xf.y..
    
            0x0070: 4757 296b e2b3 51e1 6ecc 8a1f 6974 134e GW)k..Q.n...it.N
    
            0x0080: 2c3c 26f7 d081 2588 6f4c a523 a9c9 ce3f ,<&...%.oL.#...?
    
            0x0090: 4716 fa42 99d8 b91b c7b6 1bd2 fc08 7516 G..B..........u.
    
            0x00a0: 87a8 8114 fd73 6243 4526 6b6c c825 2d44 .....sbCE&kl.%-D
    
            0x00b0: c36e ee0f 7e0f a84d 62d4 03dc 5f1d 8a80 .n..~..Mb..._...
    
            0x00c0: c094 8c18 cd29 a7d9 7674 beaa 3397 f0f0 .....)..vt..3...
    
            0x00d0: dc6d e0b0 a56e a135 54a3 0d13 6cfb 8eb2 .m...n.5T...l...
    
            0x00e0: 4669 70ab 16e7 cbab 5d43 e9ab dac6 780d Fip.....]C....x.
    
            0x00f0: f68e 3b1b c7ed 1fb9 b043 e687 2f8e e09e ..;......C../...
    
            0x0100: 6c8e 9cab 8680 cebc 56bd 760a 9c35 0cf7 l.......V.v..5..
    
            0x0110: 20e1 47b1 8569 323f 6b4c 0220 6a0f de9e ..G..i2?kL..j...
    
    ...
    
    
    • 其他功能性选项:

    -D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。

    -F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。

    -w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G

    time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。

    -r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

    • 所以常用的选项也就这几个:

    tcpdump -D

    tcpdump -c num -i int -nn -XX -vvv

    tcpdump表达式

    表达式用于筛选输出哪些类型的数据包,如果没有给定表达式,所有的数据包都将输出,否则只输出表达式为true的包。在表达式中出现的shell元字符建议使用单引号包围。

    tcpdump的表达式由一个或多个"单元"组成,每个单元一般包含ID的修饰符和一个ID(数字或名称)。有三种修饰符:

    • .type:指定ID的类型

    可以给定的值有host, net, port, portrange,默认的type为host

    例如:host 192.168.73.128 , net 128.3, port 20, portrange 6000-6008'

    • dir:指定ID的方向

    可以给定的值包括src/dst/src or dst/src and dst,默认为src or dst。

    例如,"src foo"表示源主机为foo的数据包,"dst net 128.3"表示目标网络为128.3的数据包,"src or dst port 22"表示源或目的端口为22的数据包。

    • proto:通过给定协议限定匹配的数据包类型

    常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。

    例如"tcp port 21","udp portrange 7000-7009"。

    所以,一个基本的表达式单元格式为"proto dir type ID"

    表达式单元之间可以使用操作符" and / && / or / || / not / ! "进行连接,从而组成复杂的条件表达式

    如"host foo and not port ftp and not port ftp-data",这表示筛选的数据包要满足"主机为foo且端口不是ftp(端口21)和ftp-data(端口20)的包",常用端口和名字的对应关系可在linux系统中的/etc/service文件中找到。

    另外,同样的修饰符可省略,如"tcp dst port ftp or ftp-data or domain"与"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意义相同,都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。

    使用括号"()"可以改变表达式的优先级,但需要注意的是括号会被shell解释,所以应该使用反斜线""转义为"()",在需要的时候,还需要包围在引号中。

    tcpdump常用命令示例

    注:tcpdump只能抓取流经本机的数据包

    1. 默认启动,不加任何参数

    tcpdump
    默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。ctrl +c 退出

    2 . 监视指定网络接口的数据包

    tcpdump -i ens33
    

    3. 监视指定主机的数据包,例如所有进入或离开node1的数据包(可以写主机名,也可以写ip)

    tcpdump -i ens33  host node1
    

    4. 通过网卡ens33来监听端口80发出去的host包到192.168.73.133的报文

    tcpdump -i ens33 port 80 and dst host "192.168.73.133"
    

    5. 打印node1与任何其他主机之间通信的IP数据包,但不包括与node4之间的数据包

    tcpdump -i ens33 host node1 and not node4
    

    6. 截获主机node1 发送的所有数据

    tcpdump -i ens33 src host node1
    

    7. 监视任意网卡目标是192.168.73.*的80端口的数据包

    tcpdump any port 80 and dst host "192.168.73.*"
    

    8. 监视指定主机和端口的数据包

    tcpdump -i ens33 port 8080 and host node1
    

    9. 监视指定网络的数据包,如本机与192.168网段通信的数据包,"-c 10"表示只抓取10个包

    tcpdump -i ens33 -c 10 net 192.168
    

    10. 打印所有通过网关snup的ftp数据包

    tcpdump 'gateway snup and (port ftp or ftp-data)'
    

    注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析

    11. 抓取ping包

    tcpdump -c 5 -nn -i ens33 
    
    ==指定主机抓ping包==
    tcpdump -c 5 -nn -i ens33 icmp and src 192.168.73.133
    

    12. 抓取到本机22端口包

    tcpdump -c 10 -nn -i ens33 tcp dst port 22
    

    13. 解析包数据

    [root@elk-master ~]# tcpdump -c 2 -q -XX -vvv -nn -i ens33 tcp dst port 22
    tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
    10:29:05.724783 IP (tos 0x0, ttl 64, id 2031, offset 0, flags [DF], proto TCP (6), length 40)
        192.168.73.1.61453 > 192.168.73.133.22: tcp 0
            0x0000:  000c 290b 9534 0050 56c0 0008 0800 4500  ..)..4.PV.....E.
            0x0010:  0028 07ef 4000 4006 1f0a c0a8 4901 c0a8  .(..@.@.....I...
            0x0020:  4985 f00d 0016 f675 9adb 7cab 7aa8 5010  I......u..|.z.P.
            0x0030:  1007 132d 0000 0000 0000 0000            ...-........
    10:29:05.766565 IP (tos 0x0, ttl 64, id 2032, offset 0, flags [DF], proto TCP (6), length 40)
        192.168.73.1.61453 > 192.168.73.133.22: tcp 0
            0x0000:  000c 290b 9534 0050 56c0 0008 0800 4500  ..)..4.PV.....E.
            0x0010:  0028 07f0 4000 4006 1f09 c0a8 4901 c0a8  .(..@.@.....I...
            0x0020:  4985 f00d 0016 f675 9adb 7cab 7b48 5010  I......u..|.{HP.
            0x0030:  1006 128e 0000 0000 0000 0000            ............
    2 packets captured
    2 packets received by filter
    0 packets dropped by kernel
    
    
    

    14. 指定目录保存抓到的ens33网卡上的22端口包数据

    tcpdump  -i ens33 tcp port 22 -w /tmp/22.pcap
    注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的包可以使用wireshark工具打开进行分析
    

    15. 后台滚动抓包

    有的时候因为问题不是立马复现,需要后台进行抓包保存,但是如果都抓到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行抓包命令,并且按照时间对每个包进行命名,当不需要抓包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可

    nohup tcpdump -i ens33 port 22 -s0 -G 3600 -Z root -w ssh22_%Y_%m%d_%H%M_%S.pcap &
    

    16. 后台指定包的数量,然后滚动抓包,执行完指定数量自动结束

    网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改

    nohup tcpdump -i ens33 port 22 -s0 -G 3600 -W 1 -Z root -w ssh22_%Y_%m%d_%H%M_%S.pcap &
    
  • 相关阅读:
    Windows操作系统堆和栈的区别
    API1——CppSparseFile
    typedef struct 用法详解和用法小结
    开发人员应该用好的一些网站
    Windows编程中的堆管理
    在VC中编译、运行程序的小知识点
    Script:列出数据库中5%以上链式行的表
    解决Linux上11g的ORA00845错误
    Oracle内部错误:ORA00600[kfioTranslateIO03]一例
    Oracle内部错误:ORA00600[2608]一例
  • 原文地址:https://www.cnblogs.com/double-dong/p/12204778.html
Copyright © 2011-2022 走看看