tcpdump抓包

• 命令安装

yum -y install tcpdump

tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 来源 ip.
-i interface：指定 tcpdump 需要监听的接口
-n 对地址以数字方式显式，否则显式为主机名
-nn 除了-n 的作用外，还把端口显示为数值，否则显示端口服务名
-X 输出包的头部数据，会以 16 进制和 ASCII 两种方式同时输出
-vv 产生更详细的输出

• ping测试

[root@localhost ~]# ping 192.168.108.88 -c 1
PING 192.168.108.88 (192.168.108.88) 56(84) bytes of data.
64 bytes from 192.168.108.88: icmp_seq=1 ttl=64 time=0.120 ms

--- 192.168.108.88 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.120/0.120/0.120/0.000 ms

• 抓包显示

[root@Yong-Test ~]# tcpdump -i ens160 -nn -X -vv icmp  and ip host 192.168.108.44
第一组显示ip从192.168.108.44到192.168.108.88，接收数据包
18:35:55.376897 IP (tos 0x0, ttl 64, id 58011, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.108.44 > 192.168.108.88: ICMP echo request, id 24347, seq 1, length 64
	0x0000:  4500 0054 e29b 4000 4001 fe37 c0a8 6c2c  E..T..@.@..7..l,
	0x0010:  c0a8 6c58 0800 ebd1 5f1b 0001 0b26 e55c  ..lX...._....&.
	0x0020:  0000 0000 f8bb 0500 0000 0000 1011 1213  ................
	0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
	0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
	0x0050:  3435 3637                                4567
第二组显示ip从192.168.108.88到192.168.108.44，返回数据包
18:35:55.376937 IP (tos 0x0, ttl 64, id 10350, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.108.88 > 192.168.108.44: ICMP echo reply, id 24347, seq 1, length 64
	0x0000:  4500 0054 286e 0000 4001 f865 c0a8 6c58  E..T(n..@..e..lX
	0x0010:  c0a8 6c2c 0000 f3d1 5f1b 0001 0b26 e55c  ..l,...._....&.
	0x0020:  0000 0000 f8bb 0500 0000 0000 1011 1213  ................
	0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
	0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
	0x0050:  3435 3637                                4567
2 packets captured
2 packets received by filter
0 packets dropped by kernel

• 保存到文件（-w 参数），使用Wireshark分析

tcpdump -i eth0 -nn -X -vv  tcp port 80  and ip host 10.10.10.32 -w ./filename.cap

• 保存到文件（-w 参数），同时使用-C 参数，可以切割保存文件大小，单位1,000,000字节。

# -C 100 指定保存文件filename.cap的大小为100*1,000,000字节，即不大于100Mb。大概为95兆左右。
tcpdump -i eth0 -nn -X -vv  tcp port 80 -C 100 -w ./filename.cap

• 抓取 ftp 登录过程,21端口，来自于192.168.160.1，在eth网卡，tcp协议

tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 192.168.160.1

• 抓的80端口的包

tcpdump -i eth0 -nn -X -vv tcp port 80 

• ping 简介

  • ping是ICMP协议，并不是通常所说的 TCP/UDP 端口。
  • ping也属于一个通信协议，是TCP/IP协议的一部分。
  • 利用"ping"命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。
  • Ping发送一个ICMP（Internet Control Messages Protocol）即因特网信报控制协议；
  • 回声请求消息给目的地并报告是否收到所希望的ICMPecho （ICMP回声应答）。
  • 它是用来检查网络是否通畅或者网络连接速度的命令。