tcpdump

TCPDUMP 
tcpdump 是一个用于截取网络分组，并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

tcpdump 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

安装使用：
# yum install tcpdump -y

tcpdump 使用：

tcpdump 表达式介绍：
表达式是一个正则表达式，tcpdump 利用它作为过滤报文的条件，如果一个报文满足表 达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包 将会被截获。
在表达式中一般如下几种类型的关键字：

1、关于类型的关键字，主要包括host，net，port，例如 host 172.16.2.4， 指明 172.16.2.4是一台主机，net 172.16.2.2指明172.16.2.2是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host。 
2、确定传输方向的关键字，主要包括src，dst，dst or src，dst and src， 这些关键字指明了传输的方向。举例说明，src 172.16.2.4 ，指明ip包中源地址是 172.16.2.4 ， dst net 172.16.2.2 指明目的网络地址是172.16.2.2。如果没有指明 方向关键字，则缺省是src or dst关键字。 
3、协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议，实际上它是”ether”的别名，fddi和ether 具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump 将会 监听所有协议的信息包。　　
4、其他重要的关键字如下：gateway， broadcast，less， greater， 还有三种逻辑运算，取非运算是 ‘not ' '! ‘， 与运算是’and’，’&&';或运算是’or’ ，’||’； 这些关键字可以组合起来构成强大的组合条件来满足日常工作的需要。

tcpdump 常用命令：

二、选项介绍

-A 以ASCII格式打印出所有分组，并将链路层的头最小化。 
-c 在收到指定的数量的分组后，tcpdump就会停止。 
-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。 
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。 
-dd 将匹配信息包的代码以c语言程序段的格式给出。 
-ddd 将匹配信息包的代码以十进制的形式给出。 
-D 打印出系统中所有可以用tcpdump截包的网络接口。 
-e 在输出行打印出数据链路层的头部信息。 
-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。 
-f 将外部的Internet地址以数字的形式打印出来。 
-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。 
-i 指定监听的网络接口。 
-l 使标准输出变为缓冲行形式，可以把数据导出到文件。 
-L 列出网络接口的已知数据链路。 
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。 
-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。 
-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
-n 不把网络地址转换成名字。
-nn 不进行端口名称的转换。
-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。 
-t 在输出的每一行不打印时间戳。 
-O 不运行分组分组匹配（packet-matching）代码优化程序。 
-P 不将网络接口设置成混杂模式。 
-q 快速输出。只输出较少的协议信息。 
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。 
-S 将tcp的序列号以绝对值形式输出，而不是相对值。 
-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。 
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。 
-t 不在每一行中输出时间戳。 
-tt 在每一行中输出非格式化的时间戳。 
-ttt 输出本行和前面一行之间的时间差。 
-tttt 在每一行中输出由date处理的默认格式的时间戳。 
-u 输出未解码的NFS句柄。 
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。 
-vv 输出详细的报文信息。 
-w 直接将分组写入文件中，而不是不分析并打印出来。

1、 ARP 包的 tcpdump 输出信息

　　# tcpdump arp

　　打印 输出 ARP 信息 

2、使用命令：

tcpdump 命令格式为：
tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae] [-qX] [-r 文件] [所欲捕获的数据内容]
参数：
　　-nn，直接以 IP 及 Port Number 显示，而非主机名与服务名称。
　　-i，后面接要「监听」的网络接口，例如 eth0, lo, ppp0 等等的接口。
　　-w，如果你要将监听所得的数据包数据储存下来，用这个参数就对了。后面接文件名。
　　-c，监听的数据包数，如果没有这个参数， tcpdump 会持续不断的监听，直到用户输入 [ctrl]-c 为止。
　　-A，数据包的内容以 ASCII 显示，通常用来捉取 WWW 的网页数据包资料。
　　-e，使用资料连接层 (OSI 第二层) 的 MAC 数据包数据来显示。
　　-q，仅列出较为简短的数据包信息，每一行的内容比较精简。
　　-X，可以列出十六进制 (hex) 以及 ASCII 的数据包内容，对于监听数据包内容很有用。
　　-r，从后面接的文件将数据包数据读出来。那个「文件」是已经存在的文件，并且这个「文件」是由 -w 所制作出来的。

其它方法：
　　'host foo', 'host 127.0.0.1' ：针对单台主机来进行数据包捕获。
　　'net 172.16.2.0' ：针对某个网段来进行数据包的捕获。
　　'src host 127.0.0.1' 'dst net 172.16.2.0'：同时加上来源(src)或目标(dst)限制。
　　'tcp port 21'：还可以针对通信协议检测，如tcp、udp、arp、ether 等。
　　除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,
　　greater,还有三种逻辑运算，取非运算是 'not' '!', 与运算是'and','&&';或运算 是'or' ,'||'；

 3、tcpdump 示例：

1、想要截获所有172.16.2.43 的主机收到的和发出的所有的分组： 
# tcpdump host 172.16.2.43 

2、想要截获主机172.16.2.43 和主机172.16.2.3 或 172.16.2.4的通信，使用命令（注意：括号前的反斜杠是必须的）： 
#tcpdump host 172.16.2.43 and 172.16.2.3or172.16.2.4

3、如果想要获取主机172.16.2.43除了和主机172.16.2.4之外所有主机通信的ip包，使用命令： 
#tcpdump ip host 172.16.2.43 and ! 172.16.2.4

4、如果想要获取主机172.16.2.43接收或发出的ssh包，并且不转换主机名使用如下命令： 
#tcpdump -nn -n src host 172.16.2.43 and port 22 and tcp

5、获取主机172.16.2.43接收或发出的ssh包，并把mac地址也一同显示：
# tcpdump -e src host 172.16.2.43 and port 22 and tcp -n -nn

6、过滤的是源主机为172.16.2.23 与目的网络为172.16.2.2 的报头：
tcpdump src host 172.16.2.23 and dst net 172.168.2.2/24 

7、过滤源主机物理地址为XXX的报头：
tcpdump ether src 00:50:04:BA:9B and dst……

8、过滤源主机172.16.2.23和目的端口不是telnet的报头，并导入到tes.t.txt文件中：
Tcpdump src host 172.16.2.23 and dst port not telnet -l > test.txt
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

9、抓取所有经过 eth0，目的或源地址是 172.16.2.23 的网络数据
命令：tcpdump -n -i eth0 host 172.16.2.23

　　# 源地址
　　命令：tcpdump -i eth1 src host 172.16.2.23
　　# 目的地址
　　命令：tcpdump -i eth1 dst host 172.16.2.23

10、抓取当前服务器eth0网卡端口8080的网络数据
命令：tcpdump -n -i eth0 port 8080

11、抓取mysql执行的sql语句
命令：tcpdump -i eth1 -s 0 -l -w - dst port 3306 | strings

12、抓取mysql通讯的网络包(cap用wireshark打开)
命令tcpdump -n -nn -tttt -i eth0 -s 65535 'port 3306' -w 20160505mysql.cap

13、抓取SMTP 数据
命令：tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

14、抓取HTTP GET数据，"GET "的十六进制是 47455420
命令：tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

15、抓取SSH返回，"SSH-"的十六进制是 0x5353482D
命令：tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

16、实时抓取端口号8080的GET包，然后写入GET.log
命令：tcpdump -i eth0 '((port 8080) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

17、抓取指定SYN个数，-c 参数指定抓多少个包。
命令：time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10

18、以 IP 与 Port Number 捉下 eth0 这个网卡上的数据包，持续 3 秒
# tcpdump -i eth0 -nn

19、查询当前网卡端口所有的链接；head 默认是前10 行；
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

 20、监听 某一端口的网络数据

　tcpdump -i eth0 -nnn tcp port 8080

　　-i 表示指定网卡 
　　-nnn 指定通信协议 
　　port 指定端口号