一、命令简介
tcpdump,用简单的语言概括就是dump the traffic on a network,是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有sniffer等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。
1.1:命令选项:
- a 将网络地址和广播地址转变成名字
- A 以ASCII格式打印出所有分组,并将链路层的头最小化
- b 数据链路层上选择协议,包括ip/arp/rarp/ipx都在这一层
- c 指定收取数据包的次数,即在收到指定数量的数据包后退出tcpdump
- d 将匹配信息包的代码以人们能够理解的汇编格式输出
- dd 将匹配信息包的代码以c语言程序段的格式输出
- ddd 将匹配信息包的代码以十进制的形式输出
- D 打印系统中所有可以监控的网络接口
- e 在输出行打印出数据链路层的头部信息
- f 将外部的Internet地址以数字的形式打印出来,即不显示主机名
- F 从指定的文件中读取表达式,忽略其他的表达式
- i 指定监听网络接口
- l 使标准输出变为缓冲形式,可以数据导出到文件
- L 列出网络接口已知的数据链路
- n 不把网络地址转换为名字
- N 不输出主机名中的域名部分,例如www.baidu.com只输出www
- nn 不进行端口名称的转换
- P 不将网络接口设置为混杂模式
- q 快速输出,即只输出较少的协议信息
- r 从指定的文件中读取数据,一般是-w保存的文件
- w 将捕获到的信息保存到文件中,且不分析和打印在屏幕
- s 从每个组中读取在开始的snaplen个字节,而不是默认的68个字节
- S 将tcp的序列号以绝对值形式输出,而不是相对值
- T 将监听到的包直接解析为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
- t 在输出的每一行不打印时间戳
- tt 在每一行中输出非格式化的时间戳
- ttt 输出本行和前面以后之间的时间差
- tttt 在每一行中输出data处理的默认格式的时间戳
- u 输出未解码的NFS句柄
- v 输出稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
- vv 输出相信的保报文信息
二、tcpdump的表达式:
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获,在表达式中一般如下几种类型的关键字:
2.1 tcpdump命令关键字
1:关于数据类型的关键字:
包括host、port、net,例如host 192.168.1.1表示这是一台主机,net 192.168.0.0表示这是一个网络地址,port 22指明端口号是22,如果没有指明类型,则默认的类型是host。
2:数据传输方向的关键字:
包括src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如src 192.168.1.1说明数据包源地址是192.168.1.1,dst net 192.168.0.0指明目的网络地址是192.168.0.0,默认是监控主机对主机的src和dst,即默认监听本机和目标主机的所有数据。
3:协议关键字:
包括ip、arp、rarp、tcp、udp等,
4:其他关键字:
运算类型的:or、and、not、!
辅助功能型的:gateway、less、broadcast、greater
2.2 tcpdump捕获示例
默认监听在第一块网卡上,监听所有经过此网卡通过的数据包
1:tcpdump -i eth0 监听指定网卡eth0的所有传输数据包:
2:tcpdump -i eth0 host 192.168.56.1 捕获主机192.168.56.1经过本机网卡eth0的所有数据包(也可以是主机名,但要求可以解析出来IP地址)
3:tcpdump host 192.168.56.209 and ( 192.168.56.210 or 192.168.56.211 ) 捕获主机 192.168.56.209 和主机192.168.56.210或192.168.56.211的所有通信数据包
4:tcpdump ip host node9 and not www.baidu.com 捕获主机node9与其他主机之间(不包括www.baidu.com)通信的ip数据包
5:tcpdump ip host node9 and ! www.baidu.com 捕获node9与其他所有主机的通信数据包(不包括www.baidu.com)
6:tcpdump -i eth0 src node10 捕获源主机node10发送的所有的经过eth0网卡的所有数据包
7:tcpdump -i eth0 dst host www.baidu.com 捕获所有发送到主机www.baidu.com的数据包
8:监听主机192.168.56.1和192.168.56.210之间ip协议的80端口的且排除www.baidu.com通信的所有数据包:
`tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.baidu.com`
也可以写成
`tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host not www.baidu.com`
即not和!都是相同的取反的意思
9:捕获arp的协议数据包:
`tcpdump arp` #监控指定主机的通信数据包与1.9.1方式相同
10:捕获指定主机和端口的数据包:
a、tcpdump tcp port 22 and host 192.168.56.210 捕获主机192.168.56.210接收和发出的tcp协议的ssh的数据包:
b、tcpdump udp port 53 监听本机udp的53端口的数据包,udp是dns协议的端口,这也是一个dns域名解析的完整过程
总结:tcpdump的语法类似于mysql查询语句,可以指定各种查询的条件进行组合,还可以进行与或非的条件判断进行更精确的数据搜集,语法如下:
tcpdump [协议类型] [源或目标] [主机名称或IP] [or/and/not/!条件组合] [源或目标] [主机名或IP] [or/and/not/!条件组合] [端口] [端口号] …… [or/and/not/!条件组合] [条件]
示例:
tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.baidu.com