抓包工具tcpdump用法說明
抓包工具tcpdump用法說明
tcpdump採用命令列方式對介面的資料包進行篩選抓取,其豐富特性表現在靈活的表示式上。
不帶任何選項的tcpdump,預設會抓取第一個網路介面,且只有將tcpdump程式終止才會停止抓包。
例如:
shell> tcpdump -nn -i eth0 icmp
下面是詳細的tcpdump用法。
1.1 tcpdump選項
它的命令格式為:
tcpdump [ -DenNqvX ] [ -c count ] [ -F ] [ -i interface ] [ -r ] [ -s snaplen ] [ - ] [ expression ] 抓包選項:注意,是最終要獲取這麼多個包。例如,指定將獲取10個包,但可能已經處理了100個包,只不過只有10個包是滿足條件的包。若未指定該選項,將從系統介面列表中搜尋編號最小的已配置好的介面(不包括loopback介面,要抓取loopback介面使用tcpdump -i lo), :一旦找到第一個符合條件的介面,搜尋馬上結束。可以使用關鍵字表示所有網路介面。 -n:對地址以數字方式顯式,否則顯式為主機名,也就是說-n選項不做主機名解析。-N:不列印出host的域名部分。例如tcpdump將會列印而不是。 -P:指定要抓取的包是流入還是流出的包。可以給定的值為、和,預設為。 -s len:設定tcpdump的資料包抓取長度為len,如果不設定預設將會是65535位元組。對於要抓取的資料包較大時,長度設定不夠可能會產生包截斷,若出現包截斷, :輸出行中會出現的標誌(proto實際會顯示為協議名)。但是抓取len越長,包的處理時間越長,並且會減少tcpdump可快取的資料包的數量, :從而會導致資料包的丟失,所以在能抓取我們想要的包的前提下,抓取長度越小越好。 輸出選項: -e:輸出的。 -q:快速列印輸出。即列印很少的協議相關資訊,從而輸出行都比較簡短。 -X:輸出包的頭部資料,會以16進位制和ASCII兩種方式同時輸出。-v:當分析和列印的時候,產生詳細的輸出。 -vv:產生比-v更詳細的輸出。其他功能性選項:-F:從檔案中讀取抓包的表示式。若使用該選項,則命令列中給定的其他表示式都將失效。 -:將抓包資料輸出到檔案中而不是標準輸出。可以同時配合選項使得輸出檔案每time秒就自動切換到另一個檔案。可通過選項載入這些檔案以進行分析和列印。 -r:從給定的資料包檔案中讀取資料。使用表示從標準輸入中讀取。
所以常用的選項也就這幾個:
- tcpdump -D
- tcpdump -c num -i int -nn -XX -vvv
1.2 tcpdump表示式
表示式用於篩選輸出哪些型別的資料包,如果沒有給定表示式,所有的資料包都將輸出,否則只輸出表示式為true的包。在表示式中出現的shell元字元建議使用單引號包圍。
tcpdump的表示式由一個或多個"單元"組成,每個單元一般包含ID的修飾符和一個ID(數字或名稱)。有三種修飾符:
(1).type:指定ID的型別。
可以給定的值有host/net/port/portrange。例如"host foo","net 128.3","port 20","portrange 6000-6008"。預設的type為host。
(2).dir:指定ID的方向。
可以給定的值包括src/dst/src or dst/src and dst,預設為src or dst。例如,"src foo"表示源主機為foo的資料包,"dst net 128.3"表示目標網路為128.3的資料包,"src or dst port 22"表示源或目的埠為22的資料包。
(3).proto:通過給定協議限定匹配的資料包型別。
常用的協議有tcp/udp/arp/ip/ether/icmp等,若未給定協議型別,則匹配所有可能的型別。例如"tcp port 21","udp portrange 7000-7009"。
所以, 一個基本的表示式單元格式為"proto dir type ID"
除了使用修飾符和ID組成的表示式單元,還有關鍵字表示式單元:gateway,broadcast,less,greater以及算術表示式。
表示式單元之間可以使用操作符" and / && / or / || / not / ! "進行連線,從而組成複雜的條件表示式。如"host foo and not port ftp and not port ftp-data",這表示篩選的資料包要滿足"主機為foo且埠不是ftp(埠21)和ftp-data(埠20)的包",常用埠和名字的對應關係可在linux系統中的/etc/service檔案中找到。
另外,同樣的修飾符可省略,如"tcp dst port ftp or ftp-data or domain"與"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意義相同,都表示包的協議為tcp且目的埠為ftp或ftp-data或domain(埠53)。
使用括號"()"可以改變表示式的優先順序,但需要注意的是括號會被shell解釋,所以應該使用反斜線"\"轉義為"\(\)",在需要的時候,還需要包圍在引號中。
1.3 tcpdump示例
注意,tcpdump只能抓取 流經本機的資料包。
(1).預設啟動
tcpdump
預設情況下,直接啟動tcpdump將監視第一個網路介面(非lo口)上所有流通的資料包。這樣抓取的結果會非常多,滾動非常快。
(2).監視指定網路介面的資料包
tcpdump -i eth1
如果不指定網路卡,預設tcpdump只會監視第一個網路介面,如eth0。
(3).監視指定主機的資料包,例如所有進入或離開longshuai的資料包
tcpdump host longshuai
(4).列印helios<-->hot或helios<-->ace之間通訊的資料包
tcpdump host helios and \( hot or ace \)
(5).列印ace與任何其他主機之間通訊的IP資料包,但不包括與helios之間的資料包
tcpdump ip host ace and not helios
(6).截獲主機hostname傳送的所有資料
tcpdump src host hostname
(7).監視所有傳送到主機hostname的資料包
tcpdump dst host hostname
(8).監視指定主機和埠的資料包
tcpdump tcp port 22 and host hostname
(9).對本機的udp 123埠進行監視(123為ntp的服務埠)
tcpdump udp port 123
(10).監視指定網路的資料包,如本機與192.168網段通訊的資料包,"-c 10"表示只抓取10個包
tcpdump -c 10 net 192.168
(11).列印所有通過閘道器snup的ftp資料包(注意,表示式被單引號括起來了,這可以防止shell對其中的括號進行錯誤解析)
shell> tcpdump 'gateway snup and (port ftp or ftp-data)'
(12).抓取ping包
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:11:23.273638 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 10, length 64 12:11:23.273666 IP 192.168.100.62 > 192.168.100.70: ICMP echo reply, id 16422, seq 10, length 64 12:11:24.356915 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 11, length 64 12:11:24.356936 IP 192.168.100.62 > 192.168.100.70: ICMP echo reply, id 16422, seq 11, length 64 12:11:25.440887 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 12, length 64 packets captured packets received by filter packets dropped by kernel
如果明確要抓取主機為192.168.100.70對本機的ping,則使用and操作符。
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:09:29.957132 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 1, length 64 12:09:31.041035 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 2, length 64 12:09:32.124562 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 3, length 64 12:09:33.208514 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 4, length 64 12:09:34.292222 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 5, length 64 packets captured packets received by filter packets dropped by kernel
注意不能直接寫icmp src 192.168.100.70,因為icmp協議不支援直接應用host這個type。
(13).抓取到本機22埠包
[root@server2 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:06:57.574293 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 535528834, win 2053, length 0 12:06:57.629125 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 193, win 2052, length 0 12:06:57.684688 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 385, win 2051, length 0 12:06:57.738977 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 577, win 2050, length 0 12:06:57.794305 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 769, win 2050, length 0 12:06:57.848720 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 961, win 2049, length 0 12:06:57.904057 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1153, win 2048, length 0 12:06:57.958477 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1345, win 2047, length 0 12:06:58.014338 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1537, win 2053, length 0 12:06:58.069361 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1729, win 2052, length 0 packets captured packets received by filter packets dropped by kernel
(14).解析包資料
[root@server2 ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:15:54.788812 IP (tos 0x0, ttl 64, id 19303, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.1.5788 > 192.168.100.62.22: tcp 0 0x0000: 000c 2908 9234 0050 56c0 0008 0800 4500 ..)..4.PV.....E. 0x0010: 0028 4b67 4000 4006 a5d8 c0a8 6401 c0a8 .(Kg@.@.....d... 0x0020: 643e 169c 0016 2426 5fd6 1fec 2b62 5010 d>....$&_...+bP. 0x0030: 0803 7844 0000 0000 0000 0000 ..xD........ 12:15:54.842641 IP (tos 0x0, ttl 64, id 19304, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.1.5788 > 192.168.100.62.22: tcp 0 0x0000: 000c 2908 9234 0050 56c0 0008 0800 4500 ..)..4.PV.....E. 0x0010: 0028 4b68 4000 4006 a5d7 c0a8 6401 c0a8 .(Kh@.@.....d... 0x0020: 643e 169c 0016 2426 5fd6 1fec 2d62 5010 d>....$&_...-bP. 0x0030: 0801 7646 0000 0000 0000 0000 ..vF........ packets captured packets received by filter packets dropped by kernel
總的來說,tcpdump對基本的資料包抓取方法還是較簡單的。只要掌握有限的幾個選項(-nn -XX -vvv -i -c -q),再組合表示式即可。
About Me
........................................................................................................................ ● 本文作者:小麥苗,部分內容整理自網路,若有侵權請聯絡小麥苗刪除 ● 本文在個人微 信公眾號( DB寶)上有同步更新 ● QQ群號: 230161599 、618766405,微信群私聊 ● 個人QQ號(646634621),微 訊號(db_bao),註明新增緣由 ● 於 2020年11月完成 ● 最新修改時間:2020年11月 ● 版權所有,歡迎分享本文,轉載請保留出處 ........................................................................................................................ ● 小麥苗的微店: https://weidian.com/s/793741433?wfr=c&ifr=shopdetail ● 小麥苗出版的資料庫類叢書: http://blog.itpub.net/26736162/viewspace-2142121/ ● 小麥苗OCP、OCM、高可用、DBA學習班: http://blog.itpub.net/26736162/viewspace-2148098/ ● 資料庫筆試面試題庫及解答: http://blog.itpub.net/26736162/viewspace-2134706/ ........................................................................................................................ 請掃描下面的二維碼來關注小麥苗的微 信公眾號( DB寶)及QQ群(230161599、618766405)、新增小麥苗微 信(db_bao), 學習最實用的資料庫技術。
........................................................................................................................ |
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26736162/viewspace-2735369/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 說說Linux抓包命令tcpdumpLinuxTCP
- tcpdump抓包TCP
- 最簡明的 Tcpdump 抓包入門指南TCP
- tcpdump抓包分析NAT ping不通TCP
- 在 Linux 命令列中使用 tcpdump 抓包Linux命令列TCP
- tcpdump抓包及tshark解包方法介紹TCP
- 使用tcpdump+wireshark抓包分析網路資料包TCP
- wireshark安裝使用與tcpdump的抓包分析TCP
- Linux伺服器抓包工具tcpdump示例詳解Linux伺服器TCP
- 019 Linux tcpdump 抓包案例入門可真簡單啊?LinuxTCP
- tcpdump抓包mysql建聯驗證TCP的三次握手TCPMySql
- python的partial()用法說明Python
- 實戰:tcpdump抓包分析三次握手四次揮手TCP
- 網路資料包分析工具tcpdump之一TCP
- Solon MVC 的 @Mapping 用法說明MVCAPP
- Wireshark抓包工具解析HTTPS包HTTP
- 你會抓包嗎?都有用過哪些抓包工具?
- 手機抓包+注入黑科技HttpCanary——最強大的Android抓包注入工具HTTPPCAAndroid
- Python包的匯入說明Python
- Python 閉包函式說明Python函式
- 一張圖說明SQL的join用法SQL
- 抓包整理外篇fiddler————瞭解工具欄[一]
- Https抓包HTTP
- Solon2 常用註解之 @ProxyComponent 用法說明
- Debookee 8.1.2 網路資料抓包及分析工具
- MySQL 5.7 mysqlpump 備份工具說明MySql
- 使用tcpdump檢視原始資料包TCP
- mssql sqlserver 關鍵字 GROUPING用法簡介及說明SQLServer
- iOS防止抓包iOS
- mitmproxy grpc 抓包MITRPC
- iOS Wireshark抓包iOS
- iOS Charles抓包iOS
- BLE抓包分析
- 測試必備工具之抓包神器 Charles 如何抓取 https 資料包?HTTP
- 談談HTTPS安全認證,抓包與反抓包策略HTTP
- https 真的安全嗎,可以抓包嗎,如何防止抓包嗎HTTP
- tshark 抓包 mysql 協議包MySql協議
- 如何對手機http進行抓包?Fiddler工具超好用HTTP