博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
常用 tcpdump 抓包方式
阅读量:6396 次
发布时间:2019-06-23

本文共 5198 字,大约阅读时间需要 17 分钟。

目录

文章目录

tcpdump 指令

tcpdump(dump the traffic on a network)是 Linux 强大网络数据采集分析工具,可以将网络中传输的数据包(涵盖整个 TCP/IP 协议族的数据包)完全截获下来提供分析。它支持针对网络层、协议、主机、网络接口或端口的过滤,并提供 and、or、no t等逻辑原语来帮助你筛选出关注的信息。

基本上 tcpdump 的输出格式为:

系统时间 源主机.端口 > 目标主机.端口 数据包参数

官方网站:

关键字

关于类型

  • host - 主机:host 210.27.48.2 指明 210.27.48.2 是一台主机
  • net - 网络(网段):net 10.0 指明 10.0 是一个网络地址
  • port - 端口:port 23 指明端口号是 23

NOTE:缺省类型是 host。

关于传输方向

  • src - 源:src 210.27.48.2 指明 IP 数据包中的源 IP 地址是 210.27.48.2
  • dst - 目标:dst net 10.0 指明 IP 数据包中的目的网络地址是 10.0
  • dst or src
  • dst and src

NOTE:缺省方向是 src or dst

关于协议

  • ip
  • arp
  • rarp
  • tcp
  • udp
  • fddi

NOTE: 缺省是所有协议的包

关于逻辑条件

  • and
  • or
  • not

NOT:不同的关键字之间结合使用需要逻辑运算符

其他

  • gateway
  • broadcast
  • less
  • greater

常用指令选项

Help:

[root@localhost ~]# tcpdump --helptcpdump version 4.9.2libpcap version 1.5.3OpenSSL 1.0.2k-fips  26 Jan 2017Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]		[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]		[ -Q|-P in|out|inout ]		[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]		[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]		[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]		[ -Z user ] [ expression ]
  • -i:指定监听的 interface
  • -n:不启用主机名解析,显示 IP 地址,默认显示为 hostname
  • -nn:不启用主机名解析与端口名称转换,显示端口号,默认显示端口号对应的服务名
  • -c:指定抓取数据宝的数量
  • -D:显示操作系统当前所有可以使用 tcpdump 抓包的 interface 设备名
  • -b:在数据链路层上选择协议,包括 ip、arp、rarp、ipx 等
  • -N:不显示主机名中的域名部分。e.g. hostname nic.ddn.mil 只输出nic
  • -t:不打印时间戳
  • -tttt:输出 date 默认格式的时间戳
  • -q:只输出少量的协议信息
  • -v:输出稍微详细的信息,例如输出 IP 数据包中的 ttl 和服务类型信息
  • -vv:输出详细的报文信息
  • -vvv:输出更加详细的报文信息
  • -w:直接将抓取的数据包信息写入文件
  • -P:指定要抓取的包是流入还是流出包,可以指定 in、out、inout 参数,默认为 inout
  • -s len:设置抓取的数据包长度为 len,默认为 65535Byte,如果要抓取的数据包长度大于 len,可能会发生包截断。
  • -S 将 TCP 的序列号以绝对值形式输出,而不是相对值

常规操作示例

在这里插入图片描述

NOTE: 测试环境 IP 172.18.22.200,hostname localhost.localdomain.ssh

过滤主机

抓取经过指定 interface 的,并且 DST_IP 或 SRC_IP 是 172.18.22.200 的数据包。

tcpdump -i ens160 host 172.18.22.200
  • 筛选 SRC_IP,抓取经过 interface 且从 172.18.22.200 发出数据包
tcpdump -i ens160 src host 172.18.22.200
  • 筛选 DST_IP,抓取经过 interface 且发送到 172.18.22.200 的数据包
tcpdump -i ens160 dst host 172.18.22.200

应用场景:你希望查看发送到 host 172.18.22.208 的数据包有没有经过当前主机的 ens160 网卡

[root@localhost ~]# tcpdump -i ens160 -nnt -c 1 dst host 172.18.22.208 and icmp...IP 172.18.128.204 > 172.18.22.208: ICMP echo request, id 27729, seq 138, length 64

过滤端口

抓取经过指定 interface 的,并且 DST_PORT 或 SRC_PORT 是 22 的数据包。

tcpdump -i ens160 port 22
  • 筛选 SRC_PORT
tcpdump -i ens160 src port 22
  • 筛选 DST_PORT
tcpdump -i ens160 dst port 22

应用场景:你希望查看发送到 host 172.18.22.208 的 22 号端口的数据包有没有经过当前主机的 ens160 网卡

[root@localhost ~]# tcpdump -i ens160 -nnt -c 1 dst host 172.18.22.208 and port 22...IP 172.18.128.204.60812 > 172.18.22.208.22: Flags [S], seq 908466914, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 949822094 ecr 0,sackOK,eol], length 0

过滤网络(网段)

抓取经过指定 interface 的,并且 DST_NET 或 SRC_NET 是 172.18.22 的数据包。

tcpdump -i ens160 net 172.18.22
  • 筛选 SRC_NET
tcpdump -i ens160 src net 172.18.22
  • 筛选 DST_NET
tcpdump -i ens160 dst net 172.18.22

过滤协议

tcpdump -i ens160 icmptcpdump -i ens160 iptcpdump -i ens160 tcptcpdump -i ens160 udptcpdump -i ens160 arp

复杂的逻辑表达式过滤条件

抓取经过 interface ens160,发送到 host 172.18.22.208 或 172.18.22.200 的 TCP 协议 22 号端口的数据包。

[root@localhost ~]# tcpdump -i ens160 -nntvv -c 10 '((tcp) and (port 22) and ((dst host 172.18.22.208) or (dst host 172.18.22.200)))'...IP (tos 0x10, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 52)    172.18.128.204.59180 > 172.18.22.200.22: Flags [.], cksum 0x89d7 (correct), seq 3833060046, ack 3808611483, win 4092, options [nop,nop,TS val 950233961 ecr 87616963], length 0IP (tos 0x10, ttl 61, id 0, offset 0, flags [DF], proto TCP (6), length 52)    172.18.128.204.59180 > 172.18.22.200.22: Flags [.], cksum 0x88b1 (correct), seq 0, ack 293, win 4086, options [nop,nop,TS val 950233965 ecr 87616967], length 0

抓取经过 interface ens160,DST_MAC 或 SRC_MAC 地址是 00:50:56:bf:c2:c5 的 ICMP 数据包。

[root@localhost ~]# tcpdump -i ens160 '((icmp) and ((ether host 00:50:56:bf:c2:c5)))'...15:19:50.522900 IP localhost.localdomain > 172.18.22.41: ICMP redirect 172.18.41.24 to host localhost.localdomain, length 68

抓取经过 interface ens160,目标网络是 172.18 但目标主机又不是 172.18.22.204 的 TCP 且非 22 号端口的数据包。

[root@localhost ~]# tcpdump -i ens160 -c 10 -nnt '((tcp) and (not port 22) and ((dst net 172.18) and (not dst host 172.18.22.204)))'...IP 172.18.22.74.47580 > 172.18.22.237.8080: Flags [S], seq 2124823039, win 29200, options [mss 1460,sackOK,TS val 274062379 ecr 0,nop,wscale 7], length 0IP 172.18.22.237.8080 > 172.18.22.74.47580: Flags [R.], seq 0, ack 2124823040, win 0, length 0

抓取流入 interface ens160,host 为 172.18.22.208 且协议为 ICMP 的数据包。

172.18.128.204 > 172.18.22.200(curr) > 172.18.22.208

[root@localhost ~]# tcpdump -i ens160 -nnt -P in host 172.18.22.208 and icmp...IP 172.18.128.204 > 172.18.22.208: ICMP echo request, id 42579, seq 2314, length 64

抓取流出 interface ens160,host 为 172.18.22.208 且协议为 ICMP 的数据包。

172.18.22.208 > 172.18.128.200(curr) > 172.18.128.204

[root@localhost ~]# tcpdump -i ens160 -nnt -P out host 172.18.22.208 and icmp...IP 172.18.22.208 > 172.18.128.204: ICMP echo reply, id 42579, seq 2436, length 64

参考资料

转载于:https://www.cnblogs.com/jmilkfan-fanguiju/p/10589731.html

你可能感兴趣的文章
centos7 下 基于docker搭建java/tomcat (方式一)
查看>>
全世界最好的编辑器VIM之Windows配置(gvim)[未测试]
查看>>
2018年你需要知道的13个JavaScript工具库
查看>>
当你点击按钮的时候如何设置其他按钮不可点击
查看>>
spring 高级装配
查看>>
【合集】parasoft Jtest 从安装到使用教程合集,收藏推荐!
查看>>
Python Pygame库的学习之路(1)
查看>>
信息安全与Linux系统
查看>>
Ubuntu安装mysql
查看>>
SpringCloud 微服务 (十四) 服务网关 Zuul 过滤器(Pre&Post)
查看>>
初识Shiro
查看>>
在Developerkit开发板上运行blink例程
查看>>
企业级性能、安全可靠 阿里云发布企业级大数据平台开发者版
查看>>
Spring Boot使用过程小记(一)--加载自定义的Spring XML
查看>>
Git分支关联远程GitHub分支出错
查看>>
设计模式--桥接模式
查看>>
linux笔记之进程信息查看工具
查看>>
django 自定义分页器
查看>>
Oracle命令
查看>>
转载-没有IE就没有伤害!浏览器兼容性问题解决方案汇总
查看>>