Tcpdump网络/命令行抓包工具详解

人间一两风 發表於 2024-5-10 00:00:00

概述
用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump基于底层libpcap库开发，运行需要root权限。一、tcpdump安装1.环境虚拟机：vmware 15.5.2 os: ubuntu 12.042.安装tcpdump<ol class="dp-sql list-paddingleft-2"><li>sudo apt-get install tcpdump </li></ol>
 <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/c38867033406b413f8f3d74450b85181.jpg" width="auto"/>3. 版本查看<ol class="dp-sql list-paddingleft-2"><li>tcpdump --h </li></ol><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/8ff03dc0452d0bf141cf2c6e24e8591a.jpg" width="auto"/>
tcpdump version 4.0。
libpcap version 1.1.1 表示libpcap的版本。二、tcpdump参数常用参数
选项说明：<img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/52aced0de314b7c053dbfd4c5a36cb37.jpg" width="auto"/>三、命令选项使用举例1. 截获主机收到和发出的所有数据包。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump </li></ol>
说明：
tcpdump截取包默认显示数据包的头部。
普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
基础格式：时间数据包类型源IP 端口/协议 > 目标IP 端口/协议协议详细信息<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/0460489babb9a263920a811895e60738.jpg" width="auto"/></center>
按下Ctrl+C会终止tcpdump命令。且会在结尾处生成统计信息。<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/5cc13bad3dd58161ce506db379d5093f.jpg" width="auto"/></center>
终止tcpdump2. 指定抓包数量 -c
指定抓取2个数据包。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -c 2 </li></ol>
说明：
最后会自动生成统计信息。<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/a2d6acae3a6a36885a73997dc8f4006a.jpg" width="auto"/></center>
【注意，已经切换到管理员了，虚拟机中要产生数据包，可以另外开一个窗口ping baidu.com后面不再提示】
 <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/5506892ebe50b4163bf0c6ecc5ce307d.jpg" width="auto"/>
ping baidu.com3. 将抓包信息写入文件 -w
使用-w选项指定记录文件。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -c 10 -w tcpdump_test.log </li></ol>
说明：
保存的文件不是文本格式，不能直接查看。tcpdump保存的文件的格式是几乎所有主流的抓包工具软件都可以读取。所以可以使用更易读的图形界面工具来查看记录文件。<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/411e023cc8e05b616b30587f422e776a.jpg" width="auto"/></center>4. 读取记录文件 -r
使用-r选项读取文件。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -r tcpdump_test.log </li></ol>
![读取记录文件<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" src="https://zhuji.jb51.net/uploads/img/202305/1fe8224879b0542ca5cb899af6ca142c.jpg"/></center>5. 打印出所有可工作的接口 -D
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -D </li></ol><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" src="https://zhuji.jb51.net/uploads/img/202305/194d57627ff30440ed02aa7b2161a19d.jpg"/>
其中网卡为eth0。6. 指定监控的网卡 -i
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -i eth0 </li></ol>
如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0。7. 显示更详细的数据包信息 -v -vv
选项-v，-vv可以显示更详细的抓包信息。<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" src="https://zhuji.jb51.net/uploads/img/202305/0d129bcdd01f45ff621bae5225e9a69e.jpg"/></center>
tcpdump -v<center><img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/f80736ce0dd5dcdf69eaeb7ad4679bbc.jpg" width="auto"/></center>
tcpdump -vv8. 不使用域名反解 -n
使用-n后，tcpdump会直接显示IP地址，不会显示域名(与netstat命令相似)。9. 增加抓包时间戳 -tttt选项
tcpdump的所有输出打印行中都会默认包含时间戳信息;时间戳信息的显示格式如下<ol class="dp-sql list-paddingleft-2"><li>hh:mm:ss.frac (nt: 小时:分钟:秒.) </li></ol>
此时间戳的精度与内核时间精度一致,　反映的是内核第一次看到对应数据包的时间;
而数据包从物理线路传递到内核的时间, 以及内核花费在此包上的中断处理时间都没有算进来;
使用-tttt选项，抓包结果中将包含抓包日期：
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -tttt </li></ol>
 <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/afbd036036517b058a4fc94a82a08217.jpg" width="auto"/>
增加抓包时间戳四、条件过滤1. 过滤：指定需要抓取的协议
tcpdump可以只抓某种协议的包，支持指定以下协议：「ip,ip6,arp,tcp,udp,wlan」等。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump udp </li><li> </li><li>tcpdump icmp </li><li> </li><li>tcpdump tcp </li><li> </li><li>tcpdump arp </li></ol>2. 过滤：指定协议的端口号
使用port参数，用于指定端口号。
命令：tcpdump tcp port 80
使用portrange参数，用于指定端口范围。
命令：tcpdump tcp portrange 1-10243. 过滤：指定源与目标
src 表示源。
dst 表示目标。
命令：
tcpdump src port 8080
tcpdump dst port 804. 过滤：指定特定主机的消息包
使用host指定需要监听的主机。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump host 192.168.1.113 </li></ol>
注意：若使用了host参数使用了计算机名或域名。例tcpdump host shi-pc ，则无法再使用-n选项。5. 过滤：指定数据包大小
使用greater(大于)与less(小于)可以指定数据包大小的范围。
「例：只抓取大于1000字节的数据包。」
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump greater 1000 </li></ol>
「例：只抓取小于10字节的数据包。」
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump less 10 </li></ol>五、逻辑表达式
使用基本逻辑组合拼装出更精细的过滤条件。1. 逻辑与
逻辑与关系，使用and。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump tcp and host 192.168.1.112 </li><li> </li><li>tcpdump tcp and src 192.168.1.112 and port 8080 </li></ol>2. 逻辑或
逻辑或关系，使用or。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump host 192.168.1.112 or 192.168.1.113 </li></ol>3. 逻辑非
逻辑非关系，使用not，也可以使用 ! 。
若使用 ! 必须与其后面的字符隔开一个空格。
例：当通过ssh协议远程使用tcpdump时，为了避免ssh的数据包的输出，所以一般需要禁止ssh数据包的输出。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump not tcp port 22 </li><li> </li><li>tcpdump ! tcp port 22 </li></ol>4. 括号
括号需要使用在引号内，或转意使用。否则会报错。
例：抓取非22端口，且主机为192.168.1.112 和 192.168.1.113的TCP数据包。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump not tcp port 22 and host 192.168.1.112or192.168.1.113 </li><li> </li><li>tcpdump "not tcp port 22 and host (192.168.1.112 or 192.168.1.113)" </li><li> </li><li>tcpdump not tcp port 22 and host "(192.168.1.112 or 192.168.1.113)" </li></ol>六、其他实例1. 打印所有进入或离开sundown的数据包<ol class="dp-sql list-paddingleft-2"><li>tcpdump host sundown </li></ol>2. 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信<ol class="dp-sql list-paddingleft-2"><li>tcpdump host 210.27.48.1 and  (210.27.48.2 or 210.27.48.3 )   </li></ol>3. 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump ip host 210.27.48.1 and ! 210.27.48.2 </li></ol>4. 监视所有送到主机hostname的数据包<ol class="dp-sql list-paddingleft-2"><li>tcpdump -i eth0 dst host hostname </li></ol>5. 获取主机210.27.48.1接收或发出的telnet包
23为telnet的端口<ol class="dp-sql list-paddingleft-2"><li>tcpdump tcp port 23 and host 210.27.48.1 </li></ol>6. 监视本机的udp 123 端口
123 为ntp的服务端口<ol class="dp-sql list-paddingleft-2"><li>tcpdump udp port 123 </li></ol>7. 使用tcpdump抓取HTTP包<ol class="dp-sql list-paddingleft-2"><li>tcpdump  -XvvennSs 0 -i eth0 tcp=0x4745 or tcp=0x4854 </li></ol><ul class=" list-paddingleft-2"><li>
0x4745 为"GET"前两个字母"GE",</li><li>
0x4854 为"HTTP"前两个字母"HT"。</li></ul>
tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。
显然这不利于分析网络故障，通常的解决办法是先使用带**-w参数的tcpdump 截获数据并保存到文件中**，然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。六、查看数据包完整内容
tcpdump默认不显示数据包的详细内容。方法一：
使用-A参数能以ASCII码显示数据包。
例：只抓取1个数据包，并显示其内容。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -c 1 -A </li></ol>
 <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/09630c2292fa1c3c2d423505abb6cd71.jpg" width="auto"/>方法二：
使用-X参数能16进制数与ASCII码共同显示数据包。
例：只抓取1个数据包，并显示其内容。
命令：<ol class="dp-sql list-paddingleft-2"><li>tcpdump -c 1 -X </li></ol>
 <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" src="https://zhuji.jb51.net/uploads/img/202305/c41106479a5d4d8b2f55f94dd8871caf.jpg"/>七、tcpdump 与wiresharkWireshark
(以前是ethereal)是Windows下非常简单易用的抓包工具，现在也有Linux版本。
通过Tcpdump抓取的数据包分析比较麻烦，要想很方便的分析数据包，我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。
保存数据包为wireshark能识别的文件：<ol class="dp-sql list-paddingleft-2"><li>tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap </li></ol><table><thead><tr class="firstRow"><th>
参数</th><th>
含义</th></tr></thead><tbody><tr><td>
tcp</td><td>
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型</td></tr><tr><td>
-i eth1</td><td>
只抓经过接口eth1的包</td></tr><tr><td>
-t</td><td>
不显示时间戳</td></tr><tr><td>
-s 0</td><td>
抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包</td></tr><tr><td>
-c 100</td><td>
只抓取100个数据包</td></tr><tr><td>
dst port ! 22</td><td>
不抓取目标端口是22的数据包</td></tr><tr><td>
src net 192.168.1.0/24</td><td>
数据包的源网络地址为192.168.1.0/24</td></tr><tr><td>
-w ./target.cap</td><td>
保存成cap文件，方便用ethereal(即wireshark)分析</td></tr></tbody></table> <img style="max-width:100%!important;height:auto!important;" title="网络/命令行抓包工具Tcpdump详解" alt="网络/命令行抓包工具Tcpdump详解" border="0" height="auto" src="https://zhuji.jb51.net/uploads/img/202305/2c7d5874498d34ee6d9abebc54c13870.jpg" width="auto"/>
原文地址：https://mp.weixin.qq.com/s/n6b4zCM_Dcuuc2ugFSUY_w

頁: [1]

琼殿技术论坛's Archiver

Tcpdump网络/命令行抓包工具详解