成都网站设计精选柚v米科技,填手机号码的广告,网站开发搭建ssc p2p 互助,wordpress 8个安全密匙tcpdump 是一款用在linux系统上的网络抓包工具
1、 基本语法
tcpdump 的常用参数如下#xff1a; tcpdump -i eth0 -nn -s0 -v port 80-i : 选择要捕获的接口#xff0c;通常是以太网卡或无线网卡#xff0c;也可以是 vlan 或其他特殊接口。如果该系统上只有一个网络接口 tcpdump -i eth0 -nn -s0 -v port 80-i : 选择要捕获的接口通常是以太网卡或无线网卡也可以是 vlan 或其他特殊接口。如果该系统上只有一个网络接口则无需指定。-nn : 单个 n 表示不解析域名直接显示 IP两个 n 表示不解析域名和端口。这样不仅方便查看 IP 和端口号而且在抓取大量数据时非常高效因为域名解析会降低抓取速度。-s0 : tcpdump 默认只会截取前 96 字节的内容要想截取所有的报文内容可以使用 -s number number 就是你要截取的报文字节数如果是 0 的话表示截取报文全部内容。-v : 使用 -v-vv 和 -vvv 来显示更多的详细信息通常会显示更多与特定协议相关的信息。port 80 : 这是一个常见的端口过滤器表示仅抓取 80 端口上的流量通常是 HTTP。 还可以增加其它参数-p : 不让网络接口进入混杂模式。默认情况下使用 tcpdump 抓包时会让网络接口进入混杂模式。一般计算机网卡都工作在非混杂模式下此时网卡只接受来自网络端口的目的地址指向自己的数据。当网卡工作在混杂模式下时网卡将来自接口的所有数据都捕获并交给相应的驱动程序。如果设备接入的交换机开启了混杂模式使用 -p 选项可以有效地过滤噪声。-e : 显示数据链路层信息。默认情况下 tcpdump 不会显示数据链路层信息使用 -e 选项可以显示源和目的 MAC 地址以及 VLAN tag 信息。例如
$ tcpdump -n -e -c 5 not ip6tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 262144 bytes
18:27:53.619865 24:5e:be:0c:17:af 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 1162: 192.168.100.20.51410 180.176.26.193.58695: Flags [.], seq 2045333376:2045334484, ack 3398690514, win 751, length 1108
18:27:53.626490 00:e2:69:23:d3:3b 24:5e:be:0c:17:af, ethertype IPv4 (0x0800), length 68: 220.173.179.66.36017 192.168.100.20.51410: UDP, length 26
18:27:53.626893 24:5e:be:0c:17:af 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 1444: 192.168.100.20.51410 220.173.179.66.36017: UDP, length 1402
18:27:53.628837 00:e2:69:23:d3:3b 24:5e:be:0c:17:af, ethertype IPv4 (0x0800), length 1324: 46.97.169.182.6881 192.168.100.20.59145: Flags [P.], seq 3058450381:3058451651, ack 14349180, win 502, length 1270
18:27:53.629096 24:5e:be:0c:17:af 00:e2:69:23:d3:3b, ethertype IPv4 (0x0800), length 54: 192.168.100.20.59145 192.168.100.1.12345: Flags [.], ack 3058451651, win 6350, length 0
5 packets captured显示 ASCII 字符串
-A 表示使用 ASCII 字符串打印报文的全部数据这样可以使读取更加简单方便使用 grep 等工具解析输出内容。-X 表示同时使用十六进制和 ASCII 字符串打印报文的全部数据。这两个参数不能一起使用。例如
$ tcpdump -A -s0 port 80抓取特定协议的数据
后面可以跟上协议名称来过滤特定协议的流量以 UDP 为例可以加上参数 udp 或 protocol 17这两个命令意思相同。
$ tcpdump -i eth0 udp
$ tcpdump -i eth0 proto 17同理tcp 与 protocol 6 意思相同。
抓取特定主机的数据
使用过滤器 host 可以抓取特定目的地和源 IP 地址的流量。
$ tcpdump -i eth0 host 10.10.1.1也可以使用 src 或 dst 只抓取源或目的地
$ tcpdump -i eth0 dst 10.10.1.20将抓取的数据写入文件 使用 tcpdump 截取数据报文的时候默认会打印到屏幕的默认输出你会看到按照顺序和格式很多的数据一行行快速闪过根本来不及看清楚所有的内容。不过tcpdump 提供了把截取的数据保存到文件的功能以便后面使用其他图形工具比如 wiresharkSnort来分析。 -w 选项用来把数据报文输出到文件
$ tcpdump -i eth0 -s0 -w test.pcap行缓冲模式
如果想实时将抓取到的数据通过管道传递给其他工具来处理需要使用 -l 选项来开启行缓冲模式或使用 -c 选项来开启数据包缓冲模式。使用 -l 选项可以将输出通过立即发送给其他命令其他命令会立即响应。
$ tcpdump -i eth0 -s0 -l port 80 | grep Server:组合过滤器
过滤的真正强大之处在于你可以随意组合它们而连接它们的逻辑就是常用的 与/AND/ 、 或/OR/|| 和 非/not/!。
and or
or or ||
not or !2、 过滤器
Host 过滤器
Host 过滤器用来过滤某个主机的数据报文。例如
$ tcpdump host 1.2.3.4该命令会抓取所有发往主机 1.2.3.4 或者从主机 1.2.3.4 发出的流量。如果想只抓取从该主机发出的流量可以使用下面的命令
$ tcpdump src host 1.2.3.4Network 过滤器
Network 过滤器用来过滤某个网段的数据使用的是 CIDR 模式。可以使用四元组x.x.x.x、三元组x.x.x、二元组x.x和一元组x。四元组就是指定某个主机三元组表示子网掩码为 255.255.255.0二元组表示子网掩码为 255.255.0.0一元组表示子网掩码为 255.0.0.0。例如
抓取所有发往网段 192.168.1.x 或从网段 192.168.1.x 发出的流量
$ tcpdump net 192.168.1抓取所有发往网段 10.x.x.x 或从网段 10.x.x.x 发出的流量
$ tcpdump net 10和 Host 过滤器一样这里也可以指定源和目的
$ tcpdump src net 10也可以使用 CIDR 格式
$ tcpdump src net 172.16.0.0/12Proto 过滤器
Proto 过滤器用来过滤某个协议的数据关键字为 proto可省略。proto 后面可以跟上协议号或协议名称支持 icmp, igmp, igrp, pim, ah, esp, carp, vrrp, udp和 tcp。因为通常的协议名称是保留字段所以在于 proto 指令一起使用时必须根据 shell 类型使用一个或两个反斜杠/来转义。Linux 中的 shell 需要使用两个反斜杠来转义MacOS 只需要一个。
例如抓取 icmp 协议的报文
$ tcpdump -n proto \\icmp
# 或者
$ tcpdump -n icmpPort 过滤器
Port 过滤器用来过滤通过某个端口的数据报文关键字为 port。例如
$ tcpdump port 389
