tcpdump命令的使用

     (点击上方蓝字，快速关注)

一般情况下linux系统会自带tcpdump工具，如果系统没有安装，直接用命令安装就行了。

安装命令：yum install -ytcpdump

                       

查看安装版本命令：tcpdump --help

查看网卡命令：

知道了网卡，就可以使用tcpdump工具针对服务器上的网卡监控、过滤网络数据。

tcpdump的选项

· -a —— 将网络地址和广播地址转变成名字

· -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出

· -dd —— 将匹配信息包的代码以c语言程序段的格式给出

· -ddd —— 将匹配信息包的代码以十进制的形式给出

· -e —— 在输出行打印出数据链路层的头部信息

· -f —— 将外部的Internet地址以数字的形式打印出来

· -l —— 使标准输出变为缓冲行形式

·-n —— 不把网络地址转换成名字

· -t —— 在输出的每一行不打印时间戳

· -v —— 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息

· -vv —— 输出详细的报文信息

·  -c —— 在收到指定的包的数目后，tcpdump就会停止

· -F —— 从指定的文件中读取表达式,忽略其它的表达式

· -i —— 指定监听的网络接口

· -r —— 从指定的文件中读取包(这些包一般通过-w选项产生)

· -w —— 直接将包写入文件中，并不分析和打印出来

·-T —— 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议）

 

tcpdump常用命令：

#抓取所有经过 eth0，目的或源地址是 192.168.29.162 的网络数据
命令：tcpdump -n -i eth0 host 192.168.29.162

# 源地址
命令：tcpdump -i eth1 src host 192.168.29.162

# 目的地址
命令：tcpdump -i eth1 dst host 192.168.29.162

#抓取当前服务器eth0网卡端口8080的网络数据
命令：tcpdump -n -i eth0 port 8080

#抓取mysql执行的sql语句
命令：tcpdump -i eth1 -s 0 -l -w - dst port3306 | strings

#抓取mysql通讯的网络包(cap用wireshark打开)
命令tcpdump -n -nn -tttt -i eth0 -s 65535'port 3306' -w 20160505mysql.cap

#抓取SMTP 数据
命令：tcpdump -i eth1 'tcp[tcpflags] &tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

#抓取HTTP GET数据，"GET "的十六进制是 47455420
命令：tcpdump -i eth1'tcp[(tcp[12]>>2):4] = 0x47455420'

#抓取SSH返回，"SSH-"的十六进制是 0x5353482D
命令：tcpdump -i eth1'tcp[(tcp[12]>>2):4] = 0x5353482D'

#实时抓取端口号8080的GET包，然后写入GET.log
命令：tcpdump -i eth0 '((port 8080) and(tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

#抓取指定SYN个数，-c 参数指定抓多少个包。
命令：time tcpdump -nn -i eth0 'tcp[tcpflags]= tcp-syn' -c 10