tcpdump安装与基本使用

安装tcpdump

yum install tcpdump

基本使用

常用原语

• 类型：host、net、port、ip proto、protochain等
• 传输方向：src、dst、dst or src、dst and src等
• 协议：ip、arp、rarp、tcp、udp、icmp、http等
  顺序：协议 + [传输方向] + 类型 + 具体数值

原语组合方式

• ！或not
• &&或and
• ||或or
• 必要时用括号提高某一部分表达式的优先级

参数

• -a：将网络地址和广播地址转换成名字
• -A：以ASCII格式打印出所有分组，并将链路层头最小化，方便去捕获web页面内容
• -c numbers：收到指定数量的分组后，tcpdump停止工作
• -D：列出系统中所有可以用以tcpdump截包的网络接口，显示的接口序号或接口名称可以通过-i指定
• -q：快速输出，只输出较少的信息
• -w：将结果输出到文件中，输出到文件以.pcap作为后缀，可以在其他平台上用wireshark打开
• -r：从指定文件读取数据包，这个数据包一般是通过-w生成的
• -t：在每一行转储行上省略时间戳显示
• -tt：在每一行中输出非格式化的时间戳
• -i：指定抓取数据包的接口，若未指定则会抓取-D参数列出的网络接口所截获的包（本地回环扣除外）
• -C file_size：指定用-w参数写入文件的文件大小

案例场景

• 抓取包含10.10.10.122的数据包
  tcpdump -i eth0 -vnn host 10.10.10.122
• 抓取包含10.10.10.0/24网段的数据包
  tcpdump -i eth0 -vnn net 10.10.10.0/24
• 抓取包含端口22（非22端口）的数据包
  tcpdump -i eth0 -vnn port 22
tcpdump -i eth0 -vnn port !22
• 抓取udp协议的数据包
  tcpdump -i eth0 -vnn udp
• 抓取源ip是10.10.10.122数据包
  tcpdump -i eth0 -vnn src host 10.10.10.122
• 抓取目的ip是10.10.10.122数据包
  tcpdump -i eth0 -vnn dst host 10.10.10.122
• 抓取源端口是22的数据包
  tcpdump -i eth0 -vnn src port 22
• 抓取源ip是10.10.10.253且目的ip是22的数据包
  tcpdump -i eth0 -vnn src host 10.10.10.253 and dst port 22
• 抓取源ip是10.10.10.122或者包含端口是22的数据包
  tcpdump -i eth0 -vnn src host 10.10.10.122 or port 22
• 抓取源ip是10.10.10.122且端口不是22的数据包
  tcpdump -i eth0 -vnn src host 10.10.10.122 and not port 22
• 抓取源ip是10.10.10.2且目的端口是22，或源ip是10.10.10.65且目的端口是80的数据包
  tcpdump -i eth0 -vnn \( src host 10.10.10.2 and dst port 22 \) or \( src host 10.10.10.65 and dst port 80 \)
• 抓取源ip是10.10.10.59且目的端口是22，或源ip是10.10.10.68且目的端口是80的数据包
  tcpdump -i eth0 -vnn 'src host 10.10.10.59 and dst port 22' or 'src host 10.10.10.68 and dst port 80'
• 把抓取的数据包记录存到/tmp/file文件中，当抓取100个数据包后就退出程序
  tcpdump -i eth0 -vnn -w /tmp/file -c 100
• 抓取ip为10.10.10.122和10.10.10.253之间的数据包，并全部写到file文件中
  tcpdump ip ‘host 10.10.10.122 and 10.10.10.253’ -s0 -vv -w file