目录:
1. 命令简介
2. 编译安装
3. 命令格式
4. 常用选项
5. 表达式介绍
6. 命令示例
一、命令简介
Tcpdump是一款用于截取网络分组,并过滤输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和***者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not等逻辑语句来帮助我们去掉无用的信息。
二、编译安装
前提:只有先安装好libpcap后,tcpdump安装才不会出问题。
安装前的准备:使用本地光盘yum安装flex和bison
[root@ames ~]# yum install flex bison
安装libpcap:
[root@ames tools]# wget http://www.tcpdump.org/release/libpcap-1.8.1.tar.gz [root@ames tools]# tar zxvf libpcap-1.8.1.tar.gz [root@ames tools]# cd libpcap-1.8.1 [root@ames libpcap-1.8.1]# ./configure [root@ames libpcap-1.8.1]# make && make install
然后开始安装tcpdump:
[root@ames tools]# wget http://www.tcpdump.org/release/tcpdump-4.9.1.tar.gz [root@ames tools]# tar zxvf tcpdump-4.9.1.tar.gz [root@ames tools]# cd tcpdump-4.9.1 [root@ames tcpdump-4.9.1]# ./configure [root@ames tcpdump-4.9.1]# make && make install
三、命令格式
tcpdump [ 选项 ] [ -c 数量 ] [ -i 网络接口 ] [ -w 文件名 ] [ 表达式 ]
四、常用选项
[root@ames ~]# man tcpdump ... tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] [ --number ] [ -Q in|out|inout ] [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ --time-stamp-precision=tstamp_precision ] [ --immediate-mode ] [ --version ] [ expression ] ...
选项翻译如下:
-l:使标准输出变为缓冲行形式; -c:抓包次数; -nn:直接以 IP 及 Port Number 显示,而非主机名与服务名称; -s :<数据包大小> 设置每个数据包的大小; -i:指定监听的网络接口; -r:从指定的文件中读取包; -w:输出信息保存到指定文件; -a:将网络地址和广播地址转变成名字; -d:将匹配信息包的代码以人们能够理解的汇编格式给出; -e:在输出行打印出数据链路层的头部信息; -f:将外部的Internet地址以数字的形式打印出来; -t:在输出的每一行不打印时间戳; -v :输出稍微详细的报文信息;--vv则输出更详细信息。
五、表达式介绍
表达式指正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则会捕获该报文。如果没有给出任何条件,则会截获网络上所有的信息包。
在表达式中一般有如下几种类型的关键字:
1. 关于类型的关键字:
主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。
2. 确定传输方向的关键字:
主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字,则缺省是src or dst关键字。
3. 协议的关键字:
主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。
4. 三种逻辑运算:
与运算是'and','&&'; 或运算是'or' ,'||'; 非运算是 'not ' '! '。
5. 其他重要的关键字:
gateway, broadcast, less(小于), greater(大于)
六、命令示例
1. 默认启动
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
[root@ames ~]# tcpdump
2. 获取指定网络接口的数据包
如果不指定网卡,默认tcpdump只会监视本机的第一个网络接口。
[root@ames ~]# tcpdump -i ens33
3. 打印所有进入或离开'ames'这台主机的数据包
[root@ames ~]# tcpdump host ames tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 10:58:56.339806 IP ames.47460 > server.jotting.cn.domain: 18031+ A? ames.magedu.com. (33) 10:58:56.340324 IP ames.47460 > server.jotting.cn.domain: 14082+ AAAA? ames.magedu.com. (33) 10:58:56.340594 IP server.jotting.cn.domain > ames.47460: 18031 NXDomain 0/1/0 (93) 10:58:56.341291 IP server.jotting.cn.domain > ames.47460: 14082 NXDomain 0/1/0 (93) 10:58:56.341760 IP ames.48307 > server.jotting.cn.domain: 33925+ A? ames. (22) ...
也可以指定ip,例如截获所有 172.16.0.9 的主机收到的和发出的所有的数据包
[root@ames ~]# tcpdump host 172.16.0.9
4. 截获eth0网卡10次收发所有数据包并将抓包结果保存到test文件,再读取test抓包结果文件
[root@ames ~]# tcpdump -i ens33 -c 10 -w test tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 10 packets captured 12 packets received by filter 0 packets dropped by kernel [root@ames ~]# tcpdump -r test reading from file test, link-type EN10MB (Ethernet) 11:09:58.776309 IP ames.ssh > station26.jotting.cn.61368: Flags [P.], seq 4287612257:4287612405, ack 1274827487, win 251, length 148 11:09:58.776690 IP station26.jotting.cn.61368 > ames.ssh: Flags [.], ack 148, win 2053, length 0 11:09:58.782086 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 11:09:58.784033 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 11:09:58.786659 IP pxe33.jotting.cn.60491 > 239.255.255.250.ssdp: UDP, length 133 11:09:58.789438 IP 172.16.252.50.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 11:09:58.797115 IP 172.16.252.50.59388 > 239.255.255.250.ssdp: UDP, length 173 11:09:58.837599 IP 172.16.252.189.58166 > 239.255.255.250.ssdp: UDP, length 174 11:09:58.877108 IP pxe33.jotting.cn.49353 > station11.jotting.cn.ssh: Flags [.], ack 2053202339, win 11416, length 0 11:09:59.168665 ARP, Request who-has 192.168.0.1 tell 192.168.0.111, length 46 [root@ames ~]#
5. 获取所有来访问80端口的数据包(指定端口范围:portrange1-1024)
[root@ames ~]# tcpdump port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes 11:14:08.219687 IP ames.40608 > 10.68.7.12.http: Flags [P.], seq 4065612137:4065612783, ack 1201464828, win 65280, length 646 11:14:08.244030 IP 10.68.7.12.http > ames.40608: Flags [.], ack 646, win 65535, length 0 11:14:27.824996 IP 10.68.7.12.http > ames.40608: Flags [P.], seq 1:11, ack 646, win 65535, length 10 11:14:27.825014 IP ames.40608 > 10.68.7.12.http: Flags [.], ack 11, win 65280, length 0 11:14:27.835376 IP ames.40608 > 10.68.7.12.http: Flags [P.], seq 646:652, ack 11, win 65280, length 6 11:14:27.859675 IP 10.68.7.12.http > ames.40608: Flags [.], ack 652, win 65535, length 0 11:14:34.741259 IP ames.40608 > 10.68.7.12.http: Flags [.], seq 652:3332, ack 11, win 65280, length 2680
6. 获取ip包中源地址是172.16.0.1的数据包(目的是dst)
[root@ames ~]# tcpdump src 172.16.0.1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 11:37:22.749614 IP server.jotting.cn.domain > station26.jotting.cn.53491: 43693 8/4/4 CNAME clients.l.google.com., CNAME clients-china.l.google.com., A 74.125.204.138, A 74.125.204.139, A 74.125.204.101, A 74.125.204.100, A 74.125.204.113, A 74.125.204.102 (321) 11:37:22.768044 IP server.jotting.cn.domain > ames.43197: 63175* 1/1/1 PTR station26.jotting.cn. (118) 11:37:22.770613 IP server.jotting.cn.domain > ames.48682: 37078* 1/1/1 PTR server.jotting.cn. (105) 11:37:22.772635 IP server.jotting.cn.domain > ames.48980: 11819 NXDomain* 0/1/0 (105) 11:37:27.766386 ARP, Request who-has ames tell server.jotting.cn, length 46 ^C ---> 按ctrl+c终止. 5 packets captured 5 packets received by filter 0 packets dropped by kernel [root@ames ~]#
7. 获取主机172.16.252.47和主机172.16.0.1之间通信的数据包
[root@ames ~]# tcpdump host 172.16.252.47 and 172.16.0.1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 11:41:21.623567 IP server.jotting.cn.domain > ames.43836: 26320* 1/1/1 PTR server.jotting.cn. (105) 11:41:21.624211 IP ames.53567 > server.jotting.cn.domain: 27576+ PTR? 47.252.16.172.in-addr.arpa. (44) 11:41:21.667365 IP ames.45595 > server.jotting.cn.domain: 48898+ A? station26.jotting.cn. (41) 11:41:21.667657 IP ames.45595 > server.jotting.cn.domain: 3471+ AAAA? station26.jotting.cn. (41) 11:41:21.667946 IP server.jotting.cn.domain > ames.45595: 48898* 1/1/1 A 172.16.251.26 (94) 11:41:21.668210 IP server.jotting.cn.domain > ames.45595: 3471* 0/1/0 (89) 11:41:21.672773 IP ames.51764 > server.jotting.cn.domain: 21351+ A? station26.jotting.cn. (41) 11:41:21.673857 IP server.jotting.cn.domain > ames.51764: 21351* 1/1/1 A 172.16.251.26 (94) ... ^C 39 packets captured 42 packets received by filter 3 packets dropped by kernel [root@ames ~]#
8. 获取tcp协议并且源地址来访问80的端口
实验方法:我开了两个终端,一个用来通过循环语句执行curl命令,另一个用来抓包。
第一个终端执行如下python代码:
#!/usr/bin/python
# coding: utf-8
import time
import os
for i in range(5):
os.system('curl jotting.cn')
time.sleep(0.5)
第二个终端执行tcpdump命令:
[root@ames ~]# tcpdump tcp and src 172.16.252.47 and port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 13:09:50.403823 IP ames.34876 > 101.201.68.76.http: Flags [S], seq 2531480337, win 29200, options [mss 1460,sackOK,TS val 13321408 ecr 0,nop,wscale 7], length 0 13:09:50.409624 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 4100740743, win 229, options [nop,nop,TS val 13321414 ecr 222196798], length 0 13:09:50.409965 IP ames.34876 > 101.201.68.76.http: Flags [P.], seq 0:74, ack 1, win 229, options [nop,nop,TS val 13321414 ecr 222196798], length 74: HTTP: GET / HTTP/1.1 13:09:50.415583 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 384, win 237, options [nop,nop,TS val 13321420 ecr 222196804], length 0 13:09:50.416841 IP ames.34876 > 101.201.68.76.http: Flags [F.], seq 74, ack 384, win 237, options [nop,nop,TS val 13321421 ecr 222196804], length 0 13:09:50.424146 IP ames.34876 > 101.201.68.76.http: Flags [.], ack 385, win 237, options [nop,nop,TS val 13321429 ecr 222196811], length 0 ^C 6 packets captured 6 packets received by filter 0 packets dropped by kernel [root@ames ~]#
9. 获取主机123.118.168.155和除了123.125.37.230之外的所有ip包
[root@ames ~]# tcpdump ip host 123.118.168.155 and ! 123.125.37.230
10. 截获长度大于1000数据包,对于DDOS***时,可以使用
[root@ames ~]# tcpdump -i eth0 greater 1000
11. 过滤原物理主机地址为1C-39-47-AE-8A-5B的报头
[root@ames ~]# tcpdump ether src 1C-39-47-AE-8A-5B
...
完!