命令格式:
tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]
[ -s snaplen ] [ -w file ] [ expression ]
抓包选项:
-c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。
-i interface:指定tcpdump需要监听的接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),
:一旦找到第一个符合条件的接口,搜寻马上结束。可以使用'any'关键字表示所有网络接口。
-n: 对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-N: 不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P: 指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,
:输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,
:从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。
输出选项:
-e: 输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q: 快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X: 输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX: 输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v: 当分析和打印的时候,产生详细的输出。
-vv: 产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
其他功能性选项:
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
所以常用的选项也就这几个:
tcpdump -D
tcpdump -c num -i int -nn -XX -vvv
2).监视指定网络接口的数据包
tcpdump -i eth1
如果不指定网卡,默认tcpdump只会监视第一个网络接口,如eth0。
(3).监视指定主机的数据包,例如所有进入或离开longshuai的数据包
tcpdump host longshuai
(4).打印helios<-->hot或helios<-->ace之间通信的数据包
tcpdump host helios and \( hot or ace \)
(5).打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包
tcpdump ip host ace and not helios
(6).截获主机hostname发送的所有数据
tcpdump src host hostname
(7).监视所有发送到主机hostname的数据包
tcpdump dst host hostname
(8).监视指定主机和端口的数据包
tcpdump tcp port 22 and host hostname
(9).对本机的udp 123端口进行监视(123为ntp的服务端口)
tcpdump udp port 123
(10).监视指定网络的数据包,如本机与192.168网段通信的数据包,"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168
(11).打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
shell> tcpdump 'gateway snup and (port ftp or ftp-data)'
//查看本机与mysql的操作命令 注意 -i any表示监听所有网络接口,我们也根据自身情况选择网络接口
tcpdump -i any -w - dst port 3306 |strings
//查看本机58895上与mysql的命令 注意 -i any 表示监听所有网络接口,我们需要根据自身情况选择网络接口
tcpdump -i any -w - dst port 3306 and src port 58895 |strings
同理,也可以使用上面的命令,查看kafka,etcd,redis,mc等的命令情况,只要是明文协议都可以
tcpdump命令格式
tcpdump option filter
option 举例 -n, -i any 等
filter 是过滤包的条件,举例: tcp, portrange 1-1000, src port 58895, host www.itshouce.com.cn,
filter 可以进行组合 比如:
dst port 3306 and src port 58895
portrange 1-1000 or src port 58895
not dst port 3306
[option] [filter]
举例: tcpdump -i any -n portrange 1-3306 or portrange 10000-58895
//在en2这个网络接口监听,如果不指定,那么会搜索所有的网络接口,在数字最小的网络端口上监听
//也就是tcpdump -D 上左边数字最小的
tcpdump -i en2
//linux 2.2以上支持 -i any 可以监听所有端口
tcpdump -i any
//-n 不要把ip转换为机器名字
tcpdump -n
//-w- 为把内容write到某个地方, -表示标准输出 也就是输出到标准输出中
tcpdump -w - |strings [这是一个超级有用的命令,把包的数据,用字符展示出来]
//-w a.cap 把抓包结果写入a.cap中
//-C 1 如果a.cap 超过1M 大小,则新建一个文件, -C fileSize , 单位是MB
tcpdump -C 1 -w a.cap
ll
-rw-r--r-- 1 root wheel 1000092 Apr 21 21:05 a.cap //超过1MB了
-rw-r--r-- 1 root wheel 849388 Apr 21 21:05 a.cap1 //所以新创建了一个文件
//-r 从某个文件读取
tcpdump -n -r a.cap
//以十六进制以及ASCII的形式打印数据内容
tcpdump -X
//除了打印出header外,还打印packet里面的数据(十六进制的形式)
tcpdump -x
//以十六进制的形式打印header, data内容
tcpdump -xx
// -A 把每一个packet都用以ASCII的形式打印出来
tcpdump -A host www.itshouce.com.cn
// -c 3 表示收到3个packet就退出
tcpdump -A -c 3 host www.itshouce.com.cn
...
3 packets captured
65 packets received by filter
0 packets dropped by kernel
//看目前机器上有哪些网络接口
tcpdump -D
1.en0
2.awdl0
3.bridge0
4.utun0
5.en1
6.en2
7.p2p0
8.lo0
//-e 把连接层的头打印出来
tcpdump -e
21:15:27.665159 *:*:60:dc:d0:d9 (oui Unknown) > *:*:07:10:81:36 (oui Unknown), ethertype IPv4 (0x0800), length 79: zj-db0355dembp.lan.51318 > hiwifi.lan.domain: 20430+ A? www.itshouce.com.cn. (37)
//可以修改输出的时间格式,貌似centos6.5不支持
tcpdump -j timestamp type
//显示支持的时间格式
tcpdump -J
//-l 把stdout bufferd住,当你既想在屏幕上看结果,又想把结果输出到文件中时,比较有用
tcpdump -l
//tee是一个命令,在屏幕上显示dump内容,并把内容输出到dump.log中
tcpdump -l |tee dump.log
tcpdump -l > dump.log &tail -f dump.log
//-q 就是quiect output, 尽量少的打印一些信息
tcpdump -q
//-S 打印真实的,绝对的tcp seq no
tcpdump -S
21:33:06.569478 IP *dembp.lan.54864 > ***: Flags [P.], seq 3980049501:3980049596, ack 3916671858, win 4091, options [nop,nop,TS val 1201572125 ecr 1490447193], length 95
//默认抓取包长度是65535,//capture sieze 65535
tcpdump
listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes
//我们设置为256 该参数目的:减少抓包文件的大小
tcpdump -s 256
listening on pktap, link-type PKTAP (Packet Tap), capture size 256 bytes
//不要打时间戳
tcpdump -t
//打出timstamp,从1970-1-1 以来的秒数,以及微秒数
tcpudmp -tt
//打印出详细结果
tcpdump -v
//打印出更加详细的结果 如window, checksum等
tcpdump -vv
tcpdump过滤项
//下面所有测试中都有 -i any的选项,表示抓取所有网络接口上的包,只是为了让测试方便
//抓取arp协议的包,然后host为192.168.199.* 测试时需要在另一个session做一个ifconfig指令
//arp可以换为tcp,udp等
tcpudmp -i any -n arp host 192.168.199
22:39:58.991043 ARP, Request who-has 192.168.199.125 tell 192.168.199.1, length 28
22:39:58.991059 ARP, Reply 192.168.199.125 is-at a4:5e:60:dc:d0:d9, length 28
//抓取访问destination 80端口的包,然后我们做一个curl www.baidu.com的操作
tcpdump -i any -n dst port 80
22:53:06.041382 IP 192.168.199.125.63161 > 119.75.219.45.80: Flags [F.], seq 0, ack 1, win 65535, length 0
//抓取源上端口是80的包
tcpdump -i any -n src port 80
22:57:48.343422 IP 112.80.248.73.80 > 192.168.199.125.63275: Flags [.], seq 38478:39918, ack 78, win 193, length 1440
//抓取源或者目标端口都是80的包
tcpdump -i any -n port 80
22:58:51.165333 IP 112.80.248.74.80 > 192.168.199.125.63298: Flags [F.], seq 100439, ack 79, win 193, length 0
22:58:51.165349 IP 192.168.199.125.63298 > 112.80.248.74.80: Flags [R], seq 703147494, win 0, length 0
//表示抓取destination prot 在1到80之间的端口的数据
tcpdump -i any -n dst portrange 1-80 [在另外的面做curl www.baidu.com 以及 telnet 192.168.21.1]
23:00:13.550006 IP 192.168.199.125.63310 > *.*.248.73.80: Flags [.], ack 71649, win 8012, length 0
23:01:27.363723 IP 192.168.199.125.63327 > 192.168.21.1.23: Flags [S], seq 621213649, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1240986522 ecr 0,sackOK,eol], length 0
//抓取源的端口是20-80的包
tcpdump -i any -n src portrange 20-80
//抓取端口是20-80的包,不考虑源
tcpdump -i any -n portrange 20-80
//抓取destination为www.baidu.com的包
tcpdump -i any dst www.baidu.com 然后ping www.baidu.com ,以及 在浏览器中访问www.baidu.com
22:22:17.445872 IP *0355dembp.lan > 112.80.248.73: ICMP echo request, id 26478, seq 0, length 64
2:22:50.108236 IP *0355dembp.lan.62371 > 112.80.248.74.https: Flags [S], seq 2884215363, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1238683151 ecr 0,sackOK,eol], length 0
//抓取destination为192.168.1.2的包
tcpdump -i any dst 192.168.1.2
22:26:46.808706 IP zj-db0355dembp.lan > 192.168.1.2: ICMP echo request, id 31854, seq 0, length 64
//抓取destination为192.168.1.[0-255]的包
tcpdump -i any dst 192.168.1 可以指定范围
//ifconfig 可以看出我本机的ip是192.168.199.125
//抓取source为192.168.*.*的包, 使用-n 则只是为了显示ip,而不是主机名,
tcpdump -i any -n src 192.168
22:30:50.490355 IP 192.168.199.125.61086 > *.*.*.*.341: Flags [.], ack 56, win 8185, options [nop,nop,TS val 1239157627 ecr 1580310986], length 0
//抓取192.168的包(不管是source还是destination )
tcpdump -i any -n host 192.168
22:38:07.580567 IP *.*.*.*.34186 > 192.168.199.125.61086: Flags [P.], seq 787907565:787907668, ack 871423065, win 126, options [nop,nop,TS val 1580748123 ecr 1239593243], length 103
22:38:08.453788 IP 192.168.199.125.61086 > *.*.*.*.34186: Flags [P.], seq 9481:10147, ack 5769, win 8179, options [nop,nop,TS val 1239594178 ecr 1580748994], length 666
//抓取包长度小于800的包
tcpudmp -i any -n less 800
21:09:17.687673 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385
//抓取包长度大于800的包
tcpdump -i any -n greater 800
21:13:21.801351 IP 192.168.199.125.64826 > *.*.*.*.80: Flags [P.], seq 2155:3267, ack 44930, win 8192, length 1112
//只抓取tcp包
tcpdump -i any -n tcp
1:21:18.777815 IP 192.168.199.125.50249 > *.*.*.*.443: Flags [.], ack 75, win 4093, options [nop,nop,TS val 1269008649 ecr 44997038], length 0
//只抓取udp包
tcpdump -i any -n udp
21:22:48.434449 IP 192.168.199.1.50150 > *.*.*.*.1900: UDP, length 385
//只抓取icmp的包,internet控制包
tcpdump -i any -n icmp
21:25:42.550374 IP 192.168.199.1 > 192.168.199.125: ICMP *.*.*.* unreachable - need to frag (mtu 1480), length 556
