tcpdump

TCPDump是一个用于抓取网络数据包的命令行工具。它可以帮助网络管理员和开发人员分析网络流量、故障排除以及安全问题。下面是一些TCPDump的详细用法：

1. 基本用法：

   • 监听指定网络接口：tcpdump -i eth0
   • 通过IP地址过滤：tcpdump host 192.168.0.1
   • 通过端口号过滤：tcpdump port 80
   • 通过协议过滤：tcpdump icmp

2. 输出格式控制：

   • 以十六进制方式显示数据包：tcpdump -X
   • 显示时间戳：tcpdump -tttt
   • 显示源/目标IP地址和端口号：tcpdump -n

3. 进一步过滤：

   • 使用逻辑运算符AND/OR/NOT：tcpdump 'host 192.168.0.1 and port 80'
   • 使用子网掩码过滤：tcpdump net 192.168.0.0/24
   • 使用协议类型过滤：tcpdump ether proto 0x86dd (IPv6)

4. 输出限制和文件保存：

   • 限制抓包数量：tcpdump -c 10
   • 将结果保存到文件：tcpdump -w output.pcap
   • 读取保存的文件进行分析：tcpdump -r input.pcap

这些只是TCPDump的一些常见用法，它还支持更多的选项和过滤器。你可以通过tcpdump -h命令查看所有可用的选项以及用例的详细文档。

tcpdump的选项介绍:
-a 　　　将网络地址和广播地址转变成名字；
-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　　将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　　　将匹配信息包的代码以十进制的形式给出；
-e 　　　在输出行打印出数据链路层的头部信息；
-f 　　　将外部的Internet地址以数字的形式打印出来；
-l 　　　使标准输出变为缓冲行形式；
-n 　　　不把网络地址转换成名字；
-t 　　　在输出的每一行不打印时间戳；
-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 　　　输出详细的报文信息；
-c 　　　在收到指定的包的数目后，tcpdump就会停止；
-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
-i 　　　指定监听的网络接口；
-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 　　　直接将包写入文件中，并不分析和打印出来；
-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 调用）和snmp（简单　　　　　　　网络管理协议；）
-s 设置抓包大小限制，默认抓包大小限制在96个BYTE（包括以太网帧）。修改参数为： -s 0。0 则忽略包的大小限制，按包的长度实际长度抓取。
例：tcpdump -vv tcp port 5270 -c 100 -s 1500 -w /opt/sniffer.pack

tcpdump -i eth0 -tttt -n host 183.62.161.247 and port 80 -w /root/zabbix.icmp

root@server02:~# tcpdump -r /root/zabbix.icmp
tcpdump: /root/zabbix.icmp: Permission denied
不是权限问题
root@server02:~# grep tcpdump /sys/kernel/security/apparmor/profiles
tcpdump (enforce)

上面显示是enforce模式，所以有这个问题，把它改成complain模式：
root@server02:~# aa-complain /usr/sbin/tcpdump
Command ‘aa-complain’ not found, but can be installed with:
apt install apparmor-utils
root@server02:~# apt install apparmor-utils

ubuntu在/usr/bin/下
root@server02:~# aa-complain /usr/bin/tcpdump

读取文件
root@server02:~# tcpdump -r zabbix.icmp