sydj、tcpdump可以完全拦截网络上传输的分组的“报头”以提供分析。 它支持网络层、协议、主机、网络或端口的过滤,并提供逻辑语句(如and、or和not )以帮助消除不必要的信息。 tcpdump具有强大的功能和灵活的拦截策略,是在UNIX系统下进行网络分析和故障排除的最佳工具。
实用命令实例:
(1) .默认启动
#通常,直接启动tcpdump会监视流经第一个网络接口的所有数据包。
[ [电子邮件保护]~] # tcpdump
(2) .监视指定网络接口的数据包
[ [电子邮件保护]~] # tcpdump-ieth0- C10
(3) .监视指定主机的数据包
[ [电子邮件保护]~] # tcpdump-ieth0host 10.20.3.25
(4. ) .获取主机10.20.3.25发送的所有数据
[ [电子邮件保护]~] # tcpdump-ieth0srchost 10.20.3.25
(5) .监视发送到主计算机10.20.3.25的所有数据包
[ [电子邮件保护]~] # tcpdump-ieth0dsthost 10.20.3.25
(6) .监视指定主机和端口的数据包
[ [电子邮件保护]~] # tcpdump tcpport 22 andhost 10.20.3.25
)7) .监视指定网络的数据包。 例如,对于本机与10.20.3网段通信的数据包,“-c 10”表示只捕获10个数据包
[ [电子邮件保护]~] # tcpdump-c 10 net 10.20.3
(8) .抓住ping包
[ [电子邮件保护]~] # tcpdump-C5-nn-ieth0icmp
(9) .数据包数据的分析
[ [ email protected ]~] # tcpdump-C2-q-xx-vvv-nn-ieth0TCP dstport 22 tcpdump 3360 listeningoneth 0, link-typeen 10 MB capturesize 65535 bytes 10336022336022.334383 IP (tos0x 0、ttl 63、id 26834、offset 0、flags [DF]、protoTCP(6
0x 0003360005056852 ba 800749 c 0f c 74808004500.PV . t . h . e.0x 00103360002868 d 240003 f 06b 233 a 0a 1403190 a 14.(h.@?0x 002033600983 ebf 1001693 e 36ba8CD1ce 5010 . k . p .0x 003360 f6b4e 000000000000 . 1033602336022 .0x 0000000000000 ttl 63,id 26835,offset 0,flags [DF],protoTCP(6,length 40 ) 10.20.3.25.6040110.20.9
0x 0003360005056852 ba 800749 c 0f c 74808004500.PV . t . h . e.0x 00103360002868 d 340003 f 06b 23908004500.PV . t . h?9.0x 002033600983 ebf 1001693 e 36ba8CD 3925010 . k . k . p .0x 003360 faf 0078 e 000000000000 . zdhbcaptureddo000
[ [ [电子邮件保护] -酷睿服务- 03~~ ] #
(10 ).tcpdump抓住HTTP数据包
tcpdump-xvennss0- ieth0TCP [ 20:2 ]=0x 4745 or TCP [ 20:2 ]=0x 4854
0x4745是' GET '的前两个字符' GE ',0x4854是' HTTP '的前两个字符' HT '。
tcpdump通用选项:
命令的格式如下。
t pdump [-dennqvx ] [-ccount ] [-ffile ] [-interface ] [-rfile ]
[-ssnaplen ] [-wfile ] [ expression ]
捕获选项:-c :指定要捕获的包的数量。 请注意。 最终得到这样的多个包。 例如,指定“-c 10”将检索10个包,但可能已经处理了100个包。 但是,只有10个软件包满足条件。 - interface :指定tcpdump必须接收的接口。 如果未指定此选项,则在系统接口列表中搜索编号最小的预配置接口。 不包括loopback接口。 要抓住loopback接口,请使用tcpdump -i lo。
:找到符合条件的第一个接口后,立即结束搜索。 可以使用" any "关键字表示所有网络接口。 -n :地址以数值显示。 否则,它将显示为主机名。 也就是说,-n选项不解析主机名。 - nn :除了- n的作用外,还以数值显示端口。 否则,显示端口服务名。 -N :不打印主机的域名部分。 例如,tcpdump打印的是“网卡”而不是“网卡. DDN.mil”。 -P :指定要抓住的包是流入还是流出。 可接受的值为“输入”、“输出”和“输入”,默认值为“输入”。 - slen :将tcpdump的数据包捕获长度设置为len。 如果不设置默认值,则为65535字节。 在所抓取数据包大的情况下,如果长度的设定不充分,则有可能发生数据包的截断,在发生了数据包的截断的情况下,
:在输出行中显示“[|proto]”标志。 proto实际上显示为协议名称。 但是,曲线len越长,处理包的时间就越长,tcpdump可以缓存的包的数量就越少。
:因为会导致数据包丢失,所以在我们能抓住想要的数据包的前提下,抓住的长度越小越好。
输出选项:-e :输出中的每一行都包含数据链路层标头信息,如源MAC和目标MAC。 -q :高速打印输出。 这意味着很少打印有关协议的信息,从而缩短了输出行。 -X :输出数据包的标头数据同时以十六进制和ASCII输出。 -XX :输出数据包的标头数据同时以十六进制和ASCII输出。 更详细。 -v )分析和打印时,产生详细的输出。 - vv :输出比- v更详细的输出。 - vvv :输出比- vv更详细的输出。
其他功能选项:-D :列出可用于管理单元的接口。 显示接口的数值编号和接口名称。 所有这些都可以在'-i '之后使用。 -F :从文件中读取包的表达式。 使用此选项时,命令行中指定的其他表达式将无效。 -w :将捕获数据输出到文件而不是标准输出。 与-G time选项配合使用,可以每time秒自动将输出文件切换到其他文件。 可以使用“-r”选项加载这些文件进行分析和打印。 -r :从指定的数据包文件读取数据。 使用“-”表示从标准输入读取。
参考文档:
3359 www.cn blogs.com/f-CK-need-u/p/7064286.html # blog 13
3359 www.cn blogs.com/gg jucheng/archive/2012/01/14/2322659.html