TCPDump使用教程

2023-04-04 本文已影响0人风吹我已散博客

一、tcpdump简介

Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+（tcptrace或wireshark）。

二、tcpdump安装

Debian系：apt install -y tcpdump
Redhat系：yum/dnf install -y tcpdump

注：使用tcpdump需要root权限，如需普通用户使用需root用户授权：setcap cap_net_raw=eip /usr/sbin/tcpdump

三、常用命令

### 常用命令 ###
#直接抓为可读的文本,-s0防止包截断,-Xvnn显示详细信息,-i 网卡名 host IP地址 port 端口
tcpdump -Xvnn -s0 -i any ip host 192.168.1.1 and host 192.168.1.100 and port 2000

#保存为pcap文件在Wireshark上打开查看
tcpdump -s0 -i any host 192.168.1.1 and port 80 -w ./tmp.pcap        

#在使用&运行在后台时结束抓包，不建议使用kill -9 [pid]杀死后台tcpdump进程，会导致抓包不完整
kill -2 [pid]

### 过滤主机 ###
tcpdump -i eth0 host 192.168.1.70       #抓取所有经过 eth0，目的或源地址是 192.168.1.70 的网络数据
tcpdump -i eth1 src host 192.168.1.70   #抓取所有经过 eth0，源地址是 192.168.1.70 的网络数据
tcpdump -i eth1 dst host 192.168.1.70   #抓取所有经过 eth0，目的地址是 192.168.1.70 的网络数据

### 过滤端口 ###
tcpdump -i eth0 port 22         #抓取所有经过 eth0，目的或源端口是 22 的网络数据
tcpdump -i eth1 src port 22     #抓取所有经过 eth0，源端口是 22 的网络数据
tcpdump -i eth1 dst port 22     #抓取所有经过 eth0，目的端口是 22 的网络数据

### 过滤协议 ###
tcpdump -i eth0 tcp
tcpdump -i eth0 udp
tcpdump -i eth0 ip
tcpdump -i eth0 icmp
tcpdump -i eth0 arp

四、详细参数说明

1、命令使用：

tcpdump [协议类型] [源或目标] [主机名称或IP] [or/and/not/!条件组合] [源或目标] [主机名或IP] [or/and/not/!条件组合] [端口] [端口号] …… [or/and/not/!条件组合] [条件]

2、tcpdump表达式

数据类型的关键字：host、port、net
host 192.168.130.1表示一台主机，net 192.168.130.0表示一个网络网段，port 80 指明端口号为80，在这里如果没有指明数据类型，那么默认就是host
数据传输方向的关键字：
包括src、dst、dst or src、dst and src，这些关键字指明了传输的方向，比如src 192.168.130.1说明数据包源地址是192.168.130.1。dst net 192.168.130.0指明目的网络地址是192.168.130.0，默认是监控主机对主机的src和dst，即默认监听本机和目标主机的所有数据。
协议关键字：ip、arp、rarp、udp
其他关键字：
运算类型：or、and、not、!
辅助功能型：gateway、less、broadcast、greater

3、参数说明：

-a      #将网络地址和广播地址转变成名字
-A      #以ASCII格式打印出所有分组，并将链路层的头最小化
-b      #数据链路层上选择协议，包括ip/arp/rarp/ipx都在这一层
-c      #指定收取数据包的次数，即在收到指定数量的数据包后退出tcpdump
-d      #将匹配信息包的代码以人们能够理解的汇编格式输出
-dd     #将匹配信息包的代码以c语言程序段的格式输出
-ddd    #将匹配信息包的代码以十进制的形式输出
-D      #打印系统中所有可以监控的网络接口
-e      #在输出行打印出数据链路层的头部信息
-f      #将外部的Internet地址以数字的形式打印出来，即不显示主机名
-F      #从指定的文件中读取表达式，忽略其他的表达式
-i      #指定监听网络接口
-l      #使标准输出变为缓冲形式，可以数据导出到文件
-L      #列出网络接口已知的数据链路
-n      #不把网络地址转换为名字
-N      #不输出主机名中的域名部分，例如www.baidu.com只输出www
-nn     #不进行端口名称的转换
-P      #不将网络接口设置为混杂模式
-q      #快速输出，即只输出较少的协议信息
-r      #从指定的文件中读取数据，一般是-w保存的文件
-w      #将捕获到的信息保存到文件中，且不分析和打印在屏幕
-s      #从每个组中读取在开始的snaplen个字节，而不是默认的68个字节
-S      #将tcp的序列号以绝对值形式输出，而不是相对值
-T      #将监听到的包直接解析为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简单网络管理协议）
-t      #在输出的每一行不打印时间戳
-tt     #在每一行中输出非格式化的时间戳
-ttt    #输出本行和前面以后之间的时间差
-tttt   #在每一行中输出data处理的默认格式的时间戳
-u      #输出未解码的NFS句柄
-v      #输出稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息
-vv     #输出相信的保报文信息

参考资料：
https://blog.csdn.net/qq_36724501/article/details/109120693
https://blog.csdn.net/mayue_web/article/details/83585926