tcpdump非常实用的抓包实例

参考资料：http://www.jianshu.com/p/3cca9a74927c

<<亲测可用tcpdump查看HTTP流量查看>>

抓包HTTP GET请求：

[root@hostname /]# sudo tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

抓包HTTP POST请求：

[root@hostname /]# sudo tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

查看HTTP请求响应头以及数据：

[root@hostname /]# sudo tcpdump -i eth1 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

可对比16进制：

[root@hostname /]# sudo tcpdump -i eth1 -X -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

==================其他资料======================

基本语法

1. 简单用法：tcpdump -i eth0 -s 0 tcp port 8080 -w /root/log.cap

2. 过滤从本机的8070端口出、入的所有 “HT”开头或“PO”、“GE” 开头的数据包

tcpdump  -XvvennSs 0 -i eth1 '((tcp[20:2]=0x4745 or tcp[20:2]=0x4854 or tcp[20:2]=0x504f) or (port 8070))' -w /root/log.cap

（注： 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT", 0x504f为"POST"前缀"PO"。）

========

过滤主机

--------

- 抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据

# tcpdump -i eth1 host 192.168.1.1 

- 源地址

# tcpdump -i eth1 src host 192.168.1.1 

- 目的地址

# tcpdump -i eth1 dst host 192.168.1.1 

过滤端口

--------

- 抓取所有经过 eth1，目的或源端口是 25 的网络数据

# tcpdump -i eth1 port 25 

- 源端口

# tcpdump -i eth1 src port 25 

- 目的端口

# tcpdump -i eth1 dst port 25网络过滤

--------

# tcpdump -i eth1 net 192.168 

# tcpdump -i eth1 src net 192.168 

# tcpdump -i eth1 dst net 192.168 

协议过滤

--------

# tcpdump -i eth1 arp 

# tcpdump -i eth1 ip 

# tcpdump -i eth1 tcp 

# tcpdump -i eth1 udp 

# tcpdump -i eth1 icmp 

常用表达式

----------

非 : ! or "not" (去掉双引号)

且 : && or "and"

或 : || or "or"

- 抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 

192.168.1.200)))'

- 抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

- 抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

- 只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

- 抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

抓 SMTP 数据

----------

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为 0x4d41494c。

抓 HTTP GET 数据

--------------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

"GET "的十六进制是 47455420

抓 SSH 返回

---------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

"SSH-"的十六进制是 0x5353482D

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]

= 0x312E)'抓老版本的 SSH 返回信息，如"SSH-1.99.."

- 抓 DNS 请求数据

# tcpdump -i eth1 udp dst port 53

其他

----

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工 CTRL+C 还是

抓的太多，于是可以用-c 参数指定抓多少个包。

# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null

上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。

实时抓取端口号8000的GET包，然后写入GET.log

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log