tcpdump詳細用法

一、tcpdump簡明用法

Usage: tcpdump [-adeflnNOpqRStuvxX] [ -c count ] [ -C file_size ]
                 [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ]
                 [ -T type ] [ -U user ] [ -w file ] [ -E algo:secret ] [ expression ]

-c 捕獲指定數量的報文 -F使用檔案作為過濾運算式的源 -i 使用可選網路介面捕獲報文 -p 禁止在雜湊模式下捕獲、- r讀取捕獲檔案而非網路介面 -w儲存原始報文到檔案中

tcpdump是非常強大的網路安全分析工具，可以將網路上截獲的資料包儲存到檔案以備分析。可以定義過濾規則，只截獲感興趣的資料包，以減少輸出檔案大小和資料包分析時的裝載和處理時間。

這篇文章只涉及tcpdump的基本用法，請記住tcpdump比我描述的強大的多。

針對網路介面、連接埠和協議的資料包截取。假定你要截取網路介面eth1，連接埠號碼6881的tcp資料包。資料檔案儲存為test.pcap。

tcpdump -w test.pcap -i eth1 tcp port 6881

很簡單吧？如果要同時截取udp連接埠號碼33210和33220的資料包呢？

tcpdump -w test.pcap -i eth1 tcp port 6881 or udp /( 33210 or 33220 /)

'/'是逸出字元，邏輯符號OR是加(+)的意思。其他運算式是截取連接埠號碼6881的tcp包加上連接埠號碼33210和33220的UDP包。 tcpdump過濾運算式的and運算子是交集的意思，因此截取連接埠號碼33210和33220的UDP包使用 or 而不是 and。and運算子的用法在下文描述。

怎樣儲存檔案讀取資料包呢？

tcpdump -nnr test.pcap

選項 -nn 不把網路IP和連接埠號碼轉換成名字，r(read)讀取包。

可以添加 -tttt 選項使時間戳記格式更加可讀。

tcpdump -ttttnnr test.pcap

怎樣針對IP截取資料？

需向tcpdump指明IP類型，目的IP還是源IP？比如要嗅探的目的IP為10.168.28.22，tcp連接埠號碼22。

tcpdump -w test.pcap dst 10.168.28.22 and tcp port 22

目的IP和連接埠的交集(intersection)，使用and運算子。

嗅探資料包大小預設為96 bytes，可以指定 -s 改變預設值。

tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22

有些版本的tcpdump允許指定連接埠範圍,下述指令為針對一定連接埠範圍截取資料。

tcpdump tcp portrange 20-24

注意，上述指令沒有指定 -w 把截取的資料包儲存到檔案而是直接輸出到螢幕。

不知道連接埠號碼使用tcpdump

互連網的資料流量太大，可以使用lsof搜尋指定連接埠。lsof的例子可以參考 Monitor who runs what, listen to what ports, established what connections。

二、tcpdump詳細用法

第一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0 指明 202.0.0.0是一個網路地址，port 23 指明連接埠號碼是23。如果沒有指定類型，預設的類型是host.

第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字，則預設是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖資料介面網??上的特定的網路通訊協定，實際上它是"ether" 的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議，則tcpdump將會監聽所有協議的資訊包。
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││'；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
普通情況下，直接啟動tcpdump將監視第一個網路介面上所有流過的資料包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i參數指定tcpdump監聽的網路介面，這在電腦具有多個網路介面時非常有用，
使用-c參數指定要監聽的資料包數量，
使用-w參數指定將監聽到的資料包寫入檔案中儲存

A想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料包：
#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令：（在命令列中適用　　　括弧時，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

C如果想要擷取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要擷取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 對原生udp 123 連接埠進行監視 123 為ntp的服務連接埠
# tcpdump udp port 123

F 系統將只對名為hostname的主機的通訊資料包進行監視。主機名稱可以是本地主機，也可以是網路上的任何一台電腦。下面的命令可以讀取主機hostname發送的所有資料：
#tcpdump -i eth0 src host hostname

G 下面的命令可以監視所有送到主機hostname的資料包：
#tcpdump -i eth0 dst host hostname

H 我們還可以監視通過指定網關的資料包：
#tcpdump -i eth0 gateway Gatewayname

I 如果你還想監視編址到指定連接埠的TCP或UDP資料包，那麼執行以下命令：
#tcpdump -i eth0 host hostname and port 80

J 如果想要擷取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令
：（在命令列中適用　　　括弧時，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

L 如果想要擷取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要擷取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||'；
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80連接埠的資料包，用dst port；如果我們只希望看到返回80連接埠的資料包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的連接埠是80
或者
#tcpdump –i eth0 host hostname and src port 80 源連接埠是80 一般是提供http的服務的主機
如果條件很多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

如果在ethernet 使用混雜模式 系統的日誌將會記錄

May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump對截獲的資料並沒有進行徹底解碼，資料包內的大部分內容是使用十六進位的形式直接列印輸出的。顯然這不利於分析網路故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲資料並儲存到檔案中，然後再使用其他程式進行解碼分析。當然也應該定義過濾規則，以避免捕獲的資料包填滿整個硬碟。

除了過濾語句，還有一個很重要的參數，也就是說，如果這個參數不設定正確，會導致包資料的丟失！

它就是-s 參數，snaplen, 也就是資料包的截取長度，仔細看man就會明白的！預設截取長度為60個位元組，但一般ethernet MTU都是1500位元組。所以，要抓取大於60位元組的包時，使用預設參數就會導致包資料丟失！

只要使用-s 0就可以按包長，截取資料！