乐趣区

关于linux:linux之抓包神器tcpdump

tcpdump 介绍

tcpdump 是一款弱小的网络抓包工具,运行在 linux 平台上。相熟 tcpdump 的应用可能帮忙你剖析、调试网络数据。

tcpdump 语法

tcpdump [-adeflnNOpqStvx][-c< 数据包数目 >][-dd][-ddd][-F< 表白文件 >][-i< 网络界面 >][-r< 数据包文件 >][-s< 数据包大小 >][-tt][-T< 数据包类型 >][-vv][-w< 数据包文件 >][输入数据栏位]

tcpdump 参数

-a    将网络地址和播送地址转变成名字;-d    将匹配信息包的代码以人们可能了解的汇编格局给出;-dd    将匹配信息包的代码以 c 语言程序段的格局给出;-ddd   将匹配信息包的代码以十进制的模式给出;-e    在输入行打印出数据链路层的头部信息,包含源 mac 和目标 mac,以及网络层的协定;-f    将内部的 Internet 地址以数字的模式打印进去;-l    使规范输入变为缓冲行模式;-n    指定将每个监听到数据包中的域名转换成 IP 地址后显示,不把网络地址转换成名字;-nn:指定将每个监听到的数据包中的域名转换成 IP、端口从利用名称转换成端口号后显示
-t    在输入的每一行不打印工夫戳;-v    输入一个略微具体的信息,例如在 ip 包中能够包含 ttl 和服务类型的信息;-vv    输入具体的报文信息;-c    在收到指定的包的数目后,tcpdump 就会进行;-F    从指定的文件中读取表达式, 疏忽其它的表达式;-i    指定监听的网络接口;-p:将网卡设置为非混淆模式,不能与 host 或 broadcast 一起应用
-r    从指定的文件中读取包 (这些包个别通过 - w 选项产生);-w    间接将包写入文件中,并不剖析和打印进去;-s snaplen snaplen 示意从一个包中截取的字节数。0 示意包不截断,抓残缺的数据包。默认的话 tcpdump 只显示局部数据包, 默认 68 字节。-T    将监听到的包间接解释为指定的类型的报文,常见的类型有 rpc(近程过程调用)和 snmp(简略网络管理协定;)-X      通知 tcpdump 命令,须要把协定头和包内容都原原本本的显示进去(tcpdump 会以 16 进制和 ASCII 的模式显示),这在进行协定剖析时是相对的利器。

监听所有端口,间接显示 ip 地址

> tcpdump -nS

显示更具体的数据报文,包含 tos, ttl, checksum 等。

> tcpdump -nnvvS

显示数据报的全副数据信息,用 hex 和 ascii 两列比照输入。

> tcpdump -nnvvXS

host: 过滤某个主机的数据报文

> tcpdump host 1.2.3.4

src, dst: 过滤源地址和目标地址

> tcpdump src 1.2.3.4
> tcpdump dst 1.2.3.4

net: 过滤某个网段的数据

> tcpdump net 1.2.3.0/24

过滤某个协定的数据,反对 tcp, udp 和 icmp

> tcpdump icmp

过滤通过某个端口的数据报

> tcpdump port 3306

src/dst, port, protocol: 联合三者

> tcpdump src port 22 and tcp
> tcpdump udp and src port 25

抓取指定范畴的端口

> tcpdump portrange 21-23

通过报文大小过滤申请, 数据报大小,单位是字节

> tcpdump less 32
> tcpdump greater 128
> tcpdump > 32
> tcpdump <= 128

抓包输入到文件

> tcpdump -w rumenz.pcap port 80

从文件读取报文显示到屏幕

> tcpdump -nXr rumenz.pcap host web

源地址是 192.168.1.110,目标端口是 3306 的数据报

> tcpdump -nnvS src 192.168.1.110 and dst port 3306

从 192.168 网段到 10 或者 172.31 网段的数据报

> tcpdump -nvX src net 192.168.0.0/16 and dat net 10.0.0.0/8 or 172.31.0.0/16

tcpdump 的输入解读

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64)
    192.168.1.110.40411 > 192.168.1.123.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0

21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44)
    192.168.1.123.80 > 192.168.1.110.40411: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0

21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.1.110.40411 > 192.168.1.123.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0

最根本也是最重要的信息就是数据报的源地址 / 端口和目标地址 / 端口,下面的例子第一条数据报中,源地址 ip 是 192.168.1.110,源端口是 40411,目标地址是 192.168.1.123,目标端口是 80。> 符号代表数据的方向。

下面的三条数据还是 tcp 协定的三次握手过程, 第一条就是 SYN 报文,这个能够通过 Flags [S] 看出。上面是常见的 TCP 报文的 Flags:

[S]:SYN(开始连贯)[.]: 没有 Flag
[P]: PSH(推送数据)[F]: FIN(完结连贯)[R]: RST(重置连贯)

而第二条数据的 [S.] 示意 SYN-ACK,就是 SYN 报文的应答报文。

原文链接:https://rumenz.com/rumenbiji/…
微信公众号: 入门小站

退出移动版