现在的位置: 首页 > Linux > 正文

Linux抓包工具tcpdump

时间:2017年02月05日 | 分类:Linux | 评论:0 条 | 浏览:1,896 次

tcpdump是查看网络状况,诊断网络问题的利器,熟练的使用可以很容易看到连接的建立,收发数据,断开

tcpdump采用命令行方式,它的命令格式为:

tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ]

tcpdump的选项介绍
-A     以ASCII格式打印出所有分组,并将链路层的头最小化。
-c      在收到指定的数量的分组后,tcpdump就会停止。
-C      在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
-d      将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd    将匹配信息包的代码以c语言程序段的格式给出。
-ddd  将匹配信息包的代码以十进制的形式给出。
-D      打印出系统中所有可以用tcpdump截包的网络接口。
-e       在输出行打印出数据链路层的头部信息。
-E       用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
-f        将外部的Internet地址以数字的形式打印出来。
-F        从指定的文件中读取表达式,忽略命令行中给出的表达式。
-i         指定监听的网络接口。
-l         使标准输出变为缓冲行形式。
-L         列出网络接口的已知数据链路。
-m        从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
-M       如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
-n        不把网络地址转换成名字。
-N       不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
-t        在输出的每一行不打印时间戳。
-O       不运行分组分组匹配(packet-matching)代码优化程序。
-P        不将网络接口设置成混杂模式。
-q        快速输出。只输出较少的协议信息。
-r         从指定的文件中读取包(这些包一般通过-w选项产生)。
-S         将tcp的序列号以绝对值形式输出,而不是相对值。
-s         从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
-T         将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
-t         不在每一行中输出时间戳。
-tt        在每一行中输出非格式化的时间戳。
-ttt       输出本行和前面一行之间的时间差。
-tttt      在每一行中输出由date处理的默认格式的时间戳。
-u         输出未解码的NFS句柄。
-v         输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv       输出详细的报文信息。
-w        直接将分组写入文件中,而不是不分析并打印出来。
-x         以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.
-xx        以16进制数形式显示每一个报文(包含链路层包头)。
-X         以16进制和ASCII码形式显示每个报文(去掉链路层报头)。
-XX       以16进制和ASCII吗形式显示每个报文(包含链路层报头)。
-y         设置tcpdump 捕获数据链路层协议类型
-Z         使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID

基本用法:

1.1、过滤主机

抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据

tcpdump -i eth1 host 192.168.1.1

指定源地址

tcpdump -i eth1 src host 192.168.1.1

指定目的地址

tcpdump -i eth1 dst host 192.168.1.1

1.2、过滤端口

抓取所有经过eth1,目的或源端口是25的网络数据

tcpdump -i eth1 port 25

指定源端口

tcpdump -i eth1 src port 25

指定目的端口

tcpdump -i eth1 dst port 25

1.3、网络过滤

tcpdump -i eth1 net 192.168

tcpdump -i eth1 src net 192.168

tcpdump -i eth1 dst net 192.168

1.4、协议过滤

tcpdump -i eth1 arp

tcpdump -i eth1 ip

tcpdump -i eth1 tcp

tcpdump -i eth1 udp

tcpdump -i eth1 icmp

1.5、常用表达式

: ! or "not" (去掉双引号)

: && or "and"

: || or "or"

抓取所有经过eth1,目的地址是192.168.1.254或192.168.1.200端口是80的TCP数据

tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

抓取所有经过eth1,目标MAC地址是00:01:02:03:04:05的ICMP数据

tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

抓取所有经过eth1,目的网络是192.168,但目的主机不是192.168.1.200的TCP数据

tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

1.6、通过tcpdump抓取mysqltcp协议数据,利用pt-query-digest做分析

tcpdump -s 65535 -x -nn -q -tttt -i any -c 1000 port 3306 > mysql.tcp.txt

获得抓包结果,-c为抓包数量,可自定义,-i为抓包的网络接口,可自定义,-s为抓取数据包时指定长度,抓取数据包时,默认抓取长度68字节,用-s 0可以抓到完整的数据包

pt-query-digest --type tcpdump mysql.tcp.txt> slow_report9.log

tcpdump -i em1 -s 0 -l -w - dst port 3306 | strings | grep -i -E 'SELECT|UPDATE|DELETE|INSERT|SET|COMMIT|ROLLBACK|CREATE|DROP|ALTER|CALL'

×