tcpdump抓包命令及使用

类似：

　　首页：

　　流量生成工具：

　　　　　　https://www.ituring.com.cn/article/273988

　TRAFGEN（8）网络工具包TRAFGEN（8）

　　　　　　http://man7.org/linux/man-pages/man8/trafgen.8.html

抓包工具使用

1.作用：

（1）捕获网络协议包

（2）分析网络协议包

2.分类：

（1）命令行工具，如tcpdump

（2）图像界面工具，wireshark

3.tcpdump命令行工具的使用

3.1格式：tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ]

3.2选项分类

抓包选项

-c：指定要抓取的包数量

-i interface：指定tcpdump需要监听的接口，-I 后面直接跟网卡名即可，如-I ens33

-n：对地址以数字方式显式，否则显式为主机名

-nn：除了-n的作用外，还把端口显示为数值

输出选项

-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。

-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。

-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。

-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。

-v：当分析和打印的时候，产生详细的输出。

-vv：产生比-v更详细的输出。

-vvv：产生比-vv更详细的输出

其他功能选项

-D：列出可用于抓包的接口

-F：从文件中读取抓包的表达式

-w：将抓包数据输出到文件中而不是标准输出，如-w node1.cap

-r：从给定的数据包文件中读取数据。如tcmdump -r node1.cap

4.tcpdump的表达式

tcpdump的表达式由一个或多个"单元"组成，每个单元一般包含ID的修饰符和一个ID(数字或名称)。有三种修饰符：

type：指定ID的类型。

可以给定的值有host/net/port/portrange。例如"host foo"，"net 128.3"，"port 20"，"portrange 6000-6008"。默认的type为host。

dir：指定ID的方向。

可以给定的值包括src/dst/src or dst/src and dst，默认为src or dst。例如，"src foo"表示源主机为foo的数据包，"dst net 128.3"表示目标网络为128.3的数据包，"src or dst port 22"表示源或目的端口为22的数据包。

proto：通过给定协议限定匹配的数据包类型。

常用的协议有tcp/udp/arp/ip/ether/icmp等，若未给定协议类型，则匹配所有可能的类型。例如"tcp port 21"，"udp portrange 7000-7009"。

所以，一个基本的表达式单元格式为"proto dir type ID"

tcpdump [选项] [not] proto dir type 注意顺序不能改变

除了使用修饰符和ID组成的表达式单元，还有关键字表达式单元：gateway，broadcast，less，greater以及算术表达式。

表达式单元之间可以使用操作符" and / && / or / || / not / ! "进行连接，从而组成复杂的条件表达式。如"host foo and not port ftp and not port ftp-data"，这表示筛选的数据包要满足"主机为foo且端口不是ftp(端口21)和ftp-data(端口20)的包"，常用端口和名字的对应关系可在linux系统中的/etc/service文件中找到。

另外，同样的修饰符可省略，如"tcp dst port ftp or ftp-data or domain"与"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意义相同，都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。

使用括号"()"可以改变表达式的优先级，但需要注意的是括号会被shell解释，所以应该使用反斜线"\"转义为"()"，在需要的时候，还需要包围在引号中。

5.tcpdump使用案例

5.1抓取离开或进入主机的数据包