linux 下 tcpdump抓包工具使用

77 阅读 0 评论 51 点赞

我是靠谱客的博主迷人指甲油，最近开发中收集的这篇文章主要介绍linux 下 tcpdump抓包工具使用，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

1、tcpdump是linux命令行下常用的的一个抓包工具
2、Ubuntu默认是安装好了tcpdump工具的，如果没有安装的话使用sudo apt-get install tcpdump即可安装（如果遇到tcpdump: no suitable device found的问题，检查一下是不是在用root权限运行tcpdump，tcpdump只能在root权限下工作）
3、iwconfig：查看所有无线网卡
ifconfig：查看所有网卡
下载安装tcpdump：sudo apt-get install tcpdump
4、tcpdump的参数众多，通过man tcpdump可以查看tcpdump的详细说明
-A 以ASCII格式打印出所有分组，并将链路层的头最小化。
-B 设定系统的抓包缓冲区
-c 在收到指定的数量的分组后，tcpdump就会停止。
-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 所截取的每个包都显示链路层报头：源MAC地址>目的MAC地址，以太类型 IPV4 (0X0800), 包数据长度。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
-h 打印tcpdump和libpcap的版本信息，打印tcpdump使用方法
-H Attempt to detect 802.11s draft mesh headers.
-i 指定监听的网络接口。
-I 使标准输出变为缓冲行形式，可以把数据导出到文件。
-L 列出网络接口的已知数据链路。
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
-n 别把地址转换成名字：显示ip地址，而非主机名称
-nn 不进行端口名称的转换。
-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配（packet-matching）代码优化程序。
-P 不将网络接口设置成混杂模式。
-q 快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S 将tcp的序列号以绝对值形式输出，而不是相对值。
-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u 输出未解码的NFS句柄。
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-vvv 更更详细
-w 直接将分组写入文件中，而不是不分析并打印出来。指定文件路径，默认是当前账户下的目录，如 /home/liak/ 下
-X 输出数据包信息
-x 以16进制数形式显示每一个报文(去掉链路层报头后) . 可以显示较小的完整报文
-xx 以16 进制数形式显示每一个报文(包含链路层报头)
-X 以16 进制数形式显示每一个报文(不包含链路层报头)，同时显示ASCII码。
-XX 以16 进制数形式显示每一个报文(包含链路层报头)，同时显示ASCII码。
-y 设置抓包时使用的数据链路类型
-Z 如果tcpdump以root身份运行，在打开捕捉设备或输入文件后，打开任何文件作为输出前，将进程的用户ID设为指定的用户，组ID设为指定用户的主组。

expression指定要转储的包。如果没有给定expression，所有包将被转储。expression语法参见pcap-filter(7)，多个expression使用空格分割

5、
tcpdump [-i 网卡] -nnAX ‘表达式’
各参数说明如下：
-i：interface 监听的网卡。
-nn：表示以ip和port的方式显示来源主机和目的主机，而不是用主机名和服务。
-A：以ascii的方式显示数据包，抓取web数据时很有用。
-X：数据包将会以16进制和ascii的方式显示。
表达式：表达式有很多种，常见的有：host 主机；port 端口；src host 发包主机；dst host 收包主机。多个条件可以用and、or组合，取反可以使用!更多的使用可以查看man 7 pcap-filter。
下面进行一些命令测试，如果没有权限，可以先切换成root用户。
$ tcpdump -i eth0 -nn ‘icmp’

每一行的各个数据表示的含义：
抓到包的时间 IP 发包的主机和端口 > 接收的主机和端口数据包内容
监听指定的主机
$ tcpdump -i eth0 -nn ‘host 192.168.1.231’
这样的话，192.168.1.231这台主机接收到的包和发送的包都会被抓取。
$ tcpdump -i eth0 -nn ‘src host 192.168.1.231’
这样只有192.168.1.231这台主机发送的包才会被抓取。
$ tcpdump -i eth0 -nn ‘dst host 192.168.1.231’
这样只有192.168.1.231这台主机接收到的包才会被抓取。
监听指定端口
$ tcpdump -i eth0 -nnA ‘port 80’
上例是用来监听主机的80端口收到和发送的所有数据包，结合-A参数，在web开发中，真是非常有用。
监听指定主机和端口
$ tcpdump -i eth0 -nnA ‘port 80 and src host 192.168.1.231’
多个条件可以用and,or连接。上例表示监听192.168.1.231主机通过80端口发送的数据包。
监听除某个端口外的其它端口
$ tcpdump -i eth0 -nnA ‘!port 22’
如果需要排除某个端口或者主机，可以使用“!”符号，上例表示监听非22端口的数据包。

表达式：tcpdump支持正则表达式过滤。
第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，net可以表示一个子网，比如 net 192.168.1，port 23 指明端口号是23。如果没有指定类型，缺省的类型host.
$ tcpdump host 47.95.224.4 and (10.13.32.60 or 10.13.32.169) //括号不要忘
//截获主机47.95.224.4与10.13.32.60或10.13.32.169之间的所有数据包
$tcpdump host 47.95.224.4 and !10.13.32.169 //截获主机47.95.224.4 和非10.13.32.169主机的所有数据包
$ tcpdump -i ens33 src host 47.95.224.4 //截获主机47.95.224.4发出的所有数据包
$ tcpdump -i ens33 dst host 47.95.224.4 //截获主机47.95.224.4接收的所有数据包
$ tcpdump tcp port 443 and host www.baidu.com //截获本机443端口（https）与www.baidu.com之间的数据包
监听指定网络地址的数据包
$ tcpdump net 47.95.224.0/24 //监听网络地址47.95.224.0/24收发的所有数据包
$ tcpdump ip and not net 10.13.32.169 //监听本地网络所有的ip数据包
监听icmp数据包
$ tcpdump ‘icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply’
//打印除’echo request’或者’echo reply’类型以外的ICMP数据包(比如,需要打印所有非ping程序产生的数据包时可用到此表达式。‘echo reuqest’ 与 ‘echo reply’ 这两种类型的ICMP数据包通常由ping程序产生))
//注意, 单引号或反斜杆不能省略, 这可以防止shell对&的解释或替换.

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。
第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外，其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’&&;或运算是’or’ ,’||’；这些关键字可以组合起来构成强大的组合条件来满足人们的需要。
举例来说，想要监听目标主机为192.168.1.1ip的udp协议或者端口号为80的信息头
tcpdump -i wlan0 -nn -vv dst 192.168.1.1 and udporport80udporport80
在需要使用括号的地方，需要加反斜杠转义。

<1> tcpdump -D 获取网络适配器列表
如：root@holmesian-laptop:~# tcpdump -D
　　1.eth0
　　2.wlan0
　　3.usbmon1 (USB bus number 1)
　　4.any (Pseudo-device that captures on all interfaces)
5.lo

<2> tcpdump -i 要监控的网络适配器编号
例如我想监控我的无线网卡wlan0，则使用tcpdump -i 2。
root@holmesian-laptop:~# tcpdump -i 2
　　tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
　　listening on wlan0, link-type EN10MB (Ethernet), capture size 96 bytes
　　21:24:14.578430 00:24:f9:05:78:00 (oui Unknown) Unknown SSAP 0x78 > 00:1f:3a:18:fa:06 (oui Unknown) Unknown DSAP 0xd8 Information, send seq 0, rcv seq 16, Flags [Command], length 70
……
……

<3> tcpdump -i 2 host 172.16.86.111 and tcp port 443
使用无线网卡wlan0监控IP地址为172.16.86.111上443端口的tcp协议：

<4> tcpdump -X -i 2 host 172.16.86.111 and tcp port 443
如果想要显示数据包的内容，需要使用-X参数，如，我想要显示捕获的https数据包http header的内容：
显示结果如下：
　　21:27:53.662741 IP holmesian-laptop.local.44239 > 172.16.86.111.https: Flags [S], seq 24296623, win 5840, options [mss 1460,sackOK,TS val 153804 ecr 0,nop,wscale 6], length 0
　　0x0000: 4500 003c e463 4000 4006 514a ac10 567e E…<.c@.@.QJ…V~
　　0x0010: ac10 566f accf 01bb 0172 bcaf 0000 0000 …Vo…r…
　　0x0020: a002 16d0 66a8 0000 0204 05b4 0402 080a …f…
0x0030: 0002 58cc 0000 0000 0103 0306 …X…
可以看到该结果只显示了https头的一部分，没有显示全，是因为tcpdump默认将显示的数据长度截断了，可以使用-s后面加数据长度，来设置数据显示长度：
　　tcpdump -X -s 0 -i 2 host 172.16.86.111 and tcp port 443
-s 0 表示自动设置长度使其能够显示所有数据。

<5> tcpdump -X -s 0 -w aaa host 192.9.200.59 and tcp port 8000
捕获的数据太多，不断刷屏，可能需要将数据内容记录到文件里，需要使用-w参数：则将之前显示在屏幕中的内容，写入tcpdump可执行文件同级目录下的aaa文件中。
　　文件查看方式如下，需要使用-r参数：
tcpdump -X -s 0 -i 2 -r aaa host 172.16.86.111 and tcp port 443
如果这样写：
　　tcpdump -r aaa
则只能看到最简单的数据传输交互过程，看不到数据包内容，查看时也需要使用相应的参数。

<6>总结
总结一下，tcpdump的参数分两个部分，选项（Options）和表达式（expression）：
root@holmesian-laptop:~# tcpdump –h 或 tcpdump --help
tcpdump version 4.0.0
libpcap version 1.0.0
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -M secret ] [ -r file ]
[ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
[ -y datalinktype ] [ -z command ] [ -Z user ]
[ expression ]