tcpdump的使用

Posted 2021-11-21 武云医生

 

(一)tcpdump的安装：

（1） yum -y install tcpdump

（二）tcpdump的参数介绍：

（1）参数帮助：

①i:接口信息

②port：只捕捉80端口

③v：显示详细信息，2个vv显示更详细的信息，vvv就详细的不得了

④w：保存为文件

Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]

               [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

               [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]

               [ -Q|-P in|out|inout ]

               [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]

               [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]

               [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]

               [ -Z user ] [ expression ]

（三）抓包示范：

（1）普通捕获：

①tcpdump -i eth0 -s 0 -w file.pcap   //捕获网卡eth0的，保存大包的大小为（68字节），0就是默认的为68字节

②tcpdump  -i eth0  port 22          //捕获网卡为eth0并且端口为22的数据包

（2）关键字比如host，port：

① tcpdump  host 10.54.67.7    //捕获10.54.67.7的所有数据通信

②tcpdump  net  192.168.1.0/24  //捕获该网段的所有数据

③tcpdump  -nn host 192.168.1.2 and (192.168.1.3 or 192.168.116.150)  //捕获主机某个地址和某几个个地址段之间的通信

④tcpdump -nn host 192.168.1.2 and !  192.168.1.3  /捕获主机192.168.1.2和192.168.1.3通信的数据

⑤tcpdump host 192.168.1.2 and port //捕获主机192.168.1.2的端口80收到和发出的数据

（3）传输方向关键字的捕获，主要有src,dst,dst or src,dst and src，这些关键字指明了传输的方向，默认了src和dst：

①tcpdump -nn src 192.168.1.2 and dst 192.168.1.3   //捕获源为192.168.1.2目标为192.168.1.3之间的数据包

②tcpdump -nn src 192.168.1.2 and src port  80 and dst  192.168.1.3 and dst  port 22 //捕获源为192.168.1.2端口为80，并且目标为192.168.1.3的22端口的数据

（4）协议关键字：主要是包括ip，arp，tcp，udp，icmp等类型

①tcpdump  -nn host  192.168.1.2 and port 22 and tcp  //捕获源为192.168.1.2端口为22并且协议为tcp

②tcpdump -i eth0  -s 1400 -nn host 192.168.1.2  and ! 192.168.1.3 and icmp -e //捕获网口为eth0上192.168.1.2和192.168.1.3外的其他主机之间的icmp报文

（四）读取抓包文件：

①tcpdump  -r file.pcap     //-r是读取的意思

②tcpdump -n src host 192.168.1.2  -r file.pcap //只显示源为192.168.1.2的主机的

③tcmpdump -n -r  file.pcap | awk {print $3}   //捕获所有的ip和端口