Tcpdump 命令——筑梦之路

#命令格式tcpdump [ -AbdDefhlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ][ -C file_size ] [ -F file ] [ -G rotate_seconds ][ -i interface ] [ -m module ] [ -M secret ][ -r file ] [ -s snaplen ] [ -T type ] [ -w file ][ -W filecount ][ -E spi@ipaddr algo:secret,...  ][ -y datalinktype ] [ -z postrotate-command ] [ -Z user ][ expression ]#选项参数说明
-A以 ASCII 码方式显示每一个数据包(不会显示数据包中链路层头部信息)。在抓取包含网页数据的数据包时，可方便查看数据
-b用 ASDOT 符号而不是 ASPLAIN 符号在 BGP 数据包中打印 AS 号
-B, --buffer-size=BUFFER_SIZE设置操作系统捕捉缓冲大小，单位 KB
-c [数据包数目]收到指定的数据包数目后，就停止进行捕获操作
-C FILE_SIZE与 -w FILE 选项配合使用。该选项使得 tcpdump 在把原始数据包直接保存到文件中之前，检查此文件大小是否超过 file-size。如果超过了，将关闭此文件，另创一个文件继续保存原始数据包。新创建的文件名与 -w 选项指定的文件名一致, 但文件名后多了一个数字，该数字会从1开始随着新创建文件的增多而增加。file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=1024*1024 ＝1,048,576)
-d把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出
-dd把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出
-ddd把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出
-D, --list-interfaces打印系统中所有 tcpdump 可以在其上进行抓包的网络接口。每一个接口会打印出数字编号, 相应的接口名字, 以及一个可能的网络接口描述。其中网络接口名字和数字编号可以用在tcpdump的-i [flag]选项(nt:把名字或数字代替flag), 来指定要在其上抓包的网络接口。此选项在不支持接口列表命令的系统上很有用(nt: 比如, Windows 系统, 或缺乏 ifconfig -a 的UNIX系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字比较复杂, 而不易使用。如果tcpdump编译时所依赖的libpcap库太老,-D 选项不会被支持, 因为其中缺乏 pcap_findalldevs()函数
-e每行打印输出中将包括数据包的数据链路层头部信息
-f显示外部的IPv4地址时(nt:foreign IPv4 addresses, 可理解为非本机ip地址), 采用数字方式而不是名字。此选项是用来对付Sun公司的NIS服务器的缺陷(nt: NIS, 网络信息服务, tcpdump 显示外部地址的名字时会用到它提供的名称服务): 此NIS服务器在查询非本地地址名字时，常常会陷入无尽的查询循环)。由于对外部(foreign)IPv4地址的测试需要用到本地网络接口(nt: tcpdump 抓包时用到的接口)及其IPv4 地址和网络掩码. 如果此地址或网络掩码不可用, 或者此接口根本就没有设置相应网络地址和网络掩码(nt: linux 下的 'any' 网络接口就不需要设置地址和掩码, 不过此'any'接口可以收到系统中所有接口的数据包), 该选项不能正常工作。
-F FILE使用file文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略
-G [rotate_seconds]类似于-C [file_size]命令选项，-C按文件大小来新建文件存储数据包，-G则根据指定的时间周期，将监听到的数据包写入新的文件，新建的文件名由-w选项指定，并且文件名后接有时间串，时间串的格式由strftime(3)指定。如果没有指定时间串的格式，新的文件将覆盖旧的文件。如果与 -C 选项同时使用的话，文件名称格式将是 file<count>。
-h，--help打印tcpdump的帮助信息和libpcap的版本信息。（nt：libpcap是unix/linux平台下的网络数据包捕获函数包）
--version打印 tcpdump 和 libpcap 的 version
-i [interface],--interface=interface指定 tcpdump 需要监听的接口。如果没有指定，tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口)。一但找到第一个符合条件的接口，搜寻马上结束。在采用2.2版本或之后版本内核的Linux操作系统上, 'any'这个虚拟网络接口可被用来接收所有网络接口上的数据包(nt: 这会包括目的是该网络接口的,也包括目的不是该网络接口的)。需要注意的是如果真实网络接口不能工作在'混杂模式'(promiscuous)下，则无法在'any'这个虚拟网络接口上抓取其数据包。如果 -D 标志被指定，tcpdump会打印系统中的接口编号，而该编号就可用于此处的 interface 参数
-l对标准输出进行行缓冲(nt: 使标准输出设备遇到一个换行符就马上把这行的内容打印出来)
-L列出指定网络接口所支持的数据链路层的类型后退出.(nt: 指定接口通过-i 来指定)
-n不把主机的网络地址转换成名字
-m MODULE通过 module 指定的 file 装载 SMI 和 MIB 模块(nt: SMI，Structure of Management Information, 管理信息结构；MIB, Management Information Base, 管理信息库。可理解为,这两者用于SNMP(Simple Network Management Protoco)协议数据包的抓取。具体SNMP 的工作原理未知, 另需补充)。此选项可多次使用，从而为tcpdump装载不同的MIB模块
-M SECRET如果 TCP 数据包(TCP segments)有TCP-MD5选项(在RFC 2385有相关描述), 则为其摘要的验证指定一个公共的密钥 secret
-n不将地址(比如主机地址、端口号等)转换到对应的名字
-N不要打印主机名的域名资格，比如打印 nic 而不是 nic.ddn.mil
-O，--no-optimize不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用
-p，--no-promiscuous-mode把网络接口设置为非'混杂'模式。但必须注意，在特殊情况下此网络接口还是会以'混杂'模式来工作；从而 -p 的设与不设，不能当做以下选项的代名词：'ether host {local-hw-add}'或'ether broadcast'(nt: 前者表示只匹配以太网地址为host的包, 后者表示匹配以太网地址为广播地址的数据包
-q快速打印输出，即打印很少的协议相关信息，从而输出行都比较简短
-r [file]从指定的文件读取数据包，如果 file 为 - 符号, 则tcpdump会从标准输入中读取包数据
-R设定tcpdump对ESP/AH数据包的解析按照RFC1825而不是RFC1829(nt:AH：认证头，ESP：安全负载封装，这两者会用在IP包的安全传输机制中)。如果此选项被设置,tcpdump将不会打印出'禁止中继'域(nt: relay prevention field)。另外，由于ESP/AH规范中没有规定ESP/AH数据包必须拥有协议版本号域，所以tcpdump不能从收到的ESP/AH数据包中推导出协议版本号
-s, --snapshot-length=SNAPLEN设置 tcpdump 的数据包抓取长度为 SNAPLEN，而不是默认的 262144 字节。如果产生包截短这种情况, tcpdump的相应打印输出行中会出现''[|proto]''的标志（proto 实际会显示为被截短的数据包的相关协议层次). 需要注意的是, 采用长的抓取长度(nt: snaplen比较大), 会增加包的处理时间, 并且会减少tcpdump 可缓存的数据包的数量， 从而会导致数据包的丢失. 所以, 在能抓取我们想要的包的前提下, 抓取长度越小越好。把snaplen 设置为0意味着让tcpdump自动选择合适的长度来抓取数据包
-S，--absolute-tcp-sequence-numbers打印 TCP 数据包的顺序号时, 使用绝对的顺序号, 而不是相对的顺序号.(nt: 相对顺序号可理解为, 相对第一个TCP 包顺序号的差距,比如, 接受方收到第一个数据包的绝对顺序号为232323, 对于后来接收到的第2个,第3个数据包, tcpdump会打印其序列号为1, 2分别表示与第一个数据包的差距为1 和 2. 而如果此时-S 选项被设置, 对于后来接收到的第2个, 第3个数据包会打印出其绝对顺序号:232324, 232325)
-t在每行输出中不打印时间戳
-tt不对每行输出的时间进行格式处理(nt: 这种格式一眼可能看不出其含义, 如时间戳打印成1261798315)
-ttttcpdump 输出时, 每两行打印之间会延迟一个段时间，单位毫秒
-tttt在每行打印的时间戳之前添加日期的打印
-ttttt设置每一行输出时相对于第一行的时间间隔，单位毫秒
-T TYPE强制 tcpdump 按 type 指定的协议所描述的包结构来分析收到的数据包。目前已知的type可取的协议为：（1）aodv(Ad-hoc On-demand Distance Vector protocol, 按需距离向量路由协议, 在Ad hoc(点对点模式)网络中使用)；（2）cnfp(Cisco  NetFlow  protocol)；（3）rpc(Remote Procedure Call)；（4）rtp(Real-Time Applications protocol)；（5）rtcp(Real-Time Applications con-trol protocol)；（6）snmp(Simple Network Management Protocol)；（7）tftp(Trivial File Transfer Protocol, 碎文件协议)；（8）vat(Visual Audio Tool，可用于在internet上进行电视电话会议的应用层协议), 以及wb(distributed White Board，可用于网络会议的应用层协议)
-u打印出未加密的 NFS 句柄（nt：handle可理解为NFS中使用的文件句柄, 这将包括文件夹和文件夹中的文件)
-U使得当 tcpdump 在使用 -w 选项时，其文件写入与包的保存同步。(nt：即当每个数据包被保存时, 它将及时被写入文件中,而不是等文件的输出缓冲已满时才真正写入此文件)。-U标志在老版本的libpcap库(nt：tcpdump所依赖的报文捕获库)上不起作用, 因为其中缺乏pcap_cump_flush()函数
-v产生详细的输出。比如包的生存时间、标识、总长度以及IP包的一些选项。这也会打开一些附加的包完整性检测， 比如对IP或ICMP包头部的校验和
-vv产生比-v更详细的输出。比如NFS（Network File System）回应包中的附加域将会被打印，SMB（Server Message Block）数据包也会被完全解码
-vvv更详细的输出。例如，telent时所使用的SB,SE选项将会被打印, 如果telnet同时使用-X图形界面选项，其相应的图形选项将会以16进制的方式打印出。
-w FILE把包数据直接写入文件而不进行分析和打印输出，这些包数据可在随后通过-r选项来重新读入并进行分析和打印
-W FILECOUNT此选项与 -C 选项配合使用，这将限制可打开的文件数目, 并且当文件数据超过这里设置的限制时, 依次循环替代之前的文件, 这相当于一个拥有filecount 个文件的文件缓冲池。同时,该选项会使得每个文件名的开头会出现足够多并用来占位的0，可以方便这些文件被正确的排序-x：打印每个包的头部数据, 同时会以16进制打印出每个包的数据(但不包括连接层的头部)，总共打印的数据大小不会超过整个数据包的大小与snaplen 中的最小值。必须要注意的是, 如果高层协议数据没有snaplen这么长，并且数据链路层(比如,Ethernet层)有填充数据, 则这些填充数据也会被打印-xx：打印每个包的头部数据, 同时会以16进制打印出每个包的数据, 其中包括数据链路层的头部-X：当分析和打印时, tcpdump会打印每个包的头部数据，同时会以16进制和ASCII码形式打印出每个包的数据(但不包括链路层的头部)。这对于分析一些新协议的数据包很方便-XX：当分析和打印时,tcpdump会打印每个包的头部数据，同时会以16进制和ASCII码形式打印出每个包的数据, 其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便-y [datalinktype]，--linktype=datalinktype：设置tcpdump只捕获数据链路层协议类型是datalinktype的数据包-z [postrotate-command]：与-C或-G联用，当每一个文件被关闭时执行命令postrotate-command。比如，-z gzip或-z bzip2将对每一个保存的文件进行压缩
-Z , --relinquish-privileges=USER使 tcpdump 放弃自己的超级权限（如果以 root 用户启动 tcpdump，tcpdump 将会有超级用户权限)，并把当前 tcpdump 的用户 ID 设置为 USER，组 ID 设置为 USER 属组的 ID
expression条件表达式用于选择捕获符合条件的数据包，无 expression，网络上任何两台主机间的所有数据包都将被截获

#使用范例#打印所有到达或从主机 sunrise 发出的数据包，host 可以是 IP 地址或主机名。
tcpdump host sunrise#打印主机 A 与 B 或 C 之间来往的所有数据包
tcpdump host A and \( B or C \)#打印 ace 与任何其他主机之间通信的 IP 数据包，但不包括与 helios 之间的数据包
tcpdump ip host ace and not helios#打印本地主机与 Berkeley 网络上的主机之间的所有通信数据包
tcpdump net ucb-ether#打印所有通过网关 snup 的 ftp 数据包。注意，表达式被单引号括起来了，这可以防止 Shell 对其中的括号进行错误解析tcpdump 'gateway snup and (port ftp or ftp-data)'#打印不是本地网络的数据包。
tcpdump ip and not net localnet#打印 TCP 会话中的的开始和结束数据包，并且数据包的源或目的不是本地网络上的主机。（nt：localnet，实际使用时要真正替换成本地网络的名字）tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'#打印长度超过 576 字节，并且网关地址是 snup 的 IP 数据包
tcpdump 'gateway snup and ip[2:2] > 576'ip[2:2] 表示整个 IP 数据包的长度#打印除’echo request’或者’echo reply’类型以外的 ICMP 数据包（比如，需要打印所有非 ping 程序产生的数据包时可用到此表达式 。（nt: ‘echo reuqest’ 与 ‘echo reply’ 这两种类型的 ICMP 数据包通常由 ping 程序产生）tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'#抓取主机 100.94.138.110 所有经由接口 eth1 接收的数据包，且端口号是20700
tcpdump -i eth1 -lnXps0 dst 100.94.138.110 and dst port 20700 -c 10命令选项说明：lnXps0 请参照上文的命令选项详解，-c 10 表示只捕捉 10 个数据包

抓包选项：-c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。-i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，一旦找到第一个符合条件的接口，搜寻马上结束。可以使用'any'关键字表示所有网络接口。-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。-N：不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。-s0:防止包截断

输出选项：-e：输出的每行中都将包括数据链路层头部信息。例如源MAC和目标MAC。-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。-A ：打印数据报文的 ASCII 值-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。-v：当分析和打印的时候，产生详细的输出。-vv：产生比-v更详细的输出。-vvv：产生比-vv更详细的输出。其他功能性选项：-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。-F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。-w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。-r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。三种修饰符：type：指定ID的类型。可以给定的值有host/net/port/portrange。例如"host foo"，"net 128.3"，"port 20"，"portrange 6000-6008"。默认的type为host。dir：指定ID的方向。可以给定的值包括src/dst/src or dst/src and dst，默认为src or dst。例如，"src foo"表示源主机为foo的数据包，"dst net 128.3"表示目标网络为128.3的数据包，"src or dst port 22"表示源或目的端口为22的数据包。proto：通过给定协议限定匹配的数据包类型。常用的协议有tcp/udp/arp/ip/ether/icmp等，若未给定协议类型，则匹配所有可能的类型。例如"tcp port 21"，"udp portrange 7000-7009"。

# 列出可以抓包的网络接口tcpdump -D# 监视指定网络接口的数据包tcpdump -i ens32# 对本机的udp 123端口进行监视(123为ntp的服务端口)tcpdump udp port 123# 监视指定网络的数据包，如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包tcpdump -c 10 net 192.168# 抓取ping包tcpdump -c 5 -nn -i ens33 icmp# 如果明确要抓取主机为192.168.182.130对本机的ping，则使用and操作符tcpdump -c 5 -nn -i ens33 icmp and src 192.168.182.130# 抓取到本机22端口包tcpdump -c 10 -nn -i bond0 tcp dst port 22# 解析包数据tcpdump -c 2 -q -XX -vvv -nn -i bond0 tcp dst port 22# 参数只抓取和特定主机相关的数据包tcpdump -i any -c5 -nn host 192.168.182.152
tcpdump -i any -c5 -nn host 192.168.182.130# 保存抓包数据## 使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包tcpdump -i any -c10 -nn -w webserver.pcap port 22## tcpdump 将数据包保存在二进制文件中，所以不能简单的用文本编辑器去打开它。使用 -r 选项参数来阅读该文件中的报文内容tcpdump -nn -r webserver.pcap

Tcpdump 命令——筑梦之路相关推荐

不关闭Selinux\Firewalld的情况下OpenSSH 9.0/9.1/9.2升级说明——筑梦之路
前面写了一些文章,关于利用官方源码编译或者制作rpm包来升级openssh,修复安全漏洞 centos 7 制作openssh8.7/8.8/8.9/9.0 p1 rpm包升级--筑梦之路_筑梦之路的 ...
CentOS 8 安装freePBX 软交换电话软件——筑梦之路
简单介绍: Freepbx是一个集成了Asterisk的工具,提供GUI (graphical user interface)用户图形界面.通过Freepbx可以十分方便的配置各类电话系统.由于Ast ...
K8S中使用显卡GPU(N卡) —— 筑梦之路
前些年做AI项目的时候经常用到显卡,大多数时候都是传统部署,对于资源的利用率并不高,而显卡也不便宜,K8S集群内调用显卡可以更加细致地进行显卡计算资源的分配,提高资源利用率. 之前记录和显卡相关的一些 ...
时间同步设置NTP和Chrony两种方式—— 筑梦之路
之前写的:Chrony时间同步服务器的搭建--筑梦之路_筑梦之路的博客-CSDN博客_搭建chrony服务器 linux 下部署NTP服务器时间同步_筑梦之路的博客-CSDN博客操作系统:cent ...
Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
1.扫描nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.comnmap --script="ssl-enum-ciphers" ...
linux 常用命令搜集 —— 筑梦之路
系统信息 arch 显示机器的处理器架构 name -m 显示机器的处理器架构 name -r 显示正在使用的内核版本 dmidecode -q 显示硬件系统部件 -(SMBIOS/DMI) hdpa ...
linux 常用解压、压缩命令合集——筑梦之路
1. tar文件解包:tar xvf FileName.tar 打包:tar cvf FileName.tar DirName (注:tar是打包,不是压缩!)2. gz文件解压1:gunzip Fi ...
CentOS7自制openssh rpm包（含ssh-copy-id命令）—— 筑梦之路
背景:新版的openssh源码里面编译安装,已经将ssh-copy-id命令放到了子目录contrib,而不会默认安装,而此命令在使用中比较实用,比如各主机之间的免密认证 %global ver 9. ...
linux shell命令对时间的处理（精确到秒、毫秒、纳秒）——筑梦之路
获取时间戳(纳秒) echo $[$(date +%s%N)]获取时间戳(毫秒) echo $[$(date +%s%N)/1000000] 或 date +%s%3N 特定时间转时间戳(纳秒) da ...

Tcpdump 命令——筑梦之路

Tcpdump 命令——筑梦之路相关推荐

最新文章

热门文章