专栏首页阿冬的运维技术栈UNIX系统上的抓包工具tcpdump常用命令说明

UNIX系统上的抓包工具tcpdump常用命令说明

tcpdump 介绍

tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。 不带任何选项的tcpdump,默认会抓取第一个网络接口,且只有将tcpdump进程终止才会停止抓包。 例如:

tcpdump - dump traffic on a network

tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息

tcpdump安装

通常情况下,该工具默认是已经安装好,可以使用 tcpdump —version命令查看是否安装

  • 已经安装的话,可以查看版本信息 [root@localhost ~]# tcpdump --version tcpdump version 4.9.2 libpcap version 1.5.3 OpenSSL 1.0.2k-fips 26 Jan 2017
  • 没有安装,则会提示命令没找到
[root@localhost ~]# tcpdump --version
-bash: tcpdump: command not found

yum安装

yum install tcpdump

源码安装

# flex
yum -y install flex# bison
yum -y install bison
wget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz
wget http://www.tcpdump.org/release/tcpdump-4.5.1.tar.gz
tar -zxvf libpcap-1.5.3.tar.gz
cd libpcap-1.5.3
./configure
sudo make install
cd .. /
tar -zxvf tcpdump-4.5.1.tar.gz
cd tcpdump-4.5.1
./configure
sudo make install

tcpdump选项

使用tcpdump —help则可以查看它的命令格式

[root@localhost ~]# tcpdump --help
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips  26 Jan 2017
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
[ -Q|-P in|out|inout ]
[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
[ -Z user ] [ expression ]
  • 抓包选项:

-c:指定要抓取的包数量。 -i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口 -n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。 -nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。 -P:指定要抓取的包是流入还是流出的包。可以给定的值为”in”、”out”和”inout”,默认为”inout”。 -s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断, :输出行中会出现”[|proto]”的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量, :从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。

  • 输出选项:

-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。 -q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。 -X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。 -XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。 -v:当分析和打印的时候,产生详细的输出。 -vv:产生比-v更详细的输出。 -vvv:产生比-vv更详细的输出。

[root@localhost ~]# tcpdump -i ens192 tcp -nn -X -c 10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
08:54:56.494187 IP 10.15.247.72.22 > 10.10162.243.51546: Flags [P.], seq 1398502444:1398502620, ack 3022776686, win 908, length 176
0x0000: 4510 00d8 22ed 4000 4006 68d5 0a0a f747 E...".@.@.h....G
0x0010: 0a09 a2f3 0016 c95a 535b 742c b42b e96e .......ZS[t,.+.n
0x0020: 5018 038c af18 0000 c9d9 0e04 1e69 3c46 P............i<F
0x0030: 288a bb0a 30fc de9f 2f9b 4dfc bab3 b36f (...0.../.M....o
0x0040: 21dc e594 7e26 7f65 4f1e e566 b323 252e !...~&.eO..f.#%.
0x0050: b940 6703 19d6 7434 e641 2e44 31a2 f74d .@g...t4.A.D1..M
0x0060: 70a8 219b d701 b578 7e85 7e05 481f d22a p.!....x~.~.H..*
0x0070: 8b8f 1b43 9165 c728 3b36 462f f9c3 e889 ...C.e.(;6F/....
0x0080: 0223 d841 05b2 447f 8438 d0b8 bbea 1195 .#.A..D..8......
0x0090: ff1c 85b5 93c1 8e10 9f21 a45c f52f ca95 .........!.\./..
0x00a0: 46c1 730a 9635 5df1 9018 c1f5 46d9 57cd F.s..5].....F.W.
0x00b0: 3074 16a6 bde6 1661 c86f 61ff 72c7 15a0 0t.....a.oa.r...
0x00c0: 62cc c8fc 6a30 353f e359 ce7c bbdb fecd b...j05?.Y.|....
0x00d0: 352a 2766 6740 ef78 5*'fg@.x
08:54:56.494693 IP 10.10.247.71.22 > 10.9.162.243.51546: Flags [P.], seq 176:784, ack 1, win 908, length 608
0x0000: 4510 0288 22ee 4000 4006 6724 0a0a f747 E...".@.@.g$...G
0x0010: 0a09 a2f3 0016 c95a 535b 74dc b42b e96e .......ZS[t..+.n
0x0020: 5018 038c b0c8 0000 89da aa2d 3d3b 491e P..........-=;I.
0x0030: 2c5e e4a1 d07f b6bb 79e1 e8f2 83f5 6e08 ,^......y.....n.
0x0040: cec3 8434 182d d17a 5c8d 121f e758 c982 ...4.-.z\....X..
0x0050: b6a9 4de1 a79a 18c0 c6ce 86ad 67a6 562c ..M.........g.V,
0x0060: c982 b6bb e61a 9c1f 3c24 5866 b579 f710 ........<$Xf.y..
0x0070: 4757 296b e2b3 51e1 6ecc 8a1f 6974 134e GW)k..Q.n...it.N
0x0080: 2c3c 26f7 d081 2588 6f4c a523 a9c9 ce3f ,<&...%.oL.#...?
0x0090: 4716 fa42 99d8 b91b c7b6 1bd2 fc08 7516 G..B..........u.
0x00a0: 87a8 8114 fd73 6243 4526 6b6c c825 2d44 .....sbCE&kl.%-D
0x00b0: c36e ee0f 7e0f a84d 62d4 03dc 5f1d 8a80 .n..~..Mb..._...
0x00c0: c094 8c18 cd29 a7d9 7674 beaa 3397 f0f0 .....)..vt..3...
0x00d0: dc6d e0b0 a56e a135 54a3 0d13 6cfb 8eb2 .m...n.5T...l...
0x00e0: 4669 70ab 16e7 cbab 5d43 e9ab dac6 780d Fip.....]C....x.
0x00f0: f68e 3b1b c7ed 1fb9 b043 e687 2f8e e09e ..;......C../...
0x0100: 6c8e 9cab 8680 cebc 56bd 760a 9c35 0cf7 l.......V.v..5..
0x0110: 20e1 47b1 8569 323f 6b4c 0220 6a0f de9e ..G..i2?kL..j...
...
  • 其他功能性选项:

-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于”-i”后。 -F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。 -w:将抓包数据输出到文件中而不是标准输出。可以同时配合”-G time”选项使得输出文件每time秒就自动切换到另一个文件。可通过”-r”选项载入这些文件以进行分析和打印。 -r:从给定的数据包文件中读取数据。使用”-“表示从标准输入中读取。

  • 所以常用的选项也就这几个: tcpdump -D tcpdump -c num -i int -nn -XX -vvv

tcpdump表达式

表达式用于筛选输出哪些类型的数据包,如果没有给定表达式,所有的数据包都将输出,否则只输出表达式为true的包。在表达式中出现的shell元字符建议使用单引号包围。 tcpdump的表达式由一个或多个”单元”组成,每个单元一般包含ID的修饰符和一个ID(数字或名称)。有三种修饰符:

  • .type:指定ID的类型 可以给定的值有host, net, port, portrange,默认的type为host

例如:host 192.168.73.128 , net 128.3, port 20, portrange 6000-6008’

  • dir:指定ID的方向 可以给定的值包括src/dst/src or dst/src and dst,默认为src or dst。 例如,”src foo”表示源主机为foo的数据包,”dst net 128.3”表示目标网络为128.3的数据包,”src or dst port 22”表示源或目的端口为22的数据包。
  • proto:通过给定协议限定匹配的数据包类型 常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。 例如”tcp port 21”,”udp portrange 7000-7009”。 所以,一个基本的表达式单元格式为”proto dir type ID”
  • 表达式单元之间可以使用操作符” and / && / or / || / not / ! “进行连接,从而组成复杂的条件表达式

如”host foo and not port ftp and not port ftp-data”,这表示筛选的数据包要满足”主机为foo且端口不是ftp(端口21)和ftp-data(端口20)的包”,常用端口和名字的对应关系可在linux系统中的/etc/service文件中找到。 另外,同样的修饰符可省略,如”tcp dst port ftp or ftp-data or domain”与”tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain”意义相同,都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。 使用括号”()”可以改变表达式的优先级,但需要注意的是括号会被shell解释,所以应该使用反斜线””转义为”()”,在需要的时候,还需要包围在引号中。

tcpdump常用命令示例

注:tcpdump只能抓取流经本机的数据包

1. 默认启动,不加任何参数

tcpdump

默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。ctrl +c 退出

2 . 监视指定网络接口的数据包

tcpdump -i ens33

3. 监视指定主机的数据包,例如所有进入或离开node1的数据包(可以写主机名,也可以写ip)

tcpdump -i ens33  host node1

4. 通过网卡ens33来监听端口80发出去的host包到192.168.73.133的报文

tcpdump -i ens33 port 80 and dst host "192.168.73.133"

5. 打印node1与任何其他主机之间通信的IP数据包,但不包括与node4之间的数据包

tcpdump -i ens33 host node1 and not node4

6. 截获主机node1 发送的所有数据

tcpdump -i ens33 src host node1

7. 监视任意网卡目标是192.168.73.*的80端口的数据包

tcpdump any port 80 and dst host "192.168.73.*"

8. 监视指定主机和端口的数据包

tcpdump -i ens33 port 8080 and host node1

9. 监视指定网络的数据包,如本机与192.168网段通信的数据包,”-c 10”表示只抓取10个包

tcpdump -i ens33 -c 10 net 192.168

10. 打印所有通过网关snup的ftp数据包

tcpdump 'gateway snup and (port ftp or ftp-data)'

注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析

11. 抓取ping包

tcpdump -c 5 -nn -i ens33==指定主机抓ping包==
tcpdump -c 5 -nn -i ens33 icmp and src 192.168.73.133

12. 抓取到本机22端口包

tcpdump -c 10 -nn -i ens33 tcp dst port 22

13. 解析包数据

[root@elk-master ~]# tcpdump -c 2 -q -XX -vvv -nn -i ens33 tcp dst port 22tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes10:29:05.724783 IP (tos 0x0, ttl 64, id 2031, offset 0, flags [DF], proto TCP (6), length 40)192.168.73.1.61453 > 192.168.73.133.22: tcp 00x0000:  000c 290b 9534 0050 56c0 0008 0800 4500  ..)..4.PV.....E.0x0010:  0028 07ef 4000 4006 1f0a c0a8 4901 c0a8  .(..@.@.....I...0x0020:  4985 f00d 0016 f675 9adb 7cab 7aa8 5010  I......u..|.z.P.0x0030:  1007 132d 0000 0000 0000 0000            ...-........10:29:05.766565 IP (tos 0x0, ttl 64, id 2032, offset 0, flags [DF], proto TCP (6), length 40)192.168.73.1.61453 > 192.168.73.133.22: tcp 00x0000:  000c 290b 9534 0050 56c0 0008 0800 4500  ..)..4.PV.....E.0x0010:  0028 07f0 4000 4006 1f09 c0a8 4901 c0a8  .(..@.@.....I...0x0020:  4985 f00d 0016 f675 9adb 7cab 7b48 5010  I......u..|.{HP.0x0030:  1006 128e 0000 0000 0000 0000            ............2 packets captured2 packets received by filter0 packets dropped by kernel

14. 指定目录保存抓到的ens33网卡上的22端口包数据

tcpdump  -i ens33 tcp port 22 -w /tmp/22.pcap注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的包可以使用wireshark工具打开进行分析

15. 后台滚动抓包

有的时候因为问题不是立马复现,需要后台进行抓包保存,但是如果都抓到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行抓包命令,并且按照时间对每个包进行命名,当不需要抓包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可

nohup tcpdump -i ens33 port 22 -s0 -G 3600 -Z root -w ssh22_%Y_%m%d_%H%M_%S.pcap &

16. 后台指定包的数量,然后滚动抓包,执行完指定数量自动结束

网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改

nohup tcpdump -i ens33 port 22 -s0 -G 3600 -W 1 -Z root -w ssh22_%Y_%m%d_%H%M_%S.pcap &

本文分享自微信公众号 - 阿冬的运维技术栈(gh_fa71be5df518),作者:Double冬

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 在K8S平台部署Spring Cloud微服务项目

    Maven项目对象模型(POM),可以通过一小段描述信息来管理项目的构建,报告和文档的项目管理工具软件

    用户6641876
  • 快速搭建ELK7.5版本的日志分析系统--搭建篇

    ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部

    用户6641876
  • Elastic Stack 7.5 X-Pack 安全功能部署

    elasticsearch kibana 基本上是多人使用的, 所以进行权限控制是必然,以提高安全保障

    用户6641876
  • tcpdump原理及常用命令

    Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络...

    十毛
  • SSH不能访问Virtualbox虚拟机的解决方法

    Virtualbox 是Oracle 公司出品的免费的虚拟机软件。为了学习Linux及相关软件,我们安装了Windows版本的Virtualbox,然后在Vir...

    HUBU生信
  • AI大牛沈向洋就职清华演讲全录:人类对AI如何做决定一无所知

    导读:2019 年 11 月 14 日凌晨,在微软服务 23 年的微软全球执行副总裁沈向洋博士宣布离开微软;2020 年 3 月 5 日,清华大学在线上举行了活...

    华章科技
  • 手把手教你使用ADB卸载手机内置App软件

    不知道你们有没有那么一段黑暗时期,刚买个手机,手机上内置一堆app,还卸载不掉,然后每天各种广告,手机一共1G的运行内存,那些流氓app还要再占走一些内存,真...

    Python进阶者
  • 大会 | AAAI 2018论文:视频语义理解的类脑智能

    AI 科技评论按:近日,美图云视觉技术部门与中科院自动化所共同合作研发,提出一种基于类脑智能的无监督的视频特征学习和行为识别的方法 NOASSOM (Hiera...

    AI科技评论
  • Spring Boot 之 Spring Data JPA 二 ( Query By Example)1 新建Spring Boot工程2 新建实体3 新建Repository4 新建一Service

    孙亖
  • java java查询当前广播域在线主机及主机名

    java查询当前广播域在线主机及主机名,不是多线程速度很慢,另外isReachable设置低于2000就会返回false,目前原因未知。。慢慢学习。。

    葫芦

扫码关注云+社区

领取腾讯云代金券