抓包选项:
-c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。
-i interface:指定tcpdump需要监听的接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),
:一旦找到第一个符合条件的接口,搜寻马上结束。可以使用'any'关键字表示所有网络接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-N:不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,
:输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,
:从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。
输出选项:
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-E: 揭秘IPSEC数据
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:当分析和打印的时候,产生详细的输出。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
其他功能性选项:
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
-S:打印出绝对sequence numbers
-t: 便于查看的时间戳
-tttt: 最容易查看的时间戳
-l: 基于行的输出,便于你保存查看,或者交给其它工具分析
not
或者!
and
或者&&
or
或者||
# 选择主机为192.168.99.129或者120端口为80的数据包
tcpdump 'port 80 and (host 192.168.99.129 or host 192.168.99.120)'
host
,net
,port
定义捕获数据包的范围# 捕获99.128主机通信的所有数据包
tcpdump host 192.168.99.128
# 捕获某段网络内的数据包
tcpdump net 192.168.99.0/24
# 捕获主机99.128与99.129或者和99.130通信的数据包
tcpdump -nn host 192.168.99.128 and '(192.168.99.129 or 192.168.99.130)'
# 获取主机192.168.99.128和除了192.168.99.130的所有通信数据包
tcpdump -nn host 192.168.99.128 and ! 192.168.99.130
# 获取99.128主机上80端口收到和发出的所有数据包
tcpdump host 192.168.99.128 and port 80
# 所有进入或离开dev-99-128的数据包
tcpdump host 192.168.99.128
# 打印helios<-->hot或helios<-->ace之间通信的数据包
tcpdump host helios and ( hot or ace )
# 打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包
tcpdump ip host ace and not helios
src
,dst
,dst or src
,dst and src
这些描述了流量包的传输方向# 获取源ip为192.168.99.120并且目标ip为192.168.99.128的数据包
tcpdump -nn src 192.168.99.120 and dst 192.168.99.128
# 截获主机hostname发送的所有数据
tcpdump src host hostname
# 监视所有发送到主机hostname的数据包
tcpdump dst host hostname
主要包括ip
,arp
,rarp
,tcp
,udp
,icmp
等
# 监视指定主机和端口的数据包
tcpdump tcp port 22 and host hostname
# 对本机的udp 123端口进行监视(123为ntp的服务端口)
tcpdump udp port 123
# 监视指定网络的数据包,如本机与192.168网段通信的数据包,"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168
# 打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
tcpdump 'gateway snup and (port ftp or ftp-data)' # 常见的服务端口可以在/etc/service中查看
# 抓取ping包
tcpdump -c 5 -nn -i eth0 icmp
# 如果明确要抓取主机为192.168.100.70对本机的ping,则使用and操作符
tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62 # 注意不能直接写icmp src 192.168.100.70,因为icmp协议不支持直接应用host这个type
# 抓取到本机22端口包
tcpdump -c 10 -nn -i eth0 tcp dst port 22
tcpdump host 1.1.1.1
tcpdump ip6
tcpdump portrange 21-23
tcpdump less 32
tcpdump greater 64
tcpdump <= 128
tcpdump -ttnnvvS
tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
tcpdump dst 192.168.0.2 and src net and not icmp
# 来自mars主机,发往非ssh端口
tcpdump -vv src mars and not dst port 22
# 来自2.4主机且访问端口为3389或者22的流量
tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'
# DNS
tcpdump -vvAs0 port 53
# ftp
tcpdump -vvAs0 port ftp or ftp-data
# NTP
tcpdump -vvAs0 port 123
# 密码
tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '
# 发现http user agent
tcpdump -vvAls0 | grep 'User-Agent:'
# Get请求
tcpdump -vvAls0 | grep 'GET'
# Host
tcpdump -vvAls0 | grep 'Host:'
# htto cookies
tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'