tcpdump: 我来帮你过滤和分析系统中的网络数据

抓包选项：
-c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。
-i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，
            ：一旦找到第一个符合条件的接口，搜寻马上结束。可以使用'any'关键字表示所有网络接口。
-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。
-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。
-N：不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，
      ：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，
      ：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。
输出选项：
-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-E: 揭秘IPSEC数据
-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v：当分析和打印的时候，产生详细的输出。
-vv：产生比-v更详细的输出。
-vvv：产生比-vv更详细的输出。
其他功能性选项：
-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。
-w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
-S:打印出绝对sequence numbers
-t: 便于查看的时间戳
-tttt: 最容易查看的时间戳
-l: 基于行的输出，便于你保存查看，或者交给其它工具分析

# 选择主机为192.168.99.129或者120端口为80的数据包
tcpdump 'port 80 and (host 192.168.99.129 or host 192.168.99.120)' 

# 捕获99.128主机通信的所有数据包
tcpdump host 192.168.99.128
# 捕获某段网络内的数据包
tcpdump net 192.168.99.0/24
# 捕获主机99.128与99.129或者和99.130通信的数据包
tcpdump -nn host 192.168.99.128 and '(192.168.99.129 or 192.168.99.130)'
# 获取主机192.168.99.128和除了192.168.99.130的所有通信数据包
tcpdump -nn host 192.168.99.128 and ! 192.168.99.130
# 获取99.128主机上80端口收到和发出的所有数据包
tcpdump host 192.168.99.128 and port 80
# 所有进入或离开dev-99-128的数据包
tcpdump host 192.168.99.128
# 打印helios<-->hot或helios<-->ace之间通信的数据包
tcpdump host helios and ( hot or ace )
# 打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包
tcpdump ip host ace and not helios

# 获取源ip为192.168.99.120并且目标ip为192.168.99.128的数据包
tcpdump -nn src 192.168.99.120 and dst 192.168.99.128
# 截获主机hostname发送的所有数据
tcpdump src host hostname
# 监视所有发送到主机hostname的数据包
tcpdump dst host hostname

# 监视指定主机和端口的数据包
tcpdump tcp port 22 and host hostname
# 对本机的udp 123端口进行监视(123为ntp的服务端口)
tcpdump udp port 123
# 监视指定网络的数据包，如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168
# 打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
tcpdump 'gateway snup and (port ftp or ftp-data)' # 常见的服务端口可以在/etc/service中查看
# 抓取ping包
tcpdump -c 5 -nn -i eth0 icmp 
# 如果明确要抓取主机为192.168.100.70对本机的ping，则使用and操作符
tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62 # 注意不能直接写icmp src 192.168.100.70，因为icmp协议不支持直接应用host这个type
# 抓取到本机22端口包
tcpdump -c 10 -nn -i eth0 tcp dst port 22  

tcpdump host 1.1.1.1

tcpdump ip6

tcpdump portrange 21-23

tcpdump less 32 
tcpdump greater 64 
tcpdump <= 128

tcpdump -ttnnvvS

tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

tcpdump dst 192.168.0.2 and src net and not icmp
# 来自mars主机，发往非ssh端口
tcpdump -vv src mars and not dst port 22
# 来自2.4主机且访问端口为3389或者22的流量
tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

# DNS
tcpdump -vvAs0 port 53
# ftp
tcpdump -vvAs0 port ftp or ftp-data
# NTP
tcpdump -vvAs0 port 123
# 密码
tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '

# 发现http user agent
tcpdump -vvAls0 | grep 'User-Agent:'
# Get请求
tcpdump -vvAls0 | grep 'GET'
# Host
tcpdump -vvAls0 | grep 'Host:'
# htto cookies
tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'