tcpdump抓包工具

一：TCPDump介绍

TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

二：日常使用

1.参数介绍

tcpdump

-i 指定网络接口
-c 指定要监控的包的数量
-w 将抓包结果以文件的形式存放
-a 　　　将网络地址和广播地址转变成名字；
-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　　将匹配信息包的代码以十进制的形式给出；
-e 　　　在输出行打印出数据链路层的头部信息；
-f 　　　将外部的Internet地址以数字的形式打印出来；
-l 　　　使标准输出变为缓冲行形式；
-n 　　　不把网络地址转换成名字；
-t 　　　在输出的每一行不打印时间戳；
-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 　　输出详细的报文信息；
-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

2.表达式介绍

表达式是一个正则表达式，tcpdump利用他过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果表达式为空，则会捕获所有所有的信息包

表达式类型：

类型关键字
- host 192.168.30.10 指定一台主机（默认）
- net 192.168.30.0 指定一个网络段
- port 80 指定端口号
方向关键字
- src 192.168.30.10 指定包中的源地址
- dst 192.168.30.20 指定包中的目的地址
- dst 192.168.30.20 or src 192.168.30.20 dst和src满足一个就获取
- dst 192.168.30.20 and src 192.168.30.20 dst和src必须同时满足
协议关键字
- fddi FDDI(分布式光纤数据接口网络)上的特定的网络协议
- ip
- arp
- rarp
- tcp
- utp
其他不常用关键字还有gateway,broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ',与运算是'and','&&';或运算是'or','││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

三.日常使用例子

抓取当前主机所有数据包，tcpdump默认在当前终端运行

[root@mweb07 ~]# tcpdump

tcpdump: WARNING: eth0: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

10:03:25.585291 IP 172.20.10.2.hsrp > all-routers.mcast.net.hsrp: HSRPv0-hello 20: state=active group=10 addr=172.20.10.1

10:03:26.680044

抓取100个数据包，并且在指定的文件存放起来，默认tcpdump文件是不允许直接查看的

[root@mweb07 ~]# tcpdump -c 100 -w tcpdump.out

tcpdump: WARNING: eth0: no IPv4 address assigned

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

100 packets captured		# 抓取100个包后，他就会自动停止

100 packets received by filter

0 packets dropped by kernel

读取-w参数导出的文件

[root@mweb07 ~]# tcpdump -r 443_tcpdump.out

reading from file 443_tcpdump.out, link-type EN10MB (Ethernet)

10:22:49.771433 IP 180.168.69.242.50838 > mweb07.https: Flags [.], seq 1094068907:1094068908, ack 4179967795, win 16537, length 1

10:22:49.771447 IP mweb07.https > 180.168.69.242.50838: Flags [R], seq 4179967795, win 0, length 0

10:22:51.525702 IP 180.168.69.242.50836 > mweb07.https: Flags [F.], seq 932060733, ack 2342938202, win 16344, length 0

抓取6379端口的100个包

[root@mweb07 ~]# tcpdump -i bond0 -c 100 -w 443_tcpdump.out tcp port 443

tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes

100 packets captured

102 packets received by filter

0 packets dropped by kernel

抓取源地址为180.168.69.242，端口为443的数据包

[root@mweb07 ~]# tcpdump -i bond0 -c 3 -w 443_tcpdump.out src 180.168.69.242 and tcp port 443

tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes

3 packets captured

3 packets received by filter

0 packets dropped by kernel

抓取指定主机的数据包

# 抓取指定主机的数据包

[root@mweb07 ~]# tcpdump -i bond0 -c 10 host 172.20.10.17

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes

10:28:40.375233 IP mweb07.34822 > mweb08.vrace: Flags [P.], seq 2258399624:2258400017, ack 3133621198, win 18960, options [nop,nop,TS val 941802562 ecr 941809211], length 393

10:28:40.375935 IP mweb08.vrace > mweb07.34822: Flags [.], seq 1:4345, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 4344

10:28:40.375945 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 4345, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0

10:28:40.375957 IP mweb08.vrace > mweb07.34822: Flags [.], seq 4345:7241, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 2896

10:28:40.375960 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 7241, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0

10:28:40.376008 IP mweb08.vrace > mweb07.34822: Flags [.], seq 7241:10137, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 2896

10:28:40.376012 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 10137, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0

10:28:40.376015 IP mweb08.vrace > mweb07.34822: Flags [P.], seq 10137:10298, ack 393, win 2841, options [nop,nop,TS val 941811328 ecr 941802562], length 161

10:28:40.376017 IP mweb07.34822 > mweb08.vrace: Flags [.], ack 10298, win 18960, options [nop,nop,TS val 941802563 ecr 941811328], length 0

10:28:40.397701 IP mweb07.46871 > mweb08.6379: Flags [P.], seq 2597564002:2597564092, ack 617045751, win 1260, options [nop,nop,TS val 941802584 ecr 941811100], length 90

10 packets captured

10 packets received by filter

0 packets dropped by kernel

# 可以发现，如果两台主机之间没有通信，是无法抓取的

[root@mweb07 ~]# tcpdump -i bond0 -c 10 host 172.20.10.10

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes四：日常场景