雖然tcpdump命令的選項特別多,但是常用的選項也就上面那幾個,我這里將更多的把注意力放在使用實例上,通過使用實例來學習tcpdump這個命令。
過濾器
先進行使用實例詳解時,有必要先掌握tcpdump一些基本的使用理論知識,先來說說過濾器。
在服務器上的網絡報文是異常的多,很多時候我們只關注和具體問題有關的數據報文,而這些有用的報文只占到很小的一部分,為了不讓我們在報文的海洋里迷失自己,我們就非常有必要學習一下tcpdump提供的靈活而且功能強大的過濾器。
過濾器也可以簡單地分為三類:type,dir和proto。
type:主要用來區分過濾報文源類型,主要由host主機報文,net網段報文和port指定端口的報文組成;
dir:只過濾報文的源地址和目的地址,主要包括src源地址和dst目的地址;
proto:只過濾報文的協議類型,支持tcp,udp和icmp等;使用的時候可以省略proto關鍵字:
tcpdump -i eth1 arptcpdump -i eth1 iptcpdump -i eth1 tcptcpdump -i eth1 udptcpdump -i eth1 icmp
在我們使用tcpdump命令時是離不開這些過濾器的。
條件組合
在茫茫網絡中,想要找到那個你想要的網絡包,還是有一定難度的。為了抓住那個我們想要的網絡包,在我們抓包命令中,包含越多的限制條件,抓的無關包就會越少,所以在進行抓包時,我們可以使用“與”(and、&&)、“或”(or、||)和“非”(not、!)來將多個條件組合起來。這對我們需要基于某些條件來分析網絡包是非常有用的。
使用實例
命令:tcpdump -i eth1
說明:監視指定網絡接口的數據包
命令:tcpdump host 210.27.48.3
說明:截獲210.27.48.3主機收到的和發出的所有數據包
命令:tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6)
說明:截獲210.27.48.3主機和210.27.48.5或者210.27.48.6主機進行通信的所有數據包
命令:tcpdump net 192.168.1.0/24
說明:截獲192.168.1.0/24整個網絡的數據包
命令:tcpdump -i eth0 src host 210.27.48.3
說明:監視eth0網卡上源地址是210.27.48.3的所有網絡包
命令:tcpdump -i eth0 dst host 210.27.48.3
說明:監視eth0網卡上目的地址是210.27.48.3的所有網絡包
命令:tcpdump tcp port 23 and host 210.27.48.3
說明:獲取主機210.27.48.3上端口為23的應用發出和接收的所有TCP協議包
命令:tcpdump udp port 123
說明:獲取本機123端口發出和接收的所有UDP協議包
命令:tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24
說明:截獲源主地址為10.126.1.222,目的地址是10.126.1.0/24整個網絡
命令:tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap
說明:抓取報文后按照指定時間間隔保存;-G選項后面接時間,單位為秒;上述命令就是每隔60秒生存一個文件
命令:tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap
說明:抓取報文后按照指定報文大小保存;-C選項后接文件大小,單位為MB;上述命令就是每抓包文件達到1MB時就使用一個新的文件保存新抓的報文
上面說到tcpdump抓包后生成對應的文件,那這個文件如何進行分析呢?是的,有這么樣一個叫做“Wireshark”的軟件,可以非常完美的和tcpdump進行結合,提供可視化的分析界面;有興趣的話可以去學習一下。