1. tcpdump简介及安装

  Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

  Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+（tcptrace或wireshark）。

$ yum install -y tcpdump

2. tcpdump命令格式

  tcpdump是个命令行方式的网络嗅探器。他通过使用命令选项来过滤网卡截获的数据包，假如不进行过滤，过多数量的包会使网络管理员很难理清头绪。

2.1 tcpdump选项

  通过tcpdump --help或者man tcpdump或者info tcpdump查看tcpdump帮助说明文档，tcpdump的命令格式如下：

$ tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ --number ] [ -Q in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,...  ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --immediate-mode ] [ --version ]
[ expression ]

• 抓包选项

-c：在捕获指定个数的数据包后退出。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。
-i：interface，指定监听的网络接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，一旦找到第一个符合条件的接口，搜寻马上结束。可以使用’any’关键字表示所有网络接口。
-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析（DNS查询）。
-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。（以ip和port的方式显示来源主机和目的主机，而不是用主机名和服务）
-N：不打印出host的域名部分。例如tcpdump将会打印’nic’而不是’nic.ddn.mil’。
-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”，默认为"inout"。
-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。

• 输出选项

-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v：输出较周详的信息，例如IP包中的TTL和服务类型信息。
-vv：产生比-v更详细的输出。
-vvv：产生比-vv更详细的输出。

• 功能性选项

-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F：从指定的文档中读取过滤规则，忽略命令行中指定的其他过滤规则。
-w：将截获的数据包直接写入指定的文档中，不对其进行分析和输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r：从指定的文档中读取数据包(该文档一般通过-w选项产生)。使用"-"表示从标准输入中读取。

• 其他

-a 将网络地址和广播地址转变成容易识别的名字
-d 将已截获的数据包的代码以人容易理解的格式输出；
-dd 将已截获的数据包的代码以C程式的格式输出；
-ddd 将已截获的数据包的代码以十进制格式输出；
-e 输出数据链路层的头部信息；
-f 将internet地址以数字形式输出；
-l 将标准输出变为行缓冲方式；
-t 不输出时间戳；
-T 将截获的数据包直接解释为指定类型的报文，现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。

3. 使用tcpdump抓包实例

$ tcpdump
$ tcpdump -i 网卡
$ tcpdump -nn 数字的方式显示IP和端口。一个n是ip
$ tcpdump -c x 抓包数量，x为数字
$ tcpdump port xx 抓指定端口的包，xx为端口号
$ tcpdump tcp and port xx 指定协议和端口，xx为端口号，and可以省略不写
$ tcpdump host xx.xx.xx.xx 指定来源IP或目标IP的包 xx.xx.xx.xx为IP地址。
$ tcpdump -w xx.txt 把抓的包写入一个文件，xx.txt为文件名
$ tcpdump -s0 -w xx.txt  抓包时防止包截断，s0的0为数字0，抓一个完整的包必须加s0。
$ tcpdump -r xx.txt 用户查看-w抓的包，xx.txt为文件名
-w抓的包实际是包的内容，非简单的流向。如果访问一张图片，用-w可以把这张图片抓出来。只看流向的话，可以使用重定向。

3.1 默认显示 tcpdump

$ tcpdump

默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多，滚动非常快。

3.2 综合示例

$ ./tcpdump -i eth0 host 192.168.1.70 -w  test.pcap

3.3 过滤主机

//抓取所有经过 eth0，目的或源地址是 192.168.1.70 的网络数据
$ tcpdump -i eth0 host 192.168.1.70

//抓取所有经过 eth0，源地址是 192.168.1.70 的网络数据
$ tcpdump -i eth1 src host 192.168.1.70

//抓取所有经过 eth0，目的地址是 192.168.1.70 的网络数据
$ tcpdump -i eth1 dst host 192.168.1.70

3.4 过滤端口

//抓取所有经过 eth0，目的或源端口是 22 的网络数据
$ tcpdump -i eth0 port 22
//抓取所有经过 eth0，源端口是 22 的网络数据
$ tcpdump -i eth1 src port 22
//抓取所有经过 eth0，目的端口是 22 的网络数据
$ tcpdump -i eth1 dst port 22

3.5 过滤协议

$ tcpdump -i eth0 tcp
$ tcpdump -i eth0 udp
$ tcpdump -i eth0 ip
$ tcpdump -i eth0 icmp
$ tcpdump -i eth0 arp

3.6 常用表达式：

在tcpdump的过滤表达式中，各类关键字之间还能够通过布尔运算符来构成组合表达式，以满足实际运用时的需要。

布尔运算符包括取非运算符(not 或!)、和运算符(and或&&)、或运算符(or或||)，使用布尔运算符能够将表达式组合起来构成强大的组合条件，从而能够对 Tcpdump的过滤器做进一步细化。

//抓取所有经过 eth0，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
$ tcpdump -i eth0 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
//抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
$ tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
//抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据
$ tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

3.7 保存到指定文件

//实时抓取3721端口，多播地址为228.228.228.228的包，然后写入228.228.228.228.pcap,然后通过Wireshark分析数据
$ tcpdump -i any '(host 228.228.228.228 &&  port 3721)' -w 228.228.228.228.pcap
//实时抓取端口号8000的GET包，然后写入GET.log
$ tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

通过组合不同的关键字和表达式，能够实现对任意网卡、协议、地址、端口数据包的过滤

3.8 其他相关命令

//抓取所有网卡的包
$ tcpdump -i any
//ARP过滤，比如从指定的网络接口截获5个ARP数据包，并且不将网络地址转换成主机名
$ tcpdump arp -i eth0 -c 5 -n
//截获在主机“9.185.10.57”和主机“9.185.10.58”或“9.185.10.59”之间传递的数据包
tcpdump host 9.185.10.57 and 9.185.10.58 or 9.185.10.59 
//假如想要截获主机“9.185.10.57”和除主机“9.186.10.58”外任何其他主机之间通信的IP数据包，能够使用如下命令
$ tcpdump ip host 9.185.10.57 and ! 9.185.10.58 
//抓取回环网口的包：
$ tcpdump -i lo
//防止包截断：
$ tcpdump -s0
//以数字显示主机及端口：
$ tcpdump -n

4. 抓包的格式理解

主要看来源IP和目标IP，这两列。
例如显示报文如下：
16:52:25.923003 IP 10.10.8.3.59557 > 192.168.0.139.22: Flags [.], ack 196, win 16324, length 0

# 16:52:25.923003：时间.毫秒
# IP：IP     10.10.8.3.59557：来源IP.port
# > 192.168.0.139.22：目标IP.port
# Flags [.], ack 196, win 16324, length 0：略

转载原文链接