???????????????????? ? tcpdump介绍
????????tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。
tcpdump语法
? ? ? ? tcpdump???[-adeflnNOpqStvx]??[-c<数据包数目>]??[-dd][-ddd]???[-F<表达文件>]???[-i<网络界面>]????[-r<数据包文件>]????[-s<数据包大小>]????[-tt]???[-T<数据包类型>]????[-vv]???[-w<数据包文件>]???[输出数据栏位]
tcpdump参数
-a ? ?将网络地址和广播地址转变成名字;
-d ? ?将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd ? ?将匹配信息包的代码以c语言程序段的格式给出;
-ddd ? 将匹配信息包的代码以十进制的形式给出;
-e ? ?在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;
-f ? ?将外部的Internet地址以数字的形式打印出来;
-l ? ?使标准输出变为缓冲行形式;
-n ? ?指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字;
-nn:? 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-t ? ?在输出的每一行不打印时间戳;
-v ? ?输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv ? ?输出详细的报文信息;
-c ? ?在收到指定的包的数目后,tcpdump就会停止;
-F ? ?从指定的文件中读取表达式,忽略其它的表达式;
-i ? ?指定监听的网络接口;
-p:? ?将网卡设置为非混杂模式,不能与host或broadcast一起使用
-r ? ?从指定的文件中读取包(这些包一般通过-w选项产生);
-w ? ?直接将包写入文件中,并不分析和打印出来;
-s?? ?snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-T ? ?将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
-X ? ? ?告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。
监听所有端口,直接显示 ip 地址。????tcpdump?-nS
显示更详细的数据报文,包括 tos, ttl, checksum 等。? ? tcpdump?-nnvvS
显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出。? ?tcpdump?-nnvvXS
host: 过滤某个主机的数据报文。? ?tcpdump?host?1.2.3.4
src, dst: 过滤源地址和目的地址。? ? ?tcpdump?src?1.2.3.4???/>?tcpdump?dst?1.2.3.4
net: 过滤某个网段的数据。? ? tcpdump?net?1.2.3.0/24
过滤某个协议的数据,支持 tcp, udp 和 icmp。? ? tcpdump?icmp
过滤通过某个端口的数据报。? ? tcpdump?port?3306
src/dst, port, protocol: 结合三者。 tcpdump?src?port?22?and?tcp??
抓取指定范围的端口。? ? ?tcpdump?portrange?21-23
通过报文大小过滤请求,数据报大小,单位是字节。?
?tcpdump?less?32
?tcpdump?greater?128
?tcpdump?>?32
?tcpdump?<=?128
抓包输出到文件。???????tcpdump?-w?rumenz.pcap?port?80
从文件读取报文显示到屏幕。?????tcpdump?-nXr?rumenz.pcap?host?web
源地址是 110,目的端口是3306的数据报。??tcpdump?-nnvS?src?110?and?dst?port?3306
tcpdump 的输出解读
21:27:06.995846?IP?(tos?0x0,?ttl?64,?id?45646,?offset?0,?flags?[DF],?proto?TCP?(6),?length?64)
????192.168.1.110.40411?>?192.168.1.123.80:?Flags?[S],?cksum?0xa730?(correct),?seq?992042666,?win?65535,?options?[mss?1460,nop,wscale?4,nop,nop,TS?val?663433143?ecr?0,sackOK,eol],?length?0
21:27:07.030487?IP?(tos?0x0,?ttl?51,?id?0,?offset?0,?flags?[DF],?proto?TCP?(6),?length?44)
????192.168.1.123.80?>?192.168.1.110.40411:?Flags?[S.],?cksum?0xedc0?(correct),?seq?2147006684,?ack?992042667,?win?14600,?options?[mss?1440],?length?0
21:27:07.030527?IP?(tos?0x0,?ttl?64,?id?59119,?offset?0,?flags?[DF],?proto?TCP?(6),?length?40)
????192.168.1.110.40411?>?192.168.1.123.80:?Flags?[.],?cksum?0x3e72?(correct),?ack?2147006685,?win?65535,?length?0
????????最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口,上面的例子第一条数据报中,源地址 ip 是192.168.1.110,源端口是 40411,目的地址是 192.168.1.123,目的端口是 80。> 符号代表数据的方向。
????????上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文,这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:
[S]:SYN(开始连接)
[.]: 没有 Flag
[F]: FIN (结束连接)
