tcpdump抓包工具
命令格式
system tcpdump -ni any 后续可以添加具体的ip(host)、端口(port)、
应用层协议(tcp udp icmp)和逻辑关系(and、or)
常用参数
-n 不进行ip地址到主机名称的转换
-i 需要监听的接口 any代表所有接口
-e 显示数据包的2层信息
-vvvvv 输出详细的内容 (v的个数没有限制)
-xxxxx 输出包头的内容 (x的个数没有限制)
抓包范例与说明
- 监听所有接口抓取与192.168.200.100 相关的数据包
tcpdump -ni any host 192.168.200.100
- 监听所有接口抓取与192.168.200.100 并且端口为23相关的数据包
system tcpdump -ni any host 192.168.200.100 and port 23
- 监听所有接口抓取与192.168.200.100相关的ping数据包
tcpdump -ni any host 192.168.200.100 and icmp
- 监听所有接口抓取与192.168.200.100 和 192.168.100.100 相关的数据包
tcpdump -ni any host 192.168.200.100 and host 192.168.100.100
- 监听所有接口抓取与192.168.200.100 或者端口为443的数据包
tcpdump -ni any host 192.168.200.100 or port 443
- 监听所有接口抓取与192.168.200.100相关的数据包,同时显示二层信息
tcpdump -ni any host 192.168.200.100 -e
- 抓取与192.168.200.100 相关的数据包,同时要显示源和目的mac地址
tcpdump -ni eth0 host 192.168.200.100 -e
- 抓取与192.168.200.100相关的icmp数据包,同时输出详细的内容
tcpdump -ni any host 192.168.200.100 and icmp -vvvvv
- 抓取与192.168.200.100相关的telnet数据包,同时输出详细的包头内容
tcpdump -ni any host 192.168.200.100 and port 23 -xxxxx
- 抓取与192.168.200.100 相关,接口为eth0,vlan20 的icmp相关数据包
tcpdump -ni eth0 vlan 20 and host 192.168.200.100 and icmp
抓包注意事项
a. 需要抓取mac地址时,如果抓取的接口为any将只会显示源mac,当需要抓取源和目的mac时,必须指定单个接口
b. 抓包定位故障时,为了确保抓取的数据全面,,需要考虑是否与NAT的情况,源NAT需要抓取目的ip,目的NAT需要抓取源ip,双向NAT需要开启2个窗口,一个抓取源IP,一个抓取目的IP
c. 抓包参数中的详细信息例如-v 和 -x 参数没有个数限制,一般输入6个即可
d. 抓包参数可以组合使用以便输出更加详细和精确的信息
e. dummy接口为设备的本机接口,当数据包终结到设备时,由dummy接口先响应然后再从物理接口发出
f. 不加接口,加e vv 抓取源mac 加接口,带e vv 抓取源和目的mac
|