tcpdump的使用

tcpdump  抓包工具

wireshark  数据分析工具

日志详解参考：

17:20:06.378764 IP ecs-124-71-57-145.compute.hwclouds-dns.com.50494 > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [S], seq 2127299852, win 29200, options [mss 1460,sackOK,TS val 3294421569 ecr 0,nop,wscale 7], length 0

17:20:08.109450 IP ..ncr_ccl > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [.], ack 45700, win 508, length 0
17:20:08.109467 IP iZuf6fdqadq9pbzyn9ef71Z.ssh > ..ncr_ccl: Flags [P.], seq 45952:46108, ack 1, win 261, length 156

17:20:06.379226 IP ecs-124-71-57-145.compute.hwclouds-dns.com.50494 > iZuf6fdqadq9pbzyn9ef71Z.ssh: Flags [R.], seq 1, ack 4003320638, win 0, length 0

[s] 开始连接

[P] 推送数据

[F] 结束连接

[R] 重置连接

[. ] 没有flag (除了上面四种类型外的其他情况有可能是ACK，URG)

 ip过滤：

tcpdump host 192.168.1.22 过滤特定的主机

tcpdump dst 192.168.1.22     指定目的地址，确定传输方向关键字   src：源   dst：目的

网段过滤：

tcpdump net 192.168.10.0/24  截获特定网段192.168.10.0/24的主机收到的和发出的所有数据包

tcpdump src net 192.168.10.0/24  源网段

tcpdump dst net 192.168.10.0/24  目标网段

端口的过滤：常用协议端口号：(http 80  https 443 dns 53 ssh 22 )

tcpdump tcp port 80  捕获80端口

tcpdump src  port 80 源端口捕获

tcpdump dst  port 80 目的端口捕获

tcpdump port 80 or port 22     tcpdump port 80 or 22      同时捕获80和22端口(写法效果一样)

tcpdump portrange 8000-8080  捕获端口的一个段   例如：(8000 8001 8002......8080端口,>2个没法用or)

tcpdump src portrange 8000-8080  源端口段的捕获

tcpdump dst portrange 8000-8080  目的端口段的捕获

tcpdump tcp port http  过滤HTTP协议80端口

协议报文几种类型：ip  ip6 icmp tcp udp

例：tcpdump icmp

http  https dns ssh  应用层协议不能直接这样写，需要写成：如下

例：tcpdump port http (80)

tcpdum -i eth0  指定eth0网卡接口监听

tcpdum -i any  所有网卡接口监听

tcpdump -i eth0  -w tt.pcap        w：保存    tt.pcap    保存成文件   

保存的文件可以是cap或者pcap格式，然后用wireshark打开查看

tcpdump  -r tt.pcap  读取文件，xshell界面直接浏览

tcpdump  -n 直接读取，不转换成域名 直接显示ip  避免执行 dns lookups 的过程 速度快

tcpdump  -nn  协议和端口都不转换，速度快

tcpdump  -N   不打印出host域名部分，将会打印nic 而不是nic.ddn.mil

tcpdump -t 不输出时间

tcpdump -tt  时间戳

tcpdump -ttt 时间间隔

tcpdump -tttt 时间前面加一个日期

tcpdump -v 信息更详细

tcpdump -vv 信息更详细

tcpdump -vvv 信息更详细

tcpdump -c 20 -w tt.cap  抓完20个包保存 tt.pcap 退出

tcpdump -C 1  -W 3 -w abc 检查设置文件的大小，创建新的数据包  1表示 1MB   W限定抓取的数据量，3表示3个文件 abc1 abc2 叠加  

tcpdump -Q 进来  in 进来的流量   out  出去的流量  inout 进出流量   --direction  

tcpdump -q  简洁输出

tcpdump -D 打印网卡网络接口

tcpdump -L 数据链路