tcpdump

tcpdump

http://blog.csdn.net/s_k_yliu/article/details/6665673/

 

抓包和分析

tcpdump 和 tcptrace

     tcmdump 和 tcptrace 提供了一种更细致的分析方法，先用 tcpdump 按要求捕获数据包把结果输出到某一文件，然后再用 tcptrace 分析其文件格式。这个工具组合可以提供一些难以用其他工具发现的信息： 

 

监听ip

查看IP数据

#tcpdump -i ppp0 host 183.16.149.252(抓取外网)

#tcpdump host 192.168.0.110(抓取内网IP)

#tcpdump -i eth0 port  2010或22端口等(抓取内网端口)

#tcpdump -i eth0 net 192.168.0.0(抓取内网段)

#tcpdump -i eth0 -p arp(抓取ARP协议，病毒)

如：10.1.1.11这个IP有问题

09:16:38.031323 arp who-has 10.1.167.2 tell 10.1.1.11

09:16:38.031323 arp who-has 10.1.167.3 tell 10.1.1.11

09:16:38.031323 arp who-has 10.1.167.4 tell 10.1.1.11

09:16:38.031323 arp who-has 10.1.167.5 tell 10.1.1.11

 

#iptraf(查看流量工具)

#iftop(实时查看流量)

 

tcpdump 与wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。

还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

(2)-i eth1 : 只抓经过接口eth1的包

(3)-t : 不显示时间戳

(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

(5)-c 100 : 只抓取100个数据包

(6)dst port ! 22 : 不抓取目标端口是22的数据包

(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24

(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

 

使用tcpdump抓取HTTP包

-A   #以ASCII格式打印每个数据包（减去其链接级别标头）。方便捕捉网页。

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

 

tcpdump -i eth0 -A -s 0 'src host 113.65.28.93 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

tcpdump -i eth0 -A -s 0 'tcp port 8481 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w test.pcap  # pcap格式用于wirashark分析

1.监听eth0网卡HTTP 80端口的request和response
tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

2.监听eth0网卡HTTP 80端口的request(不包括response)，指定来源域名"example.com"，也可以指定IP"192.168.1.107"
tcpdump -i eth0 -A -s 0 'src example.com and tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

3.监听本机发送至本机的HTTP 80端口的request和response
tcpdump -i lo -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

4.监听eth0网卡HTTP 80端口的request和response，结果另存为cap文件
tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -w ./dump.cap

注1：如果报错"tcpdump: Bluetooth link-layer type filtering not implemented"，是因为默认网卡不是ech0，需要用-i参数指定

注2：通过ifconfig命令查看网卡

https://www.jianshu.com/p/c46f8fc1dd1d