运维命令：tcpdump

 tcpdump命令

 tcpdump 命令是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用 -w 选项将数据包保存到文件中，方便以后分析。

 

 常用参数：

-a：尝试将网络和广播地址转换成名称；
-c<数据包数目>：收到指定的数据包数目后，就停止进行倾倒操作；
-d：把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出；
-dd：把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出；
-ddd：把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出；
-e：在每列倾倒资料上显示连接层级的文件头；(显示数据链路层信息)
-f：用数字显示网际网络地址；
-F<表达文件>：指定内含表达方式的文件；
-i<网络界面>：使用指定的网络截面送出数据包；
-l：使用标准输出列的缓冲区；
-n：不把主机的网络地址转换成名字；
-N：不列出域名；
-O：不将数据包编码最佳化；
-p：不让网络界面进入混杂模式；
-q ：快速输出，仅列出少数的传输协议信息；
-r<数据包文件>：从指定的文件读取数据包数据；
-s<数据包大小>：设置每个数据包的大小； -s : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
-S：用绝对而非相对数值列出TCP关联数；
-t：在每列倾倒资料上不显示时间戳记；
-tt： 在每列倾倒资料上显示未经格式化的时间戳记；
-T<数据包类型>：强制将表达方式所指定的数据包转译成设置的数据包类型；
-v：详细显示指令执行过程；
-vv：更详细显示指令执行过程；
-x：用十六进制字码列出数据包资料；(查看包内容)
-w<数据包文件>：把数据包数据写入指定的文件。　　

 

 实例：

直接启动tcpdump将监视第一个网络接口上所有流过的数据包
# tcpdump
监视指定网络接口的数据包
# tcpdump -i eth1　　

 如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。 

• 监视指定主机的数据包

打印所有进入或离开sundown的数据包。
# tcpdump host sundown
也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包
# tcpdump host 210.27.48.1
打印helios 与 hot 或者与 ace 之间通信的数据包
# tcpdump host helios and \( hot or ace \)
截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
# tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.
# tcpdump ip host ace and not helios
如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
# tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截获主机hostname发送的所有数据
# tcpdump -i eth0 src host hostname
监视所有送到主机hostname的数据包
# tcpdump -i eth0 dst host hostname　　

• 监视指定主机和端口的数据包

如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令
# tcpdump tcp port 23 host 210.27.48.1
对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123
获取本机arp包输出信息
# tcpdump arp　　

 

 基本语法： 

• 过滤主机

- 抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据
# tcpdump -i eth1 host 192.168.1.1

- 源地址
# tcpdump -i eth1 src host 192.168.1.1

- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1

• 过滤端口

- 抓取所有经过 eth1，目的或源端口是 25 的网络数据
# tcpdump -i eth1 port 25

- 源端口
# tcpdump -i eth1 src port 25

- 目的端口
# tcpdump -i eth1 dst port 25网络过滤

--------

# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168

• 协议过滤

# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp　　

• 常用表达式

非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"

　　

 实例： 

• - 抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

• - 抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

• - 抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'　　

• - 只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

• - 抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

• - 抓 SMTP 数据

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为 0x4d41494c。　　

• - 抓 HTTP GET 数据

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六进制是 47455420

• - 抓 SSH 返回

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六进制是 0x5353482D

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]= 0x312E)'
抓老版本的 SSH 返回信息，如"SSH-1.99.."　　

• - 抓 DNS 请求数据

# tcpdump -i eth1 udp dst port 53　　

• - 其他

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，可以用-c 参数指定抓多少个包。
# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。　　

• - 实时抓取端口号8000的GET包，然后写入GET.log

# tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log　　

 

 参考网站：

http://man.linuxde.net/tcpdump
https://www.cnblogs.com/yc_sunniwell/archive/2010/07/05/1771563.html
https://www.cnblogs.com/chenpingzhao/p/9108570.html
https://www.cnblogs.com/qiumingcheng/p/8075283.html