tcpdump

tcpdump命令格式

tcpdump option filter

filter 是过滤包的条件，可以使用not，or，and进行组合 。windows下用wireshark
命令需要root身份执行。

选项：

-i 指定网卡接口，-i any 监听所有端口，不指定表示数字最小的网卡接口

-n   显示ip，不显示域名

-N  不打印主机的域名部分. 比如, 如果设置了此选现, tcpdump 将会打印'tieba' 而不是 'tieba.baidu.com'

-w - |strings    把包数据用字符展示出来，-w a.cap   把抓包结果写入a.cap中，

-C 1      如果a.cap 超过1M 大小，则新开一个文件，  －C fileSize , 单位是MB

-r 从某个文件读取， -r a.cap 

-X    以十六进制以及ASCII的形式打印数据内容

-x     除了打印出header外，还打印packet里面的数据(十六进制的形式)

-xx  以十六进制的形式打印header, data内容

－A  把每一个packet都用以ASCII的形式打印出来

-c 100 表示抓100个包

 -D 查看机器上有哪些网络接口

-e  把连接层的头打印出来

-j timestamp type   修改输出的时间格式

-J  显示支持的时间格式

-l |tee dump.log  tee是一个命令，在屏幕上显示dump内容，并把内容输出到dump.log中  ,tcpdump -l > dump.log

-q 就是quiet output, 尽量少的打印一些信息

-S  打印真实的，绝对的tcp seq no

-s  256  指定抓包文件的大小,默认抓取包长度是65535，单位是字节

-t   不要打时间戳

-tt   打出timstamp,从1970-1-1 以来的秒数，以及微秒数

-v    打印出详细结果

-vv   打印出更加详细的结果

 

一、基本语法

1.1、过滤主机

tcpdump -i eth1 host 192.168.1.1

tcpdump -i eth1 src host 192.168.1.1

tcpdump -i eth1 dst host 192.168.1.1

1.2、过滤端口

tcpdump -i eth1 port 25

tcpdump -i eth1 src port 25

tcpdump -i eth1 dst port 25

1.3、网络过滤

tcpdump -i eth1 net 192.168
tcpdump -i eth1 src net 192.168
tcpdump -i eth1 dst net 192.168

1.4、协议过滤

tcpdump -i eth1 arp
tcpdump -i eth1 ip
tcpdump -i eth1 tcp
tcpdump -i eth1 udp
tcpdump -i eth1 icmp

1.5、常用表达式

非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"
抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数据
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
抓取所有经过eth1，目标MAC地址是00:01:02:03:04:05的ICMP数据
tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
抓取所有经过eth1，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

使用tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。

tcpdump tcp port 80 -n -X -s 0 指定80端口进行输出