tcpdump抓包工具使用

　　安装

?

1	yum -y install tcpdump

 　　基本用法

?

1 2 3 4 5 6 7 8

#抓取网口eth0流量包 # tcpdump -i eth0 -nnv #指定抓取100个包 # tcpdump -i eth0 -nnv -c 100 #把抓包输出写入文件 # tcpdump -i eth0 -nnv -w /file1.tcpdump #读取 # tcpdump -nnv -r /file1.tcpdump

 　　注意：使用w参数写入的是二进制文件，无法直接读取使用tcpdump -r读取 也可以下载使用抓包工具wireshark读取

　　条件 port，host，net

?

1 2 3 4 5 6 7

# tcpdump -i eth0 -nnv not port 80 # tcpdump -i eth0 -nnv port 22 # tcpdump -i eth0 -nnv port 80 # tcpdump -i eth0 -nnv net 192.168.0.0/24 # tcpdump -i eth0 -nnv host 192.168.0.15 # tcpdump -i eth0 -nnv dst port 22 # tcpdump -i eth0 -nnv src port 22

 　　协议作为条件

?

1 2 3 4 5 6

# tcpdump -i eth0 -nnv arp # tcpdump -i eth0 -nnv icmp # tcpdump -i eth0 -nnv udp #udp协议 # tcpdump -i eth0 -nnv tcp #tcp协议，三次握手及四次断开 # tcpdump -i eth0 -nnv ip  #ip协议 # tcpdump -i eth0 -nnv vrrp #keepalived使用协议

 　　多条件：与或非 and or not

?

1 2 3 4 5 6 7 8 9 10 11

# tcpdump -i eth0 -nnv not net 192.168.0.0/24 # tcpdump -i eth0 -nnv not port 80 # tcpdump -i eth0 -nnv host 192.168.0.15 and port 22 # tcpdump -i eth0 -nnv host 192.168.0.15 and host 192.168.0.33 # tcpdump -i eth0 -nnv host 192.168.0.15 or host 192.168.0.33 # tcpdump -i eth0 -nnv \( host 192.168.0.15 and port 22 \)  or \( host 192.168.0.33 and port 80 \) # tcpdump -i eth0 -nnv host 192.168.0.110 and port 22 or port 80 # tcpdump -i eth0 -nnv host 192.168.0.110 and \( port 22 or port 80\) # tcpdump -i eth0 -nnv host 192.168.0.110 and port 80 # tcpdump -i eth0 -nnv host 192.168.0.110 and ! port 80

 　　

　　tcp数据报头，有8位标识位部分
　　CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

# man tcpdump<br>#条件为TCP仅有SYN标记的<br><br> # tcpdump -i eth0 -nnv tcp[13]==2    |C|E|U|A|P|R|S|F|        |--------------- |        |0 0 0 0 0 0 1 0 |        |--------------- |        |7 6 5 4 3 2 1 0| # tcpdump -i eth0 -nnv tcp[13]==2 and port 22 -w ssh-conn.tcpdump 条件是：TCP仅有SYN/ACK标记的 # tcpdump -i eth0 -nnv tcp[13]==18    |C|E|U|A|P|R|S|F|        |--------------- |        |0 0 0 1 0 0 1 0 |        |--------------- |        |7 6 5 4 3 2 1 0| # tcpdump -i eth0 -nnv tcp[13]==17