tcpdump使用
1. tcpdump选项
它的命令格式为:
tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ][ -s snaplen ] [ -w file ] [ expression ]
抓包选项:
-c:指定要抓取的包数量。
-i interface:指定tcpdump需要监听的接口。可以使用'any'关键字表示所有网络接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-N:不打印出host的域名部分。例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,
:输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,
:从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。
输出选项:
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:当分析和打印的时候,产生详细的输出。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
其他功能性选项:
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
2. 基本的使用方法
1、抓取所有经过指定网络接口上的数据包
tcpdump -i eth0
如果不指定网络接口,则默认抓取第一个网络接口,一般是eth0
tcpdump
2、过滤主机
tcpdump -i eth1 host 192.168.1.1
tcpdump -i eth1 src host 192.168.1.1 //接收192.168.1.1发送的数据包
tcpdump -i eth1 dst host 192.168.1.1 //发往192.168.1.1的数据包
src 指定源地址,192.168.1.1
dst 指定目的地址,192.168.1.1
3、过滤端口
tcpdump -i eth1 port 25
tcpdump -i eth1 src port 25
tcpdump -i eth1 dst port 25
4、网络过滤
tcpdump -i eth1 net 192.168
tcpdump -i eth1 src net 192.168
tcpdump -i eth1 dst net 192.168
5、协议过滤
tcpdump -i eth1 arp
tcpdump -i eth1 ip
tcpdump -i eth1 tcp
tcpdump -i eth1 udp
tcpdump -i eth1 icmp
6、常用表达式
非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"
抓取主机10.3.19.185和主机10.3.19.186或10.3.19.187的通信
tcpdump 'host 10.3.19.185 and (10.3.19.186 or 10.3.19.187)'
抓取主机10.3.19.185除了和主机10.3.19.186之外所有主机通信的数据包
tcpdump host 10.3.19.185 and ! 10.3.19.186
抓取主机10.3.19.185除了和主机10.3.19.186之外所有主机通信的IP包
tcpdump ip host 10.3.19.185 and ! 10.3.19.186
抓取主机10.3.19.185所有在TCP 80端口的数据包
tcpdump tcp port 80 and host 10.3.19.185
抓取送到主机10.3.19.185的80端口的数据包:
tcpdump dst port 80 and host 10.3.19.185
抓取所有经过eth1,目的地址是192.168.1.254或192.168.1.200端口是80的TCP数
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
抓取所有经过eth1,目的网络是192.168,但目的主机不是192.168.1.200的TCP数据
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
7、保存到文件a.cap
tcpdump -i eth1 port 25 -w a.cap
3.wireshark使用
3.1 界面介绍
主界面
wireshark与对应的OSI七层模型
tcp抓包具体内容
3.2 wireshark过滤器的使用
几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。
ip地址过滤
# 对源地址为192.168.0.1的包的过滤
ip.src == 192.168.0.1
# 对目的地址为192.168.0.1的包的过滤
ip.dst == 192.168.0.1
# 对源或者目的地址为192.168.0.1的包的过滤
ip.addr == 192.168.0.1
ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
# 要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
!(表达式)
协议的过滤
# 仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
http
# 需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
http or telnet
# 排除某种协议的数据包
not arp
!tcp
端口的过滤(视协议而定)
# 捕获某一端口的数据包
tcp.port == 80
# 捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
udp.port >= 2048
针对长度和内容的过滤
# 针对长度的过虑(这里的长度指定的是数据段的长度)
udp.length < 30 http.content_length <=20
# 针对数据包内容的过滤
http.request.uri matches "vipscu" //(匹配http请求中含有vipscu字段的请求信息)
3.3 分析过程
⚡ root@VM_35_1_centos ~ curl archerwong.cn
# root @ VM_33_19_centos in ~ [10:17:47] C:1
$ tcpdump -n host 118.25.194.34 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:52:19.047261 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [S], seq 188644742, win 29200, options [mss 1424,sackOK,TS val 608533047 ecr 0,nop,wscale 7], length 0
10:52:19.047290 IP 10.105.33.19.http > 118.25.194.34.56490: Flags [S.], seq 162038118, ack 188644743, win 28960, options [mss 1460,sackOK,TS val 1190782418 ecr 608533047,nop,wscale 7], length 0
10:52:19.051949 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 608533051 ecr 1190782418], length 0
10:52:19.051979 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [P.], seq 1:78, ack 1, win 229, options [nop,nop,TS val 608533051 ecr 1190782418], length 77: HTTP: GET / HTTP/1.1
10:52:19.051986 IP 10.105.33.19.http > 118.25.194.34.56490: Flags [.], ack 78, win 227, options [nop,nop,TS val 1190782423 ecr 608533051], length 0
10:52:19.107820 IP 10.105.33.19.http > 118.25.194.34.56490: Flags [P.], seq 1:1398, ack 78, win 227, options [nop,nop,TS val 1190782479 ecr 608533051], length 1397: HTTP: HTTP/1.1 200 OK
10:52:19.112434 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [.], ack 1398, win 250, options [nop,nop,TS val 608533112 ecr 1190782479], length 0
10:52:19.112605 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [F.], seq 78, ack 1398, win 250, options [nop,nop,TS val 608533112 ecr 1190782479], length 0
10:52:19.112650 IP 10.105.33.19.http > 118.25.194.34.56490: Flags [F.], seq 1398, ack 79, win 227, options [nop,nop,TS val 1190782484 ecr 608533112], length 0
10:52:19.117308 IP 118.25.194.34.56490 > 10.105.33.19.http: Flags [.], ack 1399, win 250, options [nop,nop,TS val 608533117 ecr 1190782484], length 0
上面的抓取的一次实例,包括了三次握手,数据收发,四次挥手,具体可以结合wireshark分析
下面文章写得很详细,直接推荐下,不再copy过来了