简介:tcpdump是一个可以根据需求来抓取网络上传输的数据包的工具
常用的命令选项有:
-c:设定抓取的数量
-i:指定监听的网口
-w:将抓取的数据包保存到文件
-s:截取报文的内容,默认截取96字节,-s0表示截取全部
-r:读取数据包内容
-C 10:每10M保存一个包
-G 600:每10分钟保存一个包
过滤的参数规则:
host:指定主机名
net:指定网段
port:指定端口
portrange:指定端口范围
连接运算符
and:所有的条件都满足
or:只要满足一个条件
not:取反,也可以用!
例子:
1、抓取主机172.0.0.1的eth0网口的8080、8081端口传输的数据包并保存文件tcpdump -i eth0 -s0 port 8080 or port 8081 host 172.0.0.1 -w 1.pcap
2、按 crtl+c 停止抓包,当前目录会生成一个1.pcap文件
3、简单查看数据包内容
了解了这个之后,我们来看下服务器下有哪些网卡,输入:
ifconfig
我们现在使用tcpdump的第一个命令
tcpdump //抓取通过第一个网卡的数据包,并将信息打印在屏幕上实时显示出来
这么容易吗?哈哈,那服务器的网卡不是有多个吗?我想抓取指定网卡的数据包怎么办呢?
tcpdump -i eth0 //抓取通过eth0网卡的数据包,信息实时打印在屏幕上。-i表示指定哪个网卡接口,后面跟网卡名字,比如eth0或者lo
这样够了吗?哈哈,和eth0网卡会话的目的地址可多了,我只关心并找到和某一个IP地址之间会话的数据怎么办呢?
tcpdump -i eth0 host 192.39.45.66 //抓取该网卡和该IP地址会话的数据包,实时打印在屏幕上,host后面跟IP地址或者域名,比如也可以写成host www.baidu.com
哈哈,这样,好像有点味道了哟,但是还不满足哦,我只想查看所有192.39.45.66发送给服务器的数据包呢?(说白了就是我的服务器接收到的数据)
tcpdump -i eth0 src host 192.39.45.66 //抓取所有该网卡和该IP之间,收到的数据,src表示服务器收到的数据,如果该参数缺省,默认抓取所有数据
我只想查看服务器网卡eth0发送给192.39.45.66的所有数据包呢?(说白了就是我的服务器发出去的数据)
tcpdump -i eth0 dst host 192.39.45.66 //抓取所有该网卡和该IP之间,收到的数据,dst表示服务器发出去的数据,如果该参数缺省,默认抓取所有数据
哈哈,但是,有个问题,我想查看这个网卡下,某个端口号和目的IP会话的数据包,比如8080端口,怎么办啊?这里如果端口和IP地址同时存在的话,需要加and
tcpdump -n -i eth0 port 8080 and host 192.39.45.66 //查看8080端口号的会话数据包,port表示端口号,后面比如跟8080。-n表示不对具体ip地址做域名解析,直接显示会话两边的具体ip地址
还有个小小的问题,我现在只需要抓取某种协议的数据包,其他类型不关心,怎么办?例如tcp或者udp协议的数据包
注:如果没有标明抓取哪种协议类型的数据包,默认抓取全部协议类型的数据哦
tcpdump -n -i eth0 port 8080 and host 192.39.45.66 tcp
到这里,你都觉得好像可以了哈,但是有个很重要的问题,不是说好的Linux用tcpdump,Windows下用wireshark来分析吗?这打印在屏幕上,怎么分析嘛,应该有个保存成某个文件的命令,下载到windows中用wireshark打开才对吧?😀😀,没错,接下来讲的这几个参数,还是工作中很常用的,由于参数过多,不列举例子了:
-c:表示要抓取的包数量,比如-c 100表示我要抓取100个满足条件的包。 -i:表示指定对哪个网卡接口进行抓包,比如-i eth0,表示对eth0这个网卡进行抓包 -n:不对具体ip地址进行域名解析,直接显示ip地址 -nn:不对具体ip进行域名解析,并且端口号也不显示服务的名称,直接显示数字 -D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。 -w:将抓包数据输出到文件中而不是打印到屏幕上。 以下这两个参数:可作抓包的时候打印出信息,作为参考,毕竟我们要在wireshark分析的😀 -XX:输出数据包的头部数据。 -vvv:打印和分析的时候,产生非常详细的输出。
下面,写一个工作中很常用的抓包命令:
tcpdump -c 10 -nn -i eth0 tcp dst port 8080 and host 192.39.45.66 -w /home/huidong/MyTest.pcap
最后的路径,为绝对路径,如果只有文件名,保存在当前文件夹下,pcap格式可被wireshark打开,抓包完成后,你就可以在保存的路劲下看到那个包啦!最后,特别要注意,使用tcpdump命令的时候,建议加上-c命令,因为如果不加任何过滤的话,就会无限制的抓取数据包,直到磁盘存满为止,很可怕的,有些时候我们需要触发抓包的时候,可不用-c,触发完之后停止抓包,就OK了。
然后将包下载到Windows下,就可以愉快的继续下一步了。
接下来我们直接使用tcpdump命令抓一些数据包在屏幕上打印,看看数据包长啥样:
tcpdump
第一项是时间,如果命令加上-tttt参数,那么会显示年月日,但是大多数情况下用不到这个参数。 第二项是IP地址,我没有加-nn参数,所以这里服务器ip地址和服务器端口号被域名解析成了VM_0_10_centos.ssh,箭头是指数据发送方向。 第三项Flags,seq,ack,是不是很熟悉!?哈哈,没错,这就是TCP协议的三次握手标识
这里说一个小插曲哈,由于tcpdump是基于网卡获取流动数据,抓取的数据协议是基于传输层的协议,
最常用的两种传输层协议:
TCP 面向连接的可靠协议(eg:打电话) UDP 面向无连接的不可靠协议(eg:发短信)
而我们熟知的fiddler是基于端口监听获取数据,只能抓取基于应用层协议的数据
而应用层协议就多啦:
HTTP/HTTPS 超文本传输协议 FTP 文件传输协议 SMTP 邮件传输协议 MQ 短消息队列传输协议(物联网实时通讯方面用的比较多)
说到这,可能你对三次握手还不是很清楚,下面的图就让你明白是怎么回事:
OK,说了这么多关于TCP协议的东西,但是,可能你现在有个疑问,tcpdump抓取的是TCP/UDP协议的包,承载的应用层数据包的协议又有这么多种,如果我想判断这个包,是否承载着HTTP协议的数据,怎么办呢?这个时候呢,有两种方法,一种,是直接在抓包命令上做条件限制,让抓取的过程中,自动过滤掉不是HTTP协议的数据。
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 -c 10 -w ./HttpPort.pcap //0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"
如果对-XvvennSs参数不了解,没什么神秘的,就是之前说的几个参数组合,详细了解可以查看tcpdump的文档:Tcpdump官方文档
接下来实际操作一下,我们复制上面的命令(没有-w写入文件,直接显示在屏幕上),获取一下数据包:
获取数据包,写入文件:
第二种,是全部获取之后,用wireshark打开并过滤HTTP协议的数据包,这里由于HTTP承载于TCP之上,所以我们这里抓取TCP协议数据包。-s 0参数标识该数据包防止被截断。
tcpdump tcp -i eth0 -t -s 0 port 8080 -w ./HTTPPort.pcap
简单的
tcpdump -i any port 9000 -s0 -w ./a.cap
然后在wireshark中使用过滤语句,筛选HTTP数据包,注意这里文件后缀为pcap或者cap