linux 抓包命令tcpdump

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

一、概述

顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或者端口的过滤，并提供and\or\not等逻辑语句来帮助你去掉无用的信息。

二、选项介绍

-a 将网络地址和广播地址转变成名字； 

-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。 

-c 指定要监听的数据包数量，在收到指定的包的数目后，tcpdump就会停止. 

-d 将匹配信息包的代码以人们能够理解的汇编格式给出； 

-dd 将匹配信息包的代码以c语言程序段的格式给出； 

-ddd 将匹配信息包的代码以十进制的形式给出； 

-e 在输出行打印出数据链路层的头部信息； 

-F 从指定的文件中读取表达式,忽略其它的表达式； 

-f 将外部的Internet地址以数字的形式打印出来； 

-i 指定监听的网络接口，这在计算机具有多个网络接口时非常有用. 

-l 用于输出为行缓冲的形式，可以将数据重定向。 

-N 不打印出默认的域名。前面信息-N后就是：eth0 < ntc9.1165 > router.telnet。 

-n 不进行IP地址到主机名的转换。如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把IP地址转换为主机名显示，就像这样：eth0 < ntc9.1165> router.domain.net.telnet，使用-n后变成了：eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。 

-nn 不进行端口名称的转换。前面那条信息使用-nn后就变成了：eth0 < ntc9.1165 > router.domain.net.23。 

-O 不进行匹配代码的优化。 

-r 从指定的文件中读取包(这些包一般通过-w选项产生)； 

-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；） 

-t 在输出的每一行不打印时间戳； 

-tt 打印原始的、未格式化过的时间。 

-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； 

-vv 输出详细的报文信息； 

-w 指定将监听到的数据包写入文件中保存而并不分析和打印出来.

三. 实例

1.监视第一个网络界面上所有流过的数据包:

tcpdump 

普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包，注意这里使用超级用户。当用户上网得时候，就会将监视得数据打印出来。

2.监视指定网络接口的数据包：

tcpdump -i eth1

如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0。

3.监视指定主机的数据包：

tcpdump host sundown

tcpdump host 210.27.48.1 

4.监视指定主机和端口的数据包：

tcpdump tcp port 23 host 210.27.48.1

5.重定向输出：

tcpdump -l >tcpcap.txt 

将得到的数据存入tcpcap.txt文件中。

6.匹配一次：

tcpdump -c 1

这样就只匹配一个包，然后tcpdump就退出。

7.监视指定主机和另外主机之间得通信： 

tcpdump host 10.126.1.222 and (10.126.1.1 or 10.126.1.13 ) 

将监视主机10.126.1.222和10.126.1.1或者10.126.1.13之间的通信，注意这里得括号。

8.监视时排除某一主机：

tcpdump ip host 10.126.1.1 and ! 10.126.1.13 

这里监视10.1.6.1.1除了和10.126.1.13之外所有主机的通信。 

9.指定源主机和目的网络的过滤: 

tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24 

过滤的是源主机为10.126.1.222与目的网络为10.126.1.0/24的报头。 

10.匹配指定网络：

tcpdump -i eth1 net 10.1.10.0 mask 255.255.255.0

这里有掩码只支持IPV4，或者使用”tcpdump 10.1.10.0/24″，同样这个格式只对IPV4有用。 

11.监视指定主机指定协议的包： 

tcpdump ip host 10.126.1.13 

这里监视主机10.126.1.13收发的所有ip包。

12.监视指定主机和端口的数据包：

tcpdump -i eth0 host 10.126.1.1 and port 80 

监视10.126.1.1端口80的TCP或UDP数据包

13.监视指定方向和接口的包1： 

tcpdump -i eth0 src host 10.126.1.222 

监视10.126.1.222发送的，eth0上面的包。

14.监视指定方向和接口的包2：

tcpdump -i eth0 dst host 10.126.1.222 

监视10.126.1.222接收的，eth0上面的包。

15.监视指定链路层信息： 

tcpdump -b arp 

只显示网络中的arp即地址转换协议信息。 

16.过滤源主机mac为00:50:04:BA:9B的报头： 

tcpdump ether src 00:24:7e:03:62:14 

可以使用ifconfig查看本地主机的mac，使用arp -n来查看本地已知其他主机的mac。 

17.过滤源主机为10.126.1.222目的主机端口不是telnet的报文：

tcpdump src host 10.126.1.222 and dst port not telnet 

18.匹配ether包： 

tcpdump -i eth1 ‘ether src 00:24:7e:03:62:14′ 

将会在eth1上面监听来自mac为”00:24:7e:03:62:14″的数据包。 

19.监听ip广播组播数据包 ：

tcpdump ‘ip dst 192.168.240.255′ 

只需指明广播或组播地址即可。在同一个局域网的另一台主机运行”ping -b 192.168.240.255″即可发送ICMP的广播包。 

20.监听80端口的tcp数据包： 

tcpdump ‘tcp dst port 80′ 

一般HTTP的通信数据，只需指定匹配端口为80的条件即可。 

21.匹配arp包：

tcpdump arp 

可以使用”arping “产生arp请求和接收答应报文，使用”tcpdump -p ‘arp'”来监视，此处-p选项是使网络工作于正常模式（非混杂模式），这样是方便查看匹配结果，我们可以使用”ssh -p 80 “或者”wget <下载地址>”来产生http包。 

22.监视通过指定网关的数据包：

tcpdump gateway hostname 

23.匹配端口53上的udp数据包： 

tcpdump ‘upd port 53′ 

实际53号端口是DNS协议所用的端口，可以用’ping -c 1 www.baidu.com’来产生DNS请求和答应。

24.抓取wireshark工具能够分析的包：

tcpdump -w dumpfile.pcap

这样抓取内容存放在dumpfile.pcap中，可以用wireshark图形工具进行分析。有的说需要加-s参数，例如”tcpdump -s 0 -w dumpfile.pcap”。

三. tcpdump 与wireshark：

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析