扩展阅读
  • linux c/c++ IP字符串转换成可比较大小的数字
  • 在win分区上安装linux和独立分区安装linux有什么区别?可以同时安装吗?(两个linux系统)
  • linux哪个版本好?linux操作系统版本详细介绍及选择方案推荐
  • 在虚拟机上安装的linux上,能像真的linux系统一样开发linux程序么?
  • secureCRT下Linux终端汉字乱码解决方法
  • 我重装window后,把linux的引导区覆盖了,进不了linux怎么办?急啊,望热心的人帮助 (现在有linux的盘)
  • Linux c字符串中不可打印字符转换成16进制
  • 红旗Linux主机可以通过127.0.0.1访问,但如何是连网的Win2000机器通过Linux的IP去访问Linux
  • Linux Kernel 'sctp_v6_xmit()'函数信息泄露漏洞
  • 安装vmware软件,不用再安装linux系统,就可以模拟linux系统了,然后可以在其上学习一下LINUX下的基本操作 了?
  • linux c下利用srand和rand函数生成随机字符串
  • 我重装window后,把linux的引导区覆盖了,进不了linux怎么办?急啊,望热心的人帮助 (现在没有linux的盘,只有DOS启动盘)
  • Linux c++虚函数(virtual function)简单用法示例代码
  • 如何让win2000和linux共存。我装好WIN2000,再装LINUX7.0,但LILO只能找到LINUX,不能引导WIN2000
  • Docker官方镜像将会使用Alpine Linux替换Ubuntu
  • 在windows中的VMware装了个linux,主板有两个串口,能做windows和linux的串口通信测试么,怎么测试这两个串口在linux是有效
  • Linux下c基于openssl生成MD5的函数
  • 我们网站的服务器从windows2000迁往linux,ASP程序继续使用,可是我连LINUX的皮毛都不了解,大家告诉我LINUX下怎么建网站??
  • linux僵尸(zombie)进程介绍及清除
  • 中文Linux与西文Linus分别哪一个版是权威?I认为是:中科软的白旗Linux与西文的绿帽子Linux!大家的看法呢?
  • Linux/CentOS下的CST和UTC时间的区别以及不一致的解决方法
  • Windows2000和Linux双操作系统,Linux系统有问题,我直接把Linux分区删除后,Windows2000进不去了,怎么办???
  •  
    当前位置:  网络技术>IP协议

    Linux/CentOS抓包命令tcpdump介绍及最新版下载

     
        发布时间:2013-8-10  


        本文导语:  tcpdump命令格式tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] [ -r f...

    tcpdump命令格式

    tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]

            [ -C file_size ] [ -G rotate_seconds ] [ -F file ]

            [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]

            [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]

            [ -W filecount ]

            [ -E spi@ipaddr algo:secret,... ]

            [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]

            [ expression ]

    tcpdump显示出符合表达式(expression)给出的条件的抓到的某个网络接口上的报文的主要内容摘要。-w选项可以让tcpdump把捕获到的报文存入指定的文件。-r选项则让tcpdump从文件中读取报文。tcpdump只会处理满足给定条件的报文。

    常用选项介绍

    -A    以ASCII格式打印出所有分组,并将链路层的头最小化

    -d    将匹配信息包的代码以人们能够理解的汇编格式给出

    -D    打印出系统中所有可以用tcpdump截包的网络接口

    -ddd  将匹配信息包的代码以十进制的形式输出

    -e    在输出行打印出数据链路层的头部信息

    -f    将外部的Internet地址数字的形式打印出来

    -l    使标准输出变为缓冲行形式

    -L    列出网络接口的已知数据链路

    -n    不把网络地址转换成名字

    -N    不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”

    -O    不运行分组分组匹配(packet-matching代码优化程序

    -p     不将网络接口设置成混杂模式

    -q     快速输出,只输出较少的协议信息

    -S     将tcp序列号以绝对值形式输出,而不是相对值

    -t     在输出的每一行不打印时间戳

    -u     输出未解码NFS句柄

    -v     输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息

    -vv    输出详细的报文信息

    -c count        指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止

    -C file_size     限定数据包写入文件大小

    -F file         从指定的文件中读取表达式,忽略其它的表达式

    -i interface     指定监听网络接口

    -m module     打开指定的SMI MIB组件

    -M secret     如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)

    -r file       从指定的文件中读取包(这些包一般通过-w选项产生)

    -s snaplen     从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节

    -T type       将截取的数据包直接解释为指定类型的报文,常见类型有rpc远程过程调用)和.net iis7站长之家(简单网络管理协议),还包括aodv、cnfp、rpc、rtprtcp、snmp、tftp、vat、wb等

    -w file          指定将监听到的数据包写入文件,不分析和打印数据包

    -W filecount     限定能写入文件数据包的数量

    -E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组

    expression      综合表达式

    tcpdump的表达式介绍

    tcpdump利用正则表达式作为过滤报文的条件,如果数据包满足表达式的条件,则会被捕获。如果没有给出任何条件,则网络上所有的数据包将会被截获。表达

    式中常用关键字如下:

      1) 指定参数类型的关键字,主要包括hostnetport等,如果没有指定类型,缺省的类型是host;

         例如:#tcpdump host 222.24.20.86 截获ip为222.24.20.86的主机收发的所有数据包

      2) 指定数据报文传输方向的关键字,主要包括src , dst ,dst or src, dst and src,缺省为src or dst;

         例如:#tcpdump src net 222.24.20.1 截取源网络地址为 222.24.20.1 的所有数据包

      3) 指定协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型,默认监听所有协议的数据包;

         例如:#tucpdump arp 截获所有arp协议的数据包

      4) 其他重要的关键字还有,gatewaybroadcastless,greater,三种逻辑运算(取非运算是 'not ','! '; 与运算是 'and ','&& ';或运算 是'or ','|| ')等。这些关键字的巧妙组合,能灵活构造过滤条件,从而满足用户需要。

         例如:#tcpdump host ubuntu and src port (80 or 8080) 截取主机ubuntu上源端口为80或8080的所有数据包。

    expression一个或多个原语 (primitive)组成。原语通常由一个标识(id,名称或数字),和标识前面的一个或多个修饰子(qualifier)组成。 修饰子 有三种不同的类型:

      type

       类型修饰子指出标识名称或标识数字代表什么类型的东西. 可以使用的类型有host, net 和 port。例如, `host foo', `net 128.3', `port 20'. 如果不指定类型修饰子, 就使用缺省的 host。

      dir

        方向修饰子指出相对于标识的传输方向(数据是传入还是传出标识)。 可以使用的方向有 src, dst, src or dst 和 src and dst。例如, `src foo', `dst net 128.3', `src or dst port ftp-data'。如果不指定方向修饰子, 就使用缺省的src or dst。 对于`null'链路层 (就是说象slip之类的点到点协议), 用inboundoutbound修饰子指定所需的传输方向。

        proto

         协议修饰子要求匹配指定的协议。可以使用的协议有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp。例如, `ether srcfoo', `arp net 128.3', `tcp port 21'。 如果不指定协议修饰子, 就使用所有符合类型的协议. 例如, `src foo' 指 `(ip 或 arp 或 rarp) src foo'(注意后者不符合语法), `net bar'指`(ip 或 arp 或 rarp) net bar', `port 53'指 `(tcp 或 udp) port 53'。(`fddi'实际上是 `ether'的别名; 分析器把它们视为 ``用在指定网络接口上的数据链路层.'' FDDI报头包含类似于以太协议的源目地址, 而且通常包含类似于以太协议的报文类型, 因此你可以过滤FDDI域, 就象分析以太协议一样. FDDI报头也包含其他域, 但是你不能在过滤器表达式里显式描述。)作为上述的补充, 有一些特殊的`原语'关键字, 它们不同于上面的模式: gateway, broadcast, less, greater和数学表达式. 这些在后面有叙述。 更复杂的过滤器表达式 可以通过and, or和not连接原语来组建。 例如,`host foo and notport ftp and not port ftp-data'。为了少敲点键, 可以忽略相同的修饰子

    。 例如, `tcp dst port ftp or ftp-data or domain'实际上就是`tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'。

    允许的 原语 有:

      dst host host

         如果报文中IP的目的地址域是host, 则逻辑为真. host既可以是地址, 也可以是主机名.

       src host host

         如果报文中IP的源地址域是host, 则逻辑为真.

       host host

         如果报文中IP的源地址域或者目的地址域是host, 则逻辑为真. 上面所有的host表达式都可以加上ip, arp, 或rarp关键字做前缀, 就象:ip host host

    它等价于: ether proto ip and host host。

         如果host是拥有多个IP地址的主机名, 它的每个地址都会被查验。

       ether dst ehost

         如果报文的以太目的地址是ehost, 则逻辑为真。Ehost既可以是名字(/etc/ethers里有),也可以是数字(有关数字格式另见 ethers(3N) )。

     ether src ehost

         如果报文的以太源地址是ehost, 则逻辑为真。

       ether host ehost

         如果报文的以太源地址或以太目的地址是ehost, 则逻辑为真。

       gateway host

         如果报文把host当做网关, 则逻辑为真。也就是说,报文的以太源或目的地址是host, 但是IP的源目地址都不是host。 host必须是个主机名, 而且必须存在/etc/hosts和/etc/ethers中. (一个等价的表达式是ether host ehost and not host host,对于 host/ehost, 它既可以是名字, 也可以是数字。)

       dst net net

         如果报文的ip目的地址属于网络号net,则逻辑为真.net既可以是名字(存在/etc/networks中),也可以是网络号.(详见networks(4))。

      src net net

         如果报文的IP源地址属于网络号net,则逻辑为真。

       net net

         如果报文的IP源地址或目的地址属于网络号net,则逻辑为真.

      net net mask mask

         如果IP地址匹配指定网络掩码(netmask)的net,则逻辑为真.本原语可以用src或dst修饰.

      net net/len

         如果IP地址匹配指定网络掩码的net,则逻辑为真,掩码的有效位宽为len.本原语可以用src或dst修饰。

       dst port port

         如果报文是ip/tcp或ip/udp,并且目的端口是port,则逻辑为真.port是一个数字,也可以是/etc/services说明过的名字 (参看tcp(4P)和udp(4P)).如果使用名字,则检查端口号和协议.如果使用数字,或者有二义的名字,则只检查端口号(例 如,dstport513将显示tcp/login的数据和udp/who的数据,而portdomain将显示tcp/domain和udp /domain的数据)。

      src port port

         如果报文的源端口号是port,则逻辑为真。

      port port

         如果报文的源端口或目的端口是port,则逻辑为真.上述的任意一个端口表达式都可以用关键字tcp或udp做前缀,就象:

       tcp src port port

         它只匹配源端口是port的TCP报文。

       less length

         如果报文的长度小于等于length,则逻辑为真.它等同于:len <= length。

       greater length

         如果报文的长度大于等于length,则逻辑为真.它等同于:len >= length。

      ip proto protocol

         如果报文是IP数据报(参见ip(4P)),其内容的协议类型是protocol,则逻辑为真.Protocol可以是数字,也可以是下列名称中的一 个:icmp,igrp,udp,nd,或tcp.注意这些标识符tcp,udp,和icmp也同样是关键字,所以必须用反斜杠()转义,在C- shell中应该是\.

       ether broadcast

         如果报文是以太广播报文,则逻辑为真.关键字ether是可选的.

      ip broadcast

         如果报文是IP广播报文,则逻辑为真.Tcpdump检查全0和全1广播约定,并且检查本地的子网掩码.

       ether multicast

         如果报文是以太多目传送报文(multicast),则逻辑为真.关键字ether是可选的.这实际上是`ether[0]&1!=0'的简写.

      ip multicast

         如果报文是IP多目传送报文,则逻辑为真.    

        ether proto protocol

         如果报文协议属于以太类型的protocol,则逻辑为真.Protocol可以是数字,也可以是名字,如ip,arp,或rarp.注意这些标识符也是 关键字,所以必须用反斜杠()转义.[如果是FDDI(例如,`fddiprotocolarp'),协议标识来自802.2逻辑链路控制(LLC)报 头,它通常位于FDDI报头的顶层.当根据协议标识过滤报文时,Tcpdump假设所有的FDDI报文含有LLC报头,而且LLC报头用的是SNAP格 式.]

       decnet src host

         如果DECNET的源地址是host,则逻辑为真,该主机地址的形式可能是``10.123'',或者是DECNET主机名.[只有配置成运行DECNET的Ultrix系统支持DECNET主机名.]

       decnet dst host

         如果DECNET的目的地址是host,则逻辑为真.  

      decnet host host

         如果DECNET的源地址或目的地址是host,则逻辑为真.ip, arp, rarp, decnet是:ether proto p的简写形式,其中p为上述协议的一种.lat, moprc, mopdl 是: ether proto p的简写形式,其中p为上述协议的一种.注意tcpdump目前不知道如何分析这些协议.tcp, udp, icmp 是: ip proto p的简写形式,其中p为上述协议的一种.

       expr relop expr

         如果这个关系成立,则逻辑为真,其中relop是<,>,<=,>=,=,!=之一,expr是数学表达式,由常整数(标准C语 法形式),普通的二进制运算符[+,-,*,/,&,|],一个长度运算符,和指定的报文数据访问算符组成.要访问报文内的数据,使用下面的语 法:proto [ expr : size ]

         Proto是ether,fddi,ip,arp,rarp,tcp,udp,oricmp之一,同时也指出了下标操作的协议层.expr给出字节单位的 偏移量,该偏移量相对于指定的协议层.Size是可选项,指出感兴趣的字节数;它可以是1,2,4,缺省为1字节.由关键字len给出的长度运算符指明报 文的长度.

         例如,`ether[0]&1!=0'捕捉所有的多目传送报文.表达式`ip[0]&0xf!=5'捕捉所有带可选域的IP报文.表达式 `ip[6:2]&0x1fff=0'只捕捉未分片和片偏移为0的数据报.这种检查隐含在tcp和udp下标操作中.例如,tcp[0]一定是 TCP报头的第一个字节,而不是其中某个IP片的第一个字节.

    原语可以用下述方法结合使用:

    园括弧括起来的原语和操作符(园括弧在Shell中有专用,所以必须转义).

    取反操作 (`!' or `not').

    连结操作 (`&&' or `and').

    或操作 (`||' or `or').

    取反操作有最取反操作有最高优先级.或操作和连结操作有相同的优先级,运算时从左到右结合.注意连结操作需要显式的and算符,而不是并列放置.

    如果给出标识符,但没给关键字,那么暗指最近使用的关键字.例如,

    not host vs and ace作为not host vs and host ace的简写形式, 不应该和not( host vs or ace )混淆

    表达式参数可以作为单个参数传给tcpdump,也可以作为复合参数,后者更方便一些.一般说来,如果表达式包含Shell元字符(metacharacter),传递单个括起来的参数要容易一些.复合参数在被解析前用空格联接一起.

    范例

    1显示所有进出sundown的报文:

    tcpdump host sundown

    2 显示helios和主机hot,ace之间的报文传送:

    tcpdump host helios and ( hot or ace )

    3 显示ace和除了helios以外的所有主机的IP报文

    tcpdump ip host ace and not helios

    4 显示本地的主机和Berkeley的主机之间的网络数据

    tcpdump net ucb-ether

    5 显示所有通过网关snup的ftp报文(注意这个表达式被单引号括起,防止shell解释园括弧)

    tcpdump 'gateway snup and (port ftp or ftp-data)'

    6 显示既不是来自本地主机,也不是传往本地主机的网络数据(如果你把网关通往某个其他网络,这个做法将不会把数据发往你的本地网络).

    tcpdump ip and not net localnet

    7 显示每个TCP会话的起始和结束报文(SYN和FIN报文),而且会话方中有一个远程主机.

    tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'

    8 显示经过网关snup中大于576字节的IP数据报

    tcpdump 'gateway snup and ip[2:2] > 576'

    9 显示IP广播或多目传送的数据报,这些报文不是通过以太网的广播或多目传送形式传送的

    tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

    10 显示所有不是回响请求/应答的ICMP报文(也就是说,不是ping报文)

    tcpdump 'icmp[0] != 8 and icmp[0] != 0'

    tcpdump的输出格式取决于协议.下面的描述给出大多数格式的简要说明和范例.


    tcpdump下载地址: tcpdump最新版4.4.0下载  


    • 本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
      本站(WWW.)站内文章除注明原创外,均为转载,整理或搜集自网络.欢迎任何形式的转载,转载请注明出处.
      转载请注明:文章转载自:[169IT-IT技术资讯]
      本文标题:Linux/CentOS抓包命令tcpdump介绍及最新版下载
    相关文章推荐:


    站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3