tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析�。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議���、主機(jī)�����、網(wǎng)絡(luò)或端口的過(guò)濾���。并提供and、or�、not等邏輯語(yǔ)句來(lái)刪選去掉無(wú)用的信息。
tcpdump選項(xiàng)說(shuō)明: -A 以ASCII格式打印出所有分組�����,并將鏈路層的頭最小化
-c 在收到指定的數(shù)量的分組后��,tcpdump就會(huì)停止
-C 在將一個(gè)原始分組寫(xiě)入文件之前���,檢查文件當(dāng)前的大小是否超過(guò)了參數(shù)file_size中指定的大小����。如果超過(guò)了指定大小,則關(guān)閉當(dāng)前文件�,然后再打開(kāi)一個(gè)新的文件。參數(shù)file_size的單位是M字節(jié)����。
-d 將匹配信息包代碼以人們能夠理解的匯編格式給出。
-dd 將匹配的信息包代碼以C語(yǔ)言格式給出����。
-ddd 將匹配的信息包代碼以10進(jìn)制形式給出。
-D 打印出系統(tǒng)中所有可以用tcpdump解包的網(wǎng)絡(luò)接口����。
-e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址�����,并且包含了安全參數(shù)索引值spi的IPsec ESP分組����。
-f 將外部的Internet地址以數(shù)字的形式打印出來(lái)
-F 從指定的文件中讀取表達(dá)式,忽略命令行中給出的表達(dá)式
-i 指定監(jiān)聽(tīng)的網(wǎng)絡(luò)接口���,
-I 使標(biāo)注輸出變?yōu)榫彌_行形式�,可以把數(shù)據(jù)導(dǎo)出到文件��。
-L 列出網(wǎng)絡(luò)接口的已知數(shù)據(jù)鏈路����。
-m 從文件module中導(dǎo)入SMI MIB模塊定義。該參數(shù)可以被使用多次�,以導(dǎo)入多個(gè)MIB模塊。
-M 如果tcp報(bào)文中存在TCP-MD5選項(xiàng)���,則需要用secret作為共享的驗(yàn)證碼用于驗(yàn)證TCP-MD5選選項(xiàng)摘要(詳情可參考RFC 2385)����。
-b 在數(shù)據(jù)-鏈路層上選擇協(xié)議����,包括ip、arp�、rarp、ipx都是這一層的。
-n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字�。
-nn 直接以IP和端口號(hào)顯示,而非主機(jī)與服務(wù)器名稱����。
-N 不輸出主機(jī)名中的域名部分。例如�,‘nic.ddn.mil‘只輸出’nic‘。
-O 不運(yùn)行分組分組匹配(packet-matching)代碼優(yōu)化程序
-P 不將網(wǎng)絡(luò)接口設(shè)置成混雜模式�。
-q 快速輸出。只輸出較少的協(xié)議信息���。
-r 從指定的文件中讀取包(這些包一般通過(guò)-w選項(xiàng)產(chǎn)生)���。
-S 將tcp的序列號(hào)以絕對(duì)值形式輸出,而不是相對(duì)值�。
-s 從每個(gè)分組中讀取最開(kāi)始的snaplen個(gè)字節(jié),而不是默認(rèn)的68個(gè)字節(jié)�����。-s 0表示不限制長(zhǎng)度�����,輸出整個(gè)包��。
-T 將監(jiān)聽(tīng)到的包直接解釋為指定的類型的報(bào)文��,常見(jiàn)的類型有rpc遠(yuǎn)程過(guò)程調(diào)用)和snmp(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議��;)�����。
-t 不在每一行中輸出時(shí)間戳��。
-tt 在每一行中輸出非格式化的時(shí)間戳��。
-ttt 輸出本行和前面一行之間的時(shí)間差��。
-tttt 在每一行中輸出由date處理的默認(rèn)格式的時(shí)間戳�����。
-u 輸出未解碼的NFS句柄���。
-v 輸出一個(gè)稍微詳細(xì)的信息��,例如在ip包中可以包括ttl和服務(wù)類型的信息��。
-vv 輸出更詳細(xì)的信息�����。
-vvv 輸出詳細(xì)的報(bào)文信息�。
-w 直接將分組寫(xiě)入文件中,而不是不分析并打印出來(lái)�。(輸出的.pcap文件可以在windows中用wireshark打開(kāi),進(jìn)行進(jìn)一步分析)
-X 以及-XX�����,以16進(jìn)制與ASCII方式輸出�,即可讀方式顯示數(shù)據(jù)包,適合http�����、memcached ascii等明文傳輸?shù)膮f(xié)議���,可以看到內(nèi)容����;
示例:
截獲所有210.27.48.1 的主機(jī)收到的和發(fā)出的所有的分組:
tcpdump host 210.27.48.1
截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2或210.27.48.3的通信
tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \)
獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包�,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
獲取主機(jī)192.168.228.246接收或發(fā)出的ssh包���,并且不轉(zhuǎn)換主機(jī)名使用如下命令:
tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
獲取主機(jī)192.168.228.246接收或發(fā)出的ssh包,并把mac地址也一同顯示:
tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
過(guò)濾的源主機(jī)為192.168.0.1與目的網(wǎng)絡(luò)為192.168.0.0的報(bào)頭:
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
過(guò)濾源主機(jī)物理地址為XXX的報(bào)頭:
tcpdump ether src 00:50:04:BA:9B and dst……
過(guò)濾源主機(jī)192.168.0.1和目的端口不是telnet的報(bào)頭�����,并導(dǎo)入到tes.t.txt文件中:
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
使用tcpdump監(jiān)聽(tīng)來(lái)自eth0適配卡且通信協(xié)議為port 22���,目標(biāo)來(lái)源為192.168.1.100的數(shù)據(jù)包資料?
tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
使用tcpdump抓取訪問(wèn)eth0適配卡且訪問(wèn)端口為tcp 9080��?
tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
使用tcpdump抓取與主機(jī)192.168.43.23或著與主機(jī)192.168.43.24通信報(bào)文��,并且顯示在控制臺(tái)上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and host 172.16.70.35
原文地址:http://www./Linuxjc/1019084.html
|
