tcpdump命令是一款sniffer工具,它可以打印所有經(jīng)過網(wǎng)絡(luò)接口的數(shù)據(jù)包的頭信息,也可以使用-w選項(xiàng)將數(shù)據(jù)包保存到文件中,方便以后分析拆又。來自: http://man.linuxde.net/tcpdump
關(guān)鍵字
- 第一種是關(guān)于類型的關(guān)鍵字儒旬,主要包括host,net帖族,port, 例如 host 210.27.48.2栈源,指明 210.27.48.2是一臺(tái)主機(jī),net 202.0.0.0 指明 202.0.0.0是一個(gè)網(wǎng)絡(luò)地址竖般,port 23 指明端口號(hào)是23甚垦。如果沒有指定類型,缺省的類型是host.
- 第二種是確定傳輸方向的關(guān)鍵字涣雕,主要包括src , dst ,dst or src, dst and src ,這些關(guān)鍵字指明了傳輸?shù)姆较蚣枇痢Ee例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網(wǎng)絡(luò)地址是202.0.0.0 挣郭。如果沒有指明方向關(guān)鍵字垃杖,則缺省是src or dst關(guān)鍵字。
- 第三種是協(xié)議的關(guān)鍵字丈屹,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定 的網(wǎng)絡(luò)協(xié)議伶棒,實(shí)際上它是"ether"的別名旺垒,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和 分析肤无。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容先蒋。如果沒有指定任何協(xié)議,則tcpdump將會(huì)監(jiān)聽所有協(xié)議的信息包宛渐。
除了這三種類型的關(guān)鍵字之外竞漾,其他重要的關(guān)鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運(yùn)算,取非運(yùn)算是 'not ' '! ', 與運(yùn)算是'and','&&;或運(yùn)算 是'or' ,'||'窥翩;這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要业岁,下面舉幾個(gè)例子來說明。
選項(xiàng)
- -w<數(shù)據(jù)包文件>:把數(shù)據(jù)包數(shù)據(jù)寫入指定的文件寇蚊。
- -i<網(wǎng)絡(luò)界面>:使用指定的網(wǎng)絡(luò)截面送出數(shù)據(jù)包
示例
- tcpdump -n -i eth1 host 61.141.64.99 and 120.76.25.40 -w target.cap
抓取 61.141.64.99 和120.76.25.40之間的數(shù)據(jù)包笔时,并導(dǎo)出到target.cap - 指定端口數(shù)據(jù) port
tcpdump -i eth1 port 8080 -w target.cap - 指定抓包數(shù)量 -c
tcpdump -i eth1 port 8080 -w target.cap -c 10 - 指定host
tcpdump -i eth1 port 8080 and host 61.141.64.99 -w target.cap -c 10 - 想要截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信(在命令行中適用 括號(hào)時(shí),一定要/)
tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /) - 第二種是確定傳輸方向的關(guān)鍵字仗岸,主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數(shù)據(jù)包允耿,用dst port;如果我們只希望看到返回80端口的數(shù)據(jù)包扒怖,用src port- tcpdump –i eth0 host hostname and dst port 80 目的端口是80
- tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服務(wù)的主機(jī)
- 如果條件很多的話 要在條件之前加and 或 or 或 not
