tcpdump常用命令整理(一)
tcpdump基本使用tcpdump默认只抓取一个包的前68或96个字节,如果要查看更多内容,需要加"-s number"选项,下面是我最常用的选项:
【选项option】
[*]-i any监听所有的网卡接口、用来查看是否有网络流量
[*]-i eth0 只监听eth0网卡流量
[*]-D 显示可用的接口列表
[*]-n 不解析成主机名(协议端口会以协议名进行显示,不显示实际端口),本地IP地址会以主机名形式显示 (参数可以连写,比如:-nX )
[*]-nn不解析成主机名和端口,会以实际IP和端口号进行显示。
[*]-q 显示简化输出
[*]-t 显示可读的时间戳
[*]-A 将封包内容以ASCII显示,通常用来捕获www网页封包的资料
[*]-x将封包以十六进制显示每一个报文 (去掉链路层报头后) ,只会以十六进制形式显示网络层及以上字段的内容,不包含数据链路层。
[*]-xx 与 -x 类似,-x默认不会以十六进制形式显示数据链路层字段,直接从网络层包头开始显示;-xx表示在十六进制显示中增加以太网header的显示,即会以十六进制形式从数据链路层开始显示。
[*]-e 获取以太网头(数据链路层头),添加此参数后,解析的信息中会显示数据链路层信息。与-xx的区别,-xx指的是以十六进制显示,而-e会在解析的明文信息前添加数据链路层信息,比如MAC等信息。
[*]-v -vv -vvv显示更加多的包信息
[*]-c 只读取指定数量的包,例:-c10 即只读10个包, 然后tcpdump停止
[*]-s 指定每个包捕获的长度、单位是 byte, 可以使用 -s0 捕获整个包
[*]-S 输出绝对的序列号
[*]-w将捕获的数据包信息写入文件
[*]-r 加载之前保存的文件(读取抓包文件:tcpdump -r file.pcap)
【常用方式】
# tcpdump -xnn -r aaa.pcap //通过此命令可以将抓包文件以16进制格式显示网络层及以上报文信息(不含数据链路层包头)。
# tcpdump -xxnn -r aaa.pcap //通过此命令可以将抓包文件以16进制格式显示,会从从链路层包头开始显示。
# tcpdump -enn -r aaa.pcap //通过此命令可以在明文解析信息中显示数据链路层信息。
【tcpdump -xr与wireshark显示效果的区别】
(1)tcpdump -x在以16进制显示数据包内容时,默认是从报文的网络层开始显示,不包括数据链路层(-x参数介绍中有描述),可以通过-e参数强制显示数据链路层。
(2)wireshark软件默认会在界面下方显示16进制报文内容,但该软件是从数据链路层开始显示,所以同一个报文在通过两种方式对比时,会发现wireshark软件中前面会多14个字节的数据链路层(前28个十六进制数),如图:
【tcpdump支持的正则表达式】
[*]与:and 或 &&
[*]或:or 或 ||
[*]非:not 或 !(后面记得加空格)
[*]括号:""
例如:tcpdump -vnn -i any" "host 192.168.99.254" or "tcp port 23" "and icmp
【表达式】
在tcpdump中可以使用表达式过滤指定类型的流量:
[*]类型type选项包含:hostnet port
[*]方向dir包含:srcdst
[*]协议proto选项包含:tcp udp ah等
【示例】
捕获所有流量
tcpdump -i any
指定网卡接口、查看指定网卡发生了什么
tcpdump -i eth0
原生输出、不解析主机、端口、显示绝对序列号、可读的时间戳
tcpdump -ttttnnvvS
查看指定ip的流量
tcpdump host {ip}
使用源和目的过滤
tcpdump src {source ip}
tcpdump dst {dest ip}
过滤某个子网的数据包
tcpdump net 1.2.3.0/24
过滤指定端口相关的流量
tcpdump port {port}
tcpdump src port {port} -> 只显示发出
过滤指定协议的流量
tcpdump tcp
只显示ipv6流量
tcpdump ip6
基于包大小过滤流量
tcpdump less 32
tcpdump grater 64
tcpdump <=128
使用端口范围过滤
tcpdump portrange 21-23
保存到指定文件
tcpdump port 80 -w file
加载之前保存的文件
tcpdump -r file
【高级使用】
[*]AND: and or &&
[*]OR: or or ||
[*]except: not or !
过滤指定源和目的端口
tcpdump -n src 1.1.1.2 and dst port 8080
过滤指定网络方向
tcpdump -n src net 1.1.1.2/16 and dst net 1.1.1.3/16
过滤到指定ip的非icmp报文
tcpdump dst 1.1.1.2 and src net and not icmp
构建规则过于复杂的时候、可以使用单引号将规则放到一起
tcpdump 'src 1.1.1.1 and (dst port 80 or 22)'
【隔离指定的TCP标识】
tcp表示在tcp header中的偏移位置13开始、后边代表的是匹配的字节数
显示所有的urgent包(URG)
tcpdump 'tcp & 32!=0'
显示所有的ACK包
tcpdump 'tcp & 16!=0'
显示所有的push包
tcpdump 'tcp & 8!=0'
显示所有的reset包
tcpdump ' & 4!=0'
显示所有的SYN包
tcpdump ' & 2!=0'
显示所有的FIN包
tcpdump ' & 1!=0'
显示所有的SYN/ACK包
tcpdump 'tcp=18'
【识别重要流量】
过滤同时设置SYN和RST标识的包(这在正常情况下不应该发生)
tcpdump 'tcp = 6'
过滤明文的HTTP GET请求
tcpdump 'tcp = 0x47455420'
通过横幅文本过滤任意端口的SSH连接
tcpdump 'tcp[(tcp>>2):4] = 0x5353482D'
过滤TTL小于10的包(通常情况下是存在问题或者在使用traceroute)
tcpdump 'ip < 10'
过滤恶意的包
tcpdump 'ip & 128 != 0'
【理解报文内容】
08:41:13.729687 IP 192.168.64.28.22 > 192.168.64.1.41916: Flags , seq 196:568, ack 1, win 309, options , length 37208:41:13.729687 本地时间戳
ip 协议是ipv4、若是ipv6会显示为 ip6
192.168.64.28.22 源ip和端口
192.168.64.1.41916 目的ip和端口
Flags 报文标记段
seq 196:568 代表该数据包包含该数据流的第 196 到 568 字节
ack 1 该数据包是数据发送方,ack 值为 1。在数据接收方,该字段代表数据流上的下一个预期字节数据,例如,该数据流中下一个数据包的 ack 值应该是 568
win 309 表示接收缓冲区中可用的字节数,后跟 TCP 选项如 MSS(最大段大小)或者窗口比例值
length 372 代表数据包有效载荷字节长度
【flag描述】
Flag字段 含义 描述
S SYN Connection Start
F FIN Connection Finish
P PUSH Data Push
. ACK Acknowledment
页:
[1]