tcpdump-快速查询版-常用后缀
文章目录
- 1. 安装Tcpdump
- 2. Tcpdump命令语法
- 3. 捕获特定接口的数据包 -i
- 4. 预设捕获数据包数量 -c
- 5. 获取详细输出 -v
- 6. 以ASCII格式打印捕获的数据 -A
- 7. 捕获特定源IP的数据包 +src
- 8. 捕获发往特定目标IP的数据包 +dst
- 9. 根据端口号过滤 +port
- 10. 根据协议过滤 +proto
- 11. 根据主机过滤 +host
- 12. 组合多个过滤规则
- 13. 保存捕获的数据 -w
- 14. 读取保存的数据 -r (少见)
- 15. 实际场景
- 15.1 分析HTTP流量
- 15.2 分析DNS查询
- 15.3 检测网络攻击
- 15.4 Tcpdump 高级功能
Tcpdump是一款功能强大的命令行包分析工具,可用于捕获和显示计算机网络中传输或接收的数据包。下面记录了tcpdump常见的使用命令,有时候在工作中为了提供效率或者想要获得自己想要的结果,记住一些经常使用的后缀,或者做份笔记记录下自己常用的命令,方便日后的查询,是非常聪明的做法!!!
1. 安装Tcpdump
Tcpdump通常预装在许多类Unix系统中,如Linux和macOS。然而,如果你的系统中没有预装Tcpdump,可以使用包管理器来安装它。以下是一些常见系统的安装方法:
在Debian系系统(如Ubuntu)上:
sudo apt-get update
sudo apt-get install tcpdump
在Red Hat系系统(如CentOS、Fedora)上:
sudo yum install tcpdump
在macOS上(使用Homebrew):
brew install tcpdump
安装完成后,可以通过以下命令检查Tcpdump是否成功安装:
tcpdump --version
如果安装成功,该命令将显示Tcpdump的版本信息。
2. Tcpdump命令语法
Tcpdump命令的基本语法如下:
tcpdump [选项] [表达式]
选项(options)用于修改Tcpdump的行为,例如指定捕获接口、输出格式等。表达式(expression)用于过滤数据包,只捕获与表达式匹配的数据包。
常用选项包括:
-i:指定要监听的网络接口。例如,-i eth0 表示监听eth0接口。
-c:指定要捕获的数据包数量。例如,-c 10 表示捕获10个数据包。
-w:将捕获的数据包写入文件。例如,-w capture.pcap 表示将数据包保存到capture.pcap文件中。
-r:从文件读取数据包。例如,-r capture.pcap 表示从capture.pcap文件中读取数据包。
示例命令:
sudo tcpdump -i eno2
这条命令将捕获eno2接口上的所有数据包,并在终端显示。
3. 捕获特定接口的数据包 -i
默认情况下,Tcpdump将捕获所有接口上的数据包。为了捕获特定接口的数据包,可以使用-i选项指定接口名称。例如,要捕获eth0接口上的数据包,可以使用以下命令:
sudo tcpdump -i eth0
执行此命令后,Tcpdump将开始捕获eth0接口上的数据包并显示在终端上。
4. 预设捕获数据包数量 -c
在某些情况下,您可能希望捕获一定数量的数据包然后自动停止。使用-c选项可以预设捕获的数据包数量。例如,要捕获4个数据包,可以使用以下命令:
sudo tcpdump -c 4 -i eth0
执行此命令后,Tcpdump将捕获4个数据包,然后自动停止。
5. 获取详细输出 -v
在进行网络分析时,详细的输出信息有助于理解数据包的具体内容。使用-v选项可以获取详细输出。例如:
sudo tcpdump -c 6 -v -i eth0
使用-vv或-vvv选项可以进一步增加详细级别:
sudo tcpdump -vv -i eth0
sudo tcpdump -vvv -i eth0
详细输出将显示更多的协议层信息和数据包内容。
6. 以ASCII格式打印捕获的数据 -A
有时,您可能希望以ASCII格式查看数据包的内容,尤其是在分析文本协议(如HTTP)时。使用-A选项可以以ASCII格式打印数据包内容:
sudo tcpdump -A -i eth0
使用-XX选项可以同时以ASCII和HEX格式打印数据包内容:
sudo tcpdump -XX -i eth0
这有助于深入分析数据包的具体内容和结构。
7. 捕获特定源IP的数据包 +src
在进行网络分析时,有时需要捕获来自特定源IP的数据包。使用src选项可以指定源IP地址。例如,要捕获源IP为192.168.56.11的数据包,可以使用以下命令:
sudo tcpdump -i eth1 -c 5 src 192.168.56.11
这条命令将在eth1接口上捕获源IP为192.168.56.11的前5个数据包。
8. 捕获发往特定目标IP的数据包 +dst
类似地,使用dst选项可以指定目标IP地址。例如,要捕获发往目标IP为192.168.56.11的数据包,可以使用以下命令:
sudo tcpdump -i eth1 -c 5 dst 192.168.56.11
这条命令将在eth1接口上捕获发往目标IP为192.168.56.11的前5个数据包。
使用过滤选项
过滤数据包是Tcpdump的一项重要功能,可以根据特定条件捕获特定的数据包,从而减少不必要的流量,使分析更加简单高效。Tcpdump支持多种过滤条件,包括端口、协议、主机等。
9. 根据端口号过滤 +port
要捕获特定端口的数据包,可以使用port选项。例如,要捕获端口22(SSH)的数据包,可以使用以下命令:
sudo tcpdump -i eth0 port 22
这条命令将捕获eth0接口上端口22的所有数据包。
10. 根据协议过滤 +proto
要根据协议过滤数据包,可以使用proto选项。例如,要捕获TCP协议的数据包,可以使用以下命令:
sudo tcpdump -i eth0 proto tcp
也可以使用协议号进行过滤,TCP协议的协议号为6,因此以下命令等效于上面的命令:
sudo tcpdump -i eth0 proto 6
11. 根据主机过滤 +host
要捕获来自或发往特定主机的数据包,可以使用host选项。例如,要捕获IP地址为192.168.56.10的主机的数据包,可以使用以下命令:
sudo tcpdump -i eth0 host 192.168.56.10
这条命令将捕获eth0接口上IP地址为192.168.56.10的所有数据包,包括该主机发出的和接收的数据包。
12. 组合多个过滤规则
Tcpdump支持组合多个过滤规则,从而实现更复杂的过滤条件。例如,要捕获来自特定主机且端口为80或443(HTTP和HTTPS)的数据包,可以使用以下命令:
sudo tcpdump -i eth1 -c 50 "host 192.168.56.11 and (port 443 or port 80)"
这条命令将在eth1接口上捕获IP地址为192.168.56.11且端口为443或80的前50个数据包。
13. 保存捕获的数据 -w
在进行长时间的网络监控或需要后续分析时,将捕获的数据保存到文件是非常有用的。使用-w选项可以将捕获的数据包写入文件。例如,要将捕获的数据包保存到文件my_capture.pcap,可以使用以下命令:
sudo tcpdump -i eth0 -c 10 -w my_capture.pcap
这条命令将在eth0接口上捕获10个数据包,并将它们保存到文件my_capture.pcap。
14. 读取保存的数据 -r (少见)
保存的数据包可以使用Tcpdump或其他分析工具(如Wireshark)进行后续分析。使用-r选项可以从文件中读取数据包。例如,要读取文件my_capture.pcap中的数据包,可以使用以下命令:
tcpdump -r my_capture.pcap
这条命令将读取并显示文件my_capture.pcap中的数据包内容。
15. 实际场景
15.1 分析HTTP流量
HTTP流量分析可以帮助识别潜在的网络问题和安全威胁。以下命令将捕获HTTP流量并保存到文件http_traffic.pcap中:
sudo tcpdump -i eth0 -c 100 -w http_traffic.pcap port 80
然后可以使用Wireshark打开http_traffic.pcap文件进行详细分析。
15.2 分析DNS查询
捕获DNS查询可以帮助识别DNS问题。以下命令将捕获DNS查询并保存到文件dns_queries.pcap中:
sudo tcpdump -i eth0 -c 50 -w dns_queries.pcap port 53
同样,可以使用Wireshark或Tcpdump读取并分析该文件。
15.3 检测网络攻击
Tcpdump可以用于检测各种网络攻击,如DDoS攻击、ARP欺骗等。例如,以下命令将捕获来自IP地址192.168.1.100的大量数据包,以检测潜在的DDoS攻击:
sudo tcpdump -i eth0 -c 1000 -w ddos_attack.pcap src 192.168.1.100
捕获的数据包可以通过后续分析确定是否存在攻击行为。
15.4 Tcpdump 高级功能
数据包的时间戳
在捕获网络流量时,数据包的时间戳信息对于分析网络性能和故障排除非常重要。Tcpdump提供了多种时间戳选项来满足不同的需求。
标准时间戳
默认情况下,Tcpdump会在输出中包含每个数据包的时间戳信息。时间戳格式通常是“hh:mm:ss.milliseconds”。例如:
sudo tcpdump -i eth0 -c 5
输出示例:
09:20:12.123456 IP 192.168.1.1.54321 > 192.168.1.2.80: Flags [S], seq 0, win 65535, options [mss 1460,sackOK,TS val 123456 ecr 0,nop,wscale 6], length 0
微秒和秒精度
使用-tt选项可以将时间戳显示为自1970年1月1日以来的秒数(微秒精度):
sudo tcpdump -i eth0 -c 5 -tt
日期和时间
使用-ttt选项可以显示相对时间戳,即从第一个捕获的数据包开始的时间间隔(以毫秒为单位):
sudo tcpdump -i eth0 -c 5 -ttt
捕获特定协议的数据包
Tcpdump支持捕获和分析多种网络协议的数据包。以下是一些常见协议的捕获示例: