一、Tcpdump简介
Tcpdum是Linux上强大的网络数据采集分析工具
tcpdump
默认只抓每个包的前68个字节
- -i #指定那块网卡
- -s #指定抓包的大小0为整个包都抓
- -w #指定要保存的文件
- -r #查看抓到包的内容
- -A #以ASCII码的形式查看
- -X #以16进制的内容方式显示
- -n #不对包里的IP地址做名称解析
- port #筛选端口
- tcp #筛选tcp协议的
- src host #筛选来源地址
- dst host #筛选目标地址
tcpdump -i eth0 -s 0 -w abc.txt
tcpdump -r abc.txt
tcpdump -A -r abc.txt
tcpdump -X -r abc.txt
tcpdump -i eth0 tcp port 22
tcpdump -n -r abc.txt | awk '{print $3}' | sort -u
tcpdump -n src host 10.0.0.51 -r abc.txt
高级筛选
tcpdump -A -n 'tcp[13]=24' -r acb.txt #把tcp协议第14个字节等于24的筛选出来
实例
用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F "." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr | head -20
A想要截获所有210.27.48.1的主机收到的和发出的所有的数据包
tcpdump host 210.27.48.1
B想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令:
tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \)
C想如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
tcpdump tcp port 23 host 210.27.48.1
E 对本机的UDP123 端口进行监视123为ntp的服务端口
tcpdump udp port 123
F系统将只对名为hostname的主机的通信数据包进行监视。主机名可本机或他机。
tcpdump -i eth0 src host hostname
G下面的命令可以监视所有送到主机hostname的数据包
tcpdump -i eth0 dst host hostname
H 我们还可以监视通过指定的网关的数据包
tcpdump -i eth0 gateway gatewayname
I 如果想要获取主机192.168.228.246接收或发出的ssh包,并且不转换主机名使用如下命令:
tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
J 获取主机192.168.228.246接收或发出的ssh包,并把mac地址也一同显示:
tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
K 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头:
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
L 过滤源主机物理地址为XXX的报头:
tcpdump ether src 00:50:04:BA:9B and dst……
M 过滤源主机192.168.0.1和目的端口不是telnet的报头,并导入到tes.t.txt文件中:
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
N如果想捕获119.75.219.38接收或发送的HTTP包,将其生成详细报告
tcpdump tcp port 80 and host 119.75.219.38 -w /tmp/111.pcap
O如果想监控80上的数据包,pcap的包可使用wireshark的工具软件来分析
tcpdump tcp port 80 -s 0 -w /tmp/222.pcap
