tcpdump介绍

　　tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

　　tcpdump语法

　　tcpdump参数

　　-a 将网络地址和广播地址转变成名字;

　　-d 将匹配信息包的代码以人们能够理解的汇编格式给出;

　　-dd 将匹配信息包的代码以c语言程序段的格式给出;

　　-ddd 将匹配信息包的代码以十进制的形式给出;

　　-e 在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议;

　　-f 将外部的Internet地址以数字的形式打印出来;

　　-l 使标准输出变为缓冲行形式;

　　-n 指定将每个监听到数据包中的域名转换成IP地址后显示，不把网络地址转换成名字;

　　-nn： 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

　　-t 在输出的每一行不打印时间戳;

　　-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息;

　　-vv 输出详细的报文信息;

　　-c 在收到指定的包的数目后，tcpdump就会停止;

　　-F 从指定的文件中读取表达式,忽略其它的表达式;

　　-i 指定监听的网络接口;

　　-p： 将网卡设置为非混杂模式，不能与host或broadcast一起使用

　　-r 从指定的文件中读取包(这些包一般通过-w选项产生);

　　-w 直接将包写入文件中，并不分析和打印出来;

　　-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断，抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。

　　-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)

　　-X 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示)，这在进行协议分析时是绝对的利器。

　　监听所有端口，直接显示 ip 地址

　　> tcpdump -nS

　　显示更详细的数据报文，包括 tos, ttl, checksum 等。

　　> tcpdump -nnvvS

　　显示数据报的全部数据信息，用 hex 和 ascii 两列对比输出。

　　> tcpdump -nnvvXS

　　host: 过滤某个主机的数据报文

　　> tcpdump host 1.2.3.4

　　src, dst: 过滤源地址和目的地址

　　net: 过滤某个网段的数据

　　> tcpdump net 1.2.3.0/24

　　过滤某个协议的数据，支持 tcp, udp 和 icmp

　　> tcpdump icmp

　　过滤通过某个端口的数据报

　　> tcpdump port 3306

　　src/dst, port, protocol: 结合三者

　　抓取指定范围的端口

　　> tcpdump portrange 21-23

　　通过报文大小过滤请求,数据报大小，单位是字节

　　抓包输出到文件

　　> tcpdump -w rumenz.pcap port 80

　　从文件读取报文显示到屏幕

　　> tcpdump -nXr rumenz.pcap host web

　　源地址是 192.168.1.110，目的端口是3306的数据报

　　> tcpdump -nnvS src 192.168.1.110 and dst port 3306

　　从 192.168 网段到 10 或者 172.31 网段的数据报

　　> tcpdump -nvX src net 192.168.0.0/16 and dat net 10.0.0.0/8 or 172.31.0.0/16

　　tcpdump 的输出解读

　　最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是192.168.1.110，源端口是 40411，目的地址是 192.168.1.123，目的端口是 80。> 符号代表数据的方向。

　　上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

　　[S]：SYN(开始连接)

　　[.]: 没有 Flag

　　[F]: FIN (结束连接)

　　而第二条数据的 [S.] 表示 SYN-ACK，就是 SYN 报文的应答报文。