TCPDump抓包工具的使用

Cosolar
2,814 阅读5分钟

tcpdump 是一个网络数据包嗅探和分析工具,用于Linux系统管理员排除连接问题。它可以用于捕获、过滤和分析经过系统的网络流量,如 TCP/IP 数据包。它经常被用作安全工具,并将捕获的信息保存在 pcap 文件中,这些 pcap 文件可以通过 Wireshark 或命令工具本身打开。

TCPDump 是一款强大的网络抓包工具,它可以帮助网络管理员或安全专家监视和分析网络数据包。本文将详细介绍 TCPDump 的使用方法,以及如何解读 TCPDump 抓包结果。

一、TCPDump 简介

TCPDump 是一个常用于 Unix 和 Linux 操作系统的命令行工具,它可以捕获网络数据包并将其存储为文件或在屏幕上打印出来。它是一个非常灵活的工具,可以满足各种不同的网络分析需求。

在调试网络通信程序时tcpdump是必备工具。tcpdump很强大,可以看到网络通信的每个细节。如TCP,可以看到3次握手,PUSH/ACK数据推送,close4次挥手,全部细节。包括每一次网络收包的字节数,时间等。

二、TCPDump 的基本用法

tcpdump命令的使用格式如下:

tcpdump [option]... [filter]...

1.  -a:尝试将网络和广播地址转换成名称;
2.  -c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;
3.  -d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
4.  -dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;
5.  -ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;
6.  -e:在每列倾倒资料上显示连接层级的文件头;
7.  -f:用数字显示网际网络地址;
8.  -F<表达文件>:指定内含表达方式的文件;
9.  -i<网络界面>:使用指定的网络截面送出数据包;
10. -n:不把主机的网络地址转换成名字;
11. -N:不列出域名;
12. -O 不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用.
13. -p:不让网络界面进入混杂模式;
14. -q :快速输出,仅列出少数的传输协议信息;
15. -r<数据包文件>:从指定的文件读取数据包数据;
16. -s<数据包大小>:设置每个数据包的大小;
17. -S:用绝对而非相对数值列出TCP关联数;
18. -t:在每列倾倒资料上不显示时间戳记;
19. -tt: 在每列倾倒资料上显示未经格式化的时间戳记;
20. -T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型;
21. -v:详细显示指令执行过程;
22. -vv:更详细显示指令执行过程;
23. -w<数据包文件>:把数据包数据写入指定的文件。

要使用 TCPDump,您需要以超级用户权限运行它。以下是最基本的 TCPDump 命令:

sudo tcpdump

image.png

这个命令会捕获所有通过默认网卡的流量,并将其打印到终端上。如果要将输出保存到文件中,请使用以下命令:

sudo tcpdump -w output.pcap

这个命令将流量保存到名为 output.pcap 的文件中。

如果要限制捕获的流量,请使用以下命令:

sudo tcpdump host 192.168.1.1

该命令只会捕获源地址或目标地址为 192.168.1.1 的流量。

三、TCPDump 的高级用法

TCPDump 还有许多高级用法,比如过滤特定的协议、端口、包类型等。

  1. 过滤特定协议

TCPDump 可以通过协议名称过滤要捕获的数据包。以下是一些常见的协议名称:

  • tcp
  • udp
  • icmp
  • arp

以下是一个只捕获 TCP 流量的例子:

sudo tcpdump tcp
  1. 过滤特定端口

TCPDump 还可以通过源端口或目标端口过滤要捕获的数据包。以下是一些示例:

sudo tcpdump port 80

该命令将仅捕获所有源或目标端口为 80 的流量。

sudo tcpdump src port 22

该命令将仅捕获所有源端口为 22 的流量。

  1. 过滤 ICMP 数据包

以下命令将仅捕获所有来自 192.168.1.1 的 ICMP 数据包:

sudo tcpdump -i eth0 icmp and src host 192.168.1.1
  1. 捕获 HTTP 流量

以下命令将捕获所有 HTTP 流量,并将其存储到名为 http.pcap 的文件中:

sudo tcpdump -i eth0 -w http.pcap port 80
  1. 抓取 FTP 流量

以下命令将捕获所有 FTP 流量,并将其存储到名为 ftp.pcap 的文件中:

sudo tcpdump -i eth0 -w ftp.pcap port ftp or ftp-data

四、解读 TCPDump 抓包结果

在运行 TCPDump 后,您将看到一个输出,其中包括有关每个捕获的数据包的详细信息。以下是一些示例输出:

21:29:11.670067 IP 192.168.1.10.34768 > 8.8.8.8.53: UDP, length 35
21:29:11.699883 IP 8.8.8.8.53 > 192.168.1.10.34768: UDP, length 72
21:29:11.730617 IP 192.168.1.10.53362 > 151.101.65.69.443: Flags [S], seq 1171221815, win 29200, options [mss 1460,sackOK,TS val 616034415 ecr 0,nop,wscale 7], length 0

每行输出都包含以下信息:

  • 时间戳:以小时、分钟、秒为单位显示。
  • 源地址和目标地址:数据包的源地址和目标地址。
  • 协议:传输协议(TCP、UDP 等)。
  • 标志:有关数据包的详细信息,例如 SYN、ACK 等。
  • 长度:数据包的长度。

可以通过阅读 TCPDump 输出并借助网络知识进行分析,了解数据包传输的过程和网络瓶颈等问题。

五、总结

本文介绍了 TCPDump 的基本用法和高级用法,以及如何解读 TCPDump 抓包结果。如果您需要更详细的内容,可以查看 TCPDump 的官方文档。使用 TCPDump 来监视和分析网络流量是一项关键的网络管理和安全任务,精通该工具将帮助您更好地了解网络流量,发现并解决网络问题。

avatar
文章
阅读
粉丝