'linux抓包工具tcpdump的簡單使用'

最近需要在Linux上抓包，用到了tcpdump工具，記錄一下使用的方法

tcpdump，用簡單的語言概括就是dump the traffic on a network，

是一個運行在linux平臺可以根據使用者需求對網絡上傳輸的數據包進行捕獲的抓包工具，

tcpdump可以將網絡中傳輸的數據包的“包頭”全部捕獲過來進程分析，

其支持網絡層、特定的傳輸協議、數據發送和接收的主機、網卡和端口的過濾，

並提供and、or、not等語句進行邏輯組合捕獲數據包或去掉不用的信息。

下面是簡單的指令參數

-a # 將網絡地址和廣播地址轉變成名字

-A # 以ASCII格式打印出所有分組，並將鏈路層的頭最小化

-b # 數據鏈路層上選擇協議，包括ip/arp/rarp/ipx都在這一層

-c # 指定收取數據包的次數，即在收到指定數量的數據包後退出tcpdump

-d # 將匹配信息包的代碼以人們能夠理解的彙編格式輸出

-dd # 將匹配信息包的代碼以c語言程序段的格式輸出

-ddd # 將匹配信息包的代碼以十進制的形式輸出

-D # 打印系統中所有可以監控的網絡接口

-e # 在輸出行打印出數據鏈路層的頭部信息

-f # 將外部的Internet地址以數字的形式打印出來，即不顯示主機名

-F # 從指定的文件中讀取表達式，忽略其他的表達式

-i # 指定監聽網絡接口

-l # 使標準輸出變為緩衝形式，可以數據導出到文件

-L # 列出網絡接口已知的數據鏈路

-n # 不把網絡地址轉換為名字

-N # 不輸出主機名中的域名部分，例如www.baidu.com只輸出www

-nn # 不進行端口名稱的轉換

-P # 不將網絡接口設置為混雜模式

-q # 快速輸出，即只輸出較少的協議信息

-r # 從指定的文件中讀取數據，一般是-w保存的文件

-w # 將捕獲到的信息保存到文件中，且不分析和打印在屏幕

-s # 從每個組中讀取在開始的snaplen個字節，而不是默認的68個字節

-S # 將tcp的序列號以絕對值形式輸出，而不是相對值

-T # 將監聽到的包直接解析為指定的類型的報文，常見的類型有rpc（遠程過程調用）和snmp（簡單網絡管理協議）

-t # 在輸出的每一行不打印時間戳

-tt # 在每一行中輸出非格式化的時間戳

-ttt # 輸出本行和前面以後之間的時間差

-tttt # 在每一行中輸出data處理的默認格式的時間戳

-u # 輸出未解碼的NFS句柄

-v # 輸出稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息

-vv # 輸出相信的保報文信息

# 監聽某個網卡的某個端口的數據包

# -s 0 不限制長度

# -i 指定監聽的網絡接口

# port 過濾端口

sudo tcpdump -s 0 -i ens33 port 7660

# 和上面一樣，多了一個協議，監聽某個協議，某個網卡，某個端口的數據

sudo tcpdump -s 0 -i ens33 udp port 7660

# 可以將抓取的數據包保存為文件讓wireshark分析

# -c 指的是抓取1000個包

# -w 指的是將數據包寫成文件

# my.pcap或者my.cap可以用wireshark分析打開來分析

sudo tcpdump -s 0 -i ens33 -c 1000 -w my.pcap udp

用wireshark打開抓取的文件，可以看到抓取的數據包

"

最近需要在Linux上抓包，用到了tcpdump工具，記錄一下使用的方法

tcpdump，用簡單的語言概括就是dump the traffic on a network，

是一個運行在linux平臺可以根據使用者需求對網絡上傳輸的數據包進行捕獲的抓包工具，

tcpdump可以將網絡中傳輸的數據包的“包頭”全部捕獲過來進程分析，

其支持網絡層、特定的傳輸協議、數據發送和接收的主機、網卡和端口的過濾，

並提供and、or、not等語句進行邏輯組合捕獲數據包或去掉不用的信息。

下面是簡單的指令參數

-a # 將網絡地址和廣播地址轉變成名字

-A # 以ASCII格式打印出所有分組，並將鏈路層的頭最小化

-b # 數據鏈路層上選擇協議，包括ip/arp/rarp/ipx都在這一層

-c # 指定收取數據包的次數，即在收到指定數量的數據包後退出tcpdump

-d # 將匹配信息包的代碼以人們能夠理解的彙編格式輸出

-dd # 將匹配信息包的代碼以c語言程序段的格式輸出

-ddd # 將匹配信息包的代碼以十進制的形式輸出

-D # 打印系統中所有可以監控的網絡接口

-e # 在輸出行打印出數據鏈路層的頭部信息

-f # 將外部的Internet地址以數字的形式打印出來，即不顯示主機名

-F # 從指定的文件中讀取表達式，忽略其他的表達式

-i # 指定監聽網絡接口

-l # 使標準輸出變為緩衝形式，可以數據導出到文件

-L # 列出網絡接口已知的數據鏈路

-n # 不把網絡地址轉換為名字

-N # 不輸出主機名中的域名部分，例如www.baidu.com只輸出www

-nn # 不進行端口名稱的轉換

-P # 不將網絡接口設置為混雜模式

-q # 快速輸出，即只輸出較少的協議信息

-r # 從指定的文件中讀取數據，一般是-w保存的文件

-w # 將捕獲到的信息保存到文件中，且不分析和打印在屏幕

-s # 從每個組中讀取在開始的snaplen個字節，而不是默認的68個字節

-S # 將tcp的序列號以絕對值形式輸出，而不是相對值

-T # 將監聽到的包直接解析為指定的類型的報文，常見的類型有rpc（遠程過程調用）和snmp（簡單網絡管理協議）

-t # 在輸出的每一行不打印時間戳

-tt # 在每一行中輸出非格式化的時間戳

-ttt # 輸出本行和前面以後之間的時間差

-tttt # 在每一行中輸出data處理的默認格式的時間戳

-u # 輸出未解碼的NFS句柄

-v # 輸出稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息

-vv # 輸出相信的保報文信息

# 監聽某個網卡的某個端口的數據包

# -s 0 不限制長度

# -i 指定監聽的網絡接口

# port 過濾端口

sudo tcpdump -s 0 -i ens33 port 7660

# 和上面一樣，多了一個協議，監聽某個協議，某個網卡，某個端口的數據

sudo tcpdump -s 0 -i ens33 udp port 7660

# 可以將抓取的數據包保存為文件讓wireshark分析

# -c 指的是抓取1000個包

# -w 指的是將數據包寫成文件

# my.pcap或者my.cap可以用wireshark分析打開來分析

sudo tcpdump -s 0 -i ens33 -c 1000 -w my.pcap udp

用wireshark打開抓取的文件，可以看到抓取的數據包

打開wireshark查看抓取的文件

"