一款sniffer工具,是Linux上的抓包工具,嗅探器
tcpdump命令 是一款抓包,嗅探器工具,它可以打印所有經(jīng)過網(wǎng)絡(luò)接口的數(shù)據(jù)包的頭信息,也可以使用-w選項(xiàng)將數(shù)據(jù)包保存到文件中,方便以后分析。
tcpdump(選項(xiàng))
-a:嘗試將網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱;
-c<數(shù)據(jù)包數(shù)目>:收到指定的數(shù)據(jù)包數(shù)目后,就停止進(jìn)行傾倒操作;
-d:把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成可閱讀的格式,并傾倒到標(biāo)準(zhǔn)輸出;
-dd:把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成C語(yǔ)言的格式,并傾倒到標(biāo)準(zhǔn)輸出;
-ddd:把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成十進(jìn)制數(shù)字的格式,并傾倒到標(biāo)準(zhǔn)輸出;
-e:在每列傾倒資料上顯示連接層級(jí)的文件頭;
-f:用數(shù)字顯示網(wǎng)際網(wǎng)絡(luò)地址;
-F<表達(dá)文件>:指定內(nèi)含表達(dá)方式的文件;
-i<網(wǎng)絡(luò)界面>:使用指定的網(wǎng)絡(luò)截面送出數(shù)據(jù)包;
-l:使用標(biāo)準(zhǔn)輸出列的緩沖區(qū);
-n:不把主機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)換成名字;
-N:不列出域名;
-O:不將數(shù)據(jù)包編碼最佳化;
-p:不讓網(wǎng)絡(luò)界面進(jìn)入混雜模式;
-q :快速輸出,僅列出少數(shù)的傳輸協(xié)議信息;
-r<數(shù)據(jù)包文件>:從指定的文件讀取數(shù)據(jù)包數(shù)據(jù);
-s<數(shù)據(jù)包大小>:設(shè)置每個(gè)數(shù)據(jù)包的大小;
-S:用絕對(duì)而非相對(duì)數(shù)值列出TCP關(guān)聯(lián)數(shù);
-t:在每列傾倒資料上不顯示時(shí)間戳記;
-tt: 在每列傾倒資料上顯示未經(jīng)格式化的時(shí)間戳記;
-T<數(shù)據(jù)包類型>:強(qiáng)制將表達(dá)方式所指定的數(shù)據(jù)包轉(zhuǎn)譯成設(shè)置的數(shù)據(jù)包類型;
-v:詳細(xì)顯示指令執(zhí)行過程;
-vv:更詳細(xì)顯示指令執(zhí)行過程;
-x:用十六進(jìn)制字碼列出數(shù)據(jù)包資料;
-w<數(shù)據(jù)包文件>:把數(shù)據(jù)包數(shù)據(jù)寫入指定的文件。
直接啟動(dòng)tcpdump將監(jiān)視第一個(gè)網(wǎng)絡(luò)接口上所有流過的數(shù)據(jù)包
tcpdump
監(jiān)視指定網(wǎng)絡(luò)接口的數(shù)據(jù)包
tcpdump -i eth1
如果不指定網(wǎng)卡,默認(rèn)tcpdump只會(huì)監(jiān)視第一個(gè)網(wǎng)絡(luò)接口,一般是eth0,下面的例子都沒有指定網(wǎng)絡(luò)接口。
監(jiān)視指定主機(jī)的數(shù)據(jù)包
打印所有進(jìn)入或離開sundown的數(shù)據(jù)包。
tcpdump host sundown
也可以指定ip,例如截獲所有210.27.48.1 的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包
tcpdump host 210.27.48.1
打印helios 與 hot 或者與 ace 之間通信的數(shù)據(jù)包
tcpdump host helios and \( hot or ace \)
截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
打印ace與任何其他主機(jī)之間通信的IP 數(shù)據(jù)包, 但不包括與helios之間的數(shù)據(jù)包.
tcpdump ip host ace and not helios
如果想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
抓取eth0網(wǎng)卡上的包,使用:
sudo tcpdump -i eth0
截獲主機(jī)hostname發(fā)送的所有數(shù)據(jù)
tcpdump -i eth0 src host hostname
監(jiān)視所有送到主機(jī)hostname的數(shù)據(jù)包
tcpdump -i eth0 dst host hostname
監(jiān)視指定主機(jī)和端口的數(shù)據(jù)包
如果想要獲取主機(jī)210.27.48.1接收或發(fā)出的telnet包,使用如下命令
tcpdump tcp port 23 and host 210.27.48.1
對(duì)本機(jī)的udp 123 端口進(jìn)行監(jiān)視 123 為ntp的服務(wù)端口
tcpdump udp port 123
監(jiān)視指定網(wǎng)絡(luò)的數(shù)據(jù)包
打印本地主機(jī)與Berkeley網(wǎng)絡(luò)上的主機(jī)之間的所有通信數(shù)據(jù)包
tcpdump net ucb-ether
ucb-ether此處可理解為“Berkeley網(wǎng)絡(luò)”的網(wǎng)絡(luò)地址,此表達(dá)式最原始的含義可表達(dá)為:打印網(wǎng)絡(luò)地址為ucb-ether的所有數(shù)據(jù)包
打印所有通過網(wǎng)關(guān)snup的ftp數(shù)據(jù)包
tcpdump 'gateway snup and (port ftp or ftp-data)'
注意:表達(dá)式被單引號(hào)括起來了,這可以防止shell對(duì)其中的括號(hào)進(jìn)行錯(cuò)誤解析
打印所有源地址或目標(biāo)地址是本地主機(jī)的IP數(shù)據(jù)包
tcpdump ip and not net localnet
如果本地網(wǎng)絡(luò)通過網(wǎng)關(guān)連到了另一網(wǎng)絡(luò),則另一網(wǎng)絡(luò)并不能算作本地網(wǎng)絡(luò)。
抓取80端口的HTTP報(bào)文,以文本形式展示:
sudo tcpdump -i any port 80 -A