蚌埠网站建设公司,网站建设的目标的意思,建设电子商务网站,广州网站制作设计公司一、概述 tcpdump是一个功能强大的#xff0c;用于抓取网络数据包的命令行工具#xff0c;与带界面的Wireshark一样#xff0c;基于libpcap库构建。这篇文章主要介绍tcpdump的使用。关于如何使用tcpdump的资料中#xff0c;最有用的就是tcpdump的两个手册。 tcpdump使用手… 一、概述 tcpdump是一个功能强大的用于抓取网络数据包的命令行工具与带界面的Wireshark一样基于libpcap库构建。这篇文章主要介绍tcpdump的使用。关于如何使用tcpdump的资料中最有用的就是tcpdump的两个手册。 tcpdump使用手册https://www.tcpdump.org/manpages/tcpdump.1.html pcap包过滤手册https://www.tcpdump.org/manpages/pcap-filter.7.html 二、tcpdump选项介绍
在命令行输入./tcpdump -h就可以看到tcpdump的命令行参数选项。
$ ./tcpdump -h
tcpdump version 4.99.4
libpcap version 1.10.4 (with TPACKET_V3)
OpenSSL 1.0.1f 6 Jan 2014
Usage: tcpdump [-AbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [--count][ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ][ -i interface ] [ --immediate-mode ] [ -j tstamptype ][ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ][ -r file ] [ -s snaplen ] [ -T type ] [ --version ][ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ][ --time-stamp-precision precision ] [ --micro ] [ --nano ][ -z postrotate-command ] [ -Z user ] [ expression ]参数选项选项说明-A以ASCII格式打印每个数据包(减去其链路层报头)。方便捕捉网页。-B buffer_size将操作系统捕获缓冲区大小设置为buffer_size单位为KiB (1024字节)。-c count收到count个数据包后退出。-C file_size与 -w 选项配合使用指定抓包文件大小若抓取到的文件大于file_size就创建下个文件保存-d将编译好的数据包匹配代码以人类可读的形式转储到标准输出并停止。-dd将数据包匹配代码作为C程序片段转储-ddd将数据包匹配代码作为十进制数转储(前面有一个计数)-D打印系统上可用的网络接口列表tcpdump可以在这些接口上捕获数据包。对于每个网络接口都会打印一个编号和一个接口名称后面可能还会有接口的文本描述。可以将接口名称或编号提供给-i标志以指定要捕获的接口。-e每行打印都加上数据链路层头部信息。例如这可用于打印以太网和IEEE 802.11等协议的MAC层地址。-E使用spiipaddr algo:secret对寻址到addr并包含安全参数索引值spi的IPsec ESP数据包进行解密。这种组合可以用逗号或换行符分隔。-f用数字显示外部IPV4地址而不是名字(此选项是用来对付Sun公司的NIS服务器的缺陷此NIS服务器在查询非本地地址名字时,常常会陷入无尽的查询循环-F file使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.-h–help打印tcpdump和libpcap版本打印用法信息然后退出。-i interface-i 指定 tcpdump 要监听的接口. 如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已配置好的接口(不包括 loopback 接口).一但找到第一个符合条件的接口, 搜寻马上结束.-I将界面置于“监控模式”这仅在IEEE 802.11 Wi-Fi接口上受支持并且仅在某些操作系统上受支持。-J列出接口和出口支持的时间戳类型。如果无法为接口设置时间戳类型则不会列出时间戳类型。-l对标准输出进行行缓冲,在需要同时观察抓包打印以及保存抓包记录的时候很有用.-L列出指定网络接口所支持的数据链路层的类型后退出.-m module从module指定的文件加载SMI MIB模块定义。可以多次使用该选项将几个MIB模块加载到tcpdump中。-M secret如果TCP 数据包(TCP segments)有TCP-MD5选项(在RFC 2385有相关描述), 则为其摘要的验证指定一个公共的密钥secret.-n不将地址(比如, 主机地址, 端口号)进行数字表示到名字表示的转换.-N不打印出 host 的域名部分. 比如, 如果设置了此选现, tcpdump 将会打印’nic’ 而不是 ‘nic.ddn.mil’.-#在行首打印一个可选的数据包编号。-O不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用.-p不要将接口置于混杂模式。请注意接口可能由于其他原因处于混杂模式因此,-p 不能用作 “以太网主机{local-hw-addr}或以太网广播” 的缩写。–print打印解析的数据包输出即使原始数据包保存到带有-w标志的文件中。-q快速(或是 安静)输出。打印更少的协议信息因此输出行更短。-r file从文件file 中读取包数据. 如果file 字段为 ‘-’ 符号, 则tcpdump 会从标准输入中读取包数据.-S打印TCP 数据包的顺序号时, 使用绝对的顺序号, 而不是相对的顺序号.-s snaplen设置tcpdump的数据包抓取长度为snaplen,而不是默认的262144字节。-T type强制将“表达式”选择的数据包解释为指定的类型。目前已知的type 可取的协议为: aodv, carp , cnfp, domain, lmp , pgm , pgm_zmtp1 , ptp , quic (QUIC), radius (RADIUS), resp , rpc , rtcp , rtp , snmp , someip (SOME/IP), tftp , vat , vxlan , wb and zmtp1 .-t不要在每行打印时间戳。-tt在每行打印时间戳时从1970年1月1日00:00:00(UTC)开始的秒数以及从该时间开始的几分之一秒。-ttt在每行打印时间戳时打印与上一行的时间增量(默认单位微秒)-tttt在每行打印的时间戳之前添加日期的打印-ttttt在每行打印时间戳时打印与第一行的时间增量(默认单位微秒)-u打印出未解密的 NFS 句柄-U如果指定了-w选项则使保存的原始数据包输出到包缓存即当每个分组被保存时它将被写入输出文件而不是仅当输出缓冲器填满时才被写入。-v当分析和打印的时候, 产生详细的输出. 比如, 包的生存时间, 标识, 总长度以及IP包的一些选项. 这也会打开一些附加的包完整性检测, 比如对IP或ICMP包头部的校验和.-vv更详细的输出。例如从NFS回复数据包中打印附加字段SMB数据包被完全解码。-vvv产生比-vv更详细的输出. 比如, telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面,其相应的图形选项将会以16进制的方式打印出来.-V file从文件中读取文件名列表。如果file是- ,则使用标准输入。-w file将原始数据包写入文件而不是解析并打印出来。以后可以用-r选项打印它们。如果文件是- ,则使用标准输出。-W filecount此选项与-C 选项配合使用, 这将限制可打开的文件数目, 并且当文件数据超过这里设置的限制时, 依次循环替代之前的文件, 这相当于一个拥有filecount 个文件的文件缓冲池. 同时, 该选项会使得每个文件名的开头会出现足够多并用来占位的0, 这可以方便这些文件被正确的排序.-x解析和打印时除了打印每个包的头部数据以外还要以十六进制打印每个包的数据(减去其链路层头)。打印的数据大小不会超过整个数据包的大小与 snaplen 中的最小值。请注意这是整个链路层数据包因此对于填充的链路层(例如以太网)当较高层数据包比所需的填充短时也会打印填充字节。在当前的实现中如果分组被截断该标志可能具有与-xx相同的效果。-xx解析和打印时除了打印每个包的头部数据之外还要以十六进制打印每个数据包的数据包括其链路层头部数据。-X解析和打印时除了打印每个包的头部数据以外还要以十六进制和ASCII打印每个包的数据(减去它的链路层头)。这对于分析新协议非常方便。在当前的实现中如果分组被截断该标志可能具有与-XX相同的效果。-XX解析和打印时除了打印每个包的头部数据以外还要以十六进制和ASCII格式打印每个包的数据包括它的链路层头部数据。-y datalinktype设置tcpdump 只捕获数据链路层协议类型是datalinktype的数据包-z postrotate-command与-C或-G选项一起使用这将使tcpdump运行“postrotate-command file ”命令,其中file是每次轮换后关闭的保存文件。例如指定-z gzip或-z bzip2将使用gzip或bzip2压缩每个保存文件。-Z user如果tcpdump以root用户身份运行则在打开捕获设备或输入保存文件之后但在打开任何输出保存文件之前将用户ID更改为user将组ID更改为主要用户组。expression(表达式)选择要捕获的数据包。如果没有给出表达式网络上的所有数据包都将被捕获。否则只有表达式为“真”的数据包才会被捕获。有关表达式语法请参见pcap-filter(7)。expression参数可以作为单个Shell参数传递给tcpdump也可以作为多个Shell参数传递给tcpdump以更方便的方式为准。通常如果表达式包含Shell元字符例如用于转义协议名称的反斜杠那么将其作为单引号参数传递比转义Shell元字符更容易。多个参数在被解析之前用空格连接起来。 三、tcpdump 选项表达式(过滤器)
tcpdump是使用 libpcap 库捕获网络包的可以通过传入表达式来过滤不必要的网络包关于过滤表达式的英文手册在这个网址https://www.tcpdump.org/manpages/pcap-filter.7.html这一小节就讲一讲这个表达式由什么组成的怎么使用。 过滤器表达式由一个或多个表达元(primitives)组成。表达元(primitives)通常由一个id(名称或编号)组成前面有一个或多个限定符。有三种不同的限定词type、dir、proto type限定符说明id名称或编号所指的是什么。可能的类型有host、net、port、portrange。例如“host foo’”、“net 128.3”、“port 20”、“portrange 6000-6008”。如果没有type限定符则假定为host。dir限定符指定一个特定的传输方向到和/或来自id。可能的方向是src、dst、src或dst、src和dst、ra、ta、addr1、addr2、addr3和addr4。例如“src foo”、“dst net 128.3”、“src或dst端口ftp-data”。如果没有dir限定符则假定为“src或dst”。ra、ta、addr1、addr2、addr3和addr4限定符仅对IEEE 802.11无线LAN链路层有效。 tcpdump的选项介绍完了东拼西凑、或存疏漏如有不慎欢迎指正。如果对你有帮忙欢迎点赞及➕收藏⭐。
