Tcpdump
dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
安装
linux
1
2
3
4
5
6
| yum install tcpdump
[root@~]
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips 26 Jan 2017
|
Mac
1
2
3
4
5
| brew install tcpdump
➜ ~ tcpdump --v
tcpdump version 4.99.1
libpcap version 1.10.1
OpenSSL 1.1.1k 25 Mar 2021
|
参数
-A 以ASCII格式打印出所有分组,并将链路层的头最小化-d 将匹配信息包的代码以人们能够理解的汇编格式给出-D 打印出系统中所有可以用tcpdump截包的网络接口-ddd 将匹配信息包的代码以十进制的形式输出-e 在输出行打印出数据链路层的头部信息-f 将外部的Internet地址以数字的形式打印出来-l 使标准输出变为缓冲行形式-L 列出网络接口的已知数据链路-n 不把网络地址转换成名字-N 不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”-O 不运行分组分组匹配(packet-matching)代码优化程序-p 不将网络接口设置成混杂模式-q 快速输出,只输出较少的协议信息-S 将tcp的序列号以绝对值形式输出,而不是相对值-t 在输出的每一行不打印时间戳-u 输出未解码的NFS句柄-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息-vv 输出详细的报文信息-c count 指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止-C file_size 限定数据包写入文件大小-F file 从指定的文件中读取表达式,忽略其它的表达式-i interface 指定监听网络接口-m module 打开指定的SMI MIB组件-M secret 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)
-r file 从指定的文件中读取包(这些包一般通过-w选项产生)-s snaplen 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节-T type 将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file 指定将监听到的数据包写入文件,不分析和打印数据包-W filecount 限定能写入文件数据包的数量-E spi@ipaddr algo:secret,… 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组
命令格式
tcpdump采用命令行方式,它的命令格式为:
1
| tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ]
|
表达式
扩展
指定运行时间
tcpdump通常都是手动运行,需要使用类似Ctrl+C都方式终结,想控制运行时间不用手动停止程序。
1
| timeout 5400 tcpdump -i eth0 'port 8080' -w myfile
|
- 方法二 组合
-G {sec} (每 x 秒轮换转储文件)和 -W {count} (限制转储文件的数量),将运行 15 秒然后停止。
1
| tcpdump -G 15 -W 1 -w myfile.pcap -i eth0 'port 8080'
|
指定间隔保存
- 方法一 -G 600 600s保存一次 -i 指定网卡 -s -w 保存文件的格式
1
| tcpdump -i lo -s0 -G 600 -w %Y_%m%d_%H%M_%S.pcap
|
1
| tcpdump -i lo -s0 -C 5 -Z root -w eth0.pcap
|