Tcpdump
dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
安装
linux
yum install tcpdump
[root@~]# tcpdump --v
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips 26 Jan 2017
Mac
brew install tcpdump
➜ ~ tcpdump --v
tcpdump version 4.99.1
libpcap version 1.10.1
OpenSSL 1.1.1k 25 Mar 2021
参数
-A以ASCII格式打印出所有分组,并将链路层的头最小化-d将匹配信息包的代码以人们能够理解的汇编格式给出-D打印出系统中所有可以用tcpdump截包的网络接口-ddd将匹配信息包的代码以十进制的形式输出-e在输出行打印出数据链路层的头部信息-f将外部的Internet地址以数字的形式打印出来-l使标准输出变为缓冲行形式-L列出网络接口的已知数据链路-n不把网络地址转换成名字-N不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”-O不运行分组分组匹配(packet-matching)代码优化程序-p不将网络接口设置成混杂模式-q快速输出,只输出较少的协议信息-S将tcp的序列号以绝对值形式输出,而不是相对值-t在输出的每一行不打印时间戳-u输出未解码的NFS句柄-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息-vv输出详细的报文信息-c count指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止-C file_size限定数据包写入文件大小-F file从指定的文件中读取表达式,忽略其它的表达式-i interface指定监听网络接口-m module打开指定的SMI MIB组件-M secret如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385) -r file 从指定的文件中读取包(这些包一般通过-w选项产生)-s snaplen从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节-T type将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等 -w file 指定将监听到的数据包写入文件,不分析和打印数据包-W filecount限定能写入文件数据包的数量-Espi@ipaddr algo:secret,... 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组
命令格式
tcpdump采用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ]
表达式
扩展
指定运行时间
tcpdump通常都是手动运行,需要使用类似Ctrl+C都方式终结,想控制运行时间不用手动停止程序。
- 方法一 超时
timeout 5400 tcpdump -i eth0 'port 8080' -w myfile
- 方法二 组合
-G {sec}(每 x 秒轮换转储文件)和-W {count}(限制转储文件的数量),将运行 15 秒然后停止。
tcpdump -G 15 -W 1 -w myfile.pcap -i eth0 'port 8080'
指定间隔保存
- 方法一 -G 600 600s保存一次 -i 指定网卡 -s -w 保存文件的格式
tcpdump -i lo -s0 -G 600 -w %Y_%m%d_%H%M_%S.pcap
- 方法二 -C 5 每5M保存一个包
tcpdump -i lo -s0 -C 5 -Z root -w eth0.pcap