tcpdump抓包

tcpdump 必须使用 root 的身份执行 [root@linux ~]# tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae] [-qX] [-r 档案] [所欲撷取的数据内容] 参数： -nn：直接以 IP 及 port number 显示，而非主机名与服务名称 -i ：后面接要『监听』的网络接口，例如 eth0, lo, ppp0 等等的界面； -w ：如果你要将监听所得的封包数据储存下来，用这个参数就对了！后面接档名 -c ：监听的封包数，如果没有这个参数， tcpdump 会持续不断的监听， 直到使用者输入 [ctrl]-c 为止。 -A ：封包的内容以 ASCII 显示，通常用来捉取 WWW 的网页封包资料。 -e ：使用资料连接层 (OSI 第二层) 的 MAC 封包数据来显示； -q ：仅列出较为简短的封包信息，每一行的内容比较精简 -X ：可以列出十六进制 (hex) 以及 ASCII 的封包内容，对于监听封包内容很有用 -r ：从后面接的档案将封包数据读出来。那个『档案』是已经存在的档案， 并且这个『档案』是由 -w 所制作出来的。 所欲撷取的数据内容：我们可以专门针对某些通讯协议或者是 IP 来源进行封包撷取， 那就可以简化输出的结果，并取得最有用的信息。常见的表示方法有： 'host foo', 'host 127.0.0.1' ：针对单部主机来进行封包撷取 'net 192.168' ：针对某个网域来进行封包的撷取； 'src host 127.0.0.1' 'dst net 192.168'：同时加上来源(src)或目标(dst)限制 'tcp port 21'：还可以针对通讯协议侦测，如 tcp, udp, arp, ether 等 还可以利用 and 与 or 来进行封包数据的整合显示呢！ 范例一：以121.9.240.130这台测试机为基础. [root@linux ~]# tcpdump 09:25:40.856970 IP 59.37.164.34.12670 > 121.9.222.91.15649: UDP, length 82 09:25:40.857025 IP 121.9.222.64.15583 > 37.18.131.219.broad.hz.gd.dynamic.163data.com.cn.3001: UDP, length 82 09:25:40.857026 IP 121.9.223.171.25511 > 222.223.23.168.2471: P 1681367693:1681367882(189) ack 169128214 win 65455 09:25:40.857027 IP 121.9.222.182.15502 > 218.15.245.162.16059: UDP, length 14 09:25:40.857068 IP 119.132.101.206.3001 > 121.9.222.183.15164: UDP, length 82 09:25:40.857118 IP 121.9.222.175.15693 > 202.101.190.242.3001: UDP, length 82 09:25:40.857119 IP 121.9.222.175.15693 > 202.101.190.242.3001: UDP, length 82 09:25:40.857121 IP 59.34.127.210.43659 > 121.9.222.243.15716: UDP, length 14 09:25:40.857122 IP 121.9.222.87.15030 > 119.132.101.206.3001: UDP, length 14 09:25:40.857123 IP 121.9.222.88.15278 > 113.14.161.238.3001: UDP, length 14 09:25:40.857170 IP 36.23.9.121.broad.fs.gd.dynamic.163data.com.cn.3001 > 121.9.222.93.15400: UDP, length 14 09:25:40.857218 IP 58.242.202.10.3001 > 121.9.222.87.15300: UDP, length 10 09:25:40.857219 IP 171.243.34.58.broad.xw.sh.dynamic.163data.com.cn.3001 > 121.9.222.242.14920: UDP, length 18 186 packets captured 1293913 packets received by filter 1293348 packets dropped by kernel 按下 [ctrl]-c 之后结束 186 packets captured <==捉下来的封包数量 1293913 packets received by filter <==由过滤所得的总封包数量 1293348 packets dropped by kernel <==被核心所丢弃的封包 以红色标记的为例 09:25:40.857027：这个是此封包被撷取的时间，『时:分:秒』的单位； IP：透过的通讯协议是 IP ； 121.9.222.88.15278 > ：传送端是 121.9.222.88 这个 IP，而传送的 端口 为 15278，那个大于 (>) 的符号指的是封包的传输方向！ 113.14.161.238.3001：接收端的 IP 是 113.14.161.238， 且该主机开启 端口 3001 来接收； UDP, length 10只得是传输的协议和长度 只监听80端口 [root@linux ~]# tcpdump -nn port 80 09:52:14.508478 IP 121.9.223.242.80 > 61.152.150.162.55954: P 0:233(233) ack 1 win 1728 09:52:14.508481 IP 121.9.223.242.80 > 61.152.150.162.55954: F 233:233(0) ack 1 win 1728 09:52:14.536334 IP 121.9.223.242.80 > 61.152.150.162.55954: . ack 2 win 1728 09:52:14.563288 IP 121.9.222.104.80 > 61.152.150.152.40709: . ack 2223535384 win 1728 09:52:14.568035 IP 121.9.222.104.80 > 61.152.150.152.40709: P 0:231(231) ack 1 win 1728 09:52:14.568180 IP 121.9.222.104.80 > 61.152.150.152.40709: F 231:231(0) ack 1 win 1728 09:52:14.596534 IP 121.9.222.104.80 > 61.152.150.152.40709: . ack 2 win 1728 09:52:18.123972 IP 121.9.222.203.80 > 61.152.150.133.57066: . ack 1914833392 win 54 09:52:18.127865 IP 121.9.222.203.80 > 61.152.150.133.57066: P 0:210(210) ack 1 win 54 09:52:18.127867 IP 121.9.222.203.80 > 61.152.150.133.57066: F 210:210(0) ack 1 win 54 只监听一台主机 [root@linux ~]# tcpdump –nn host 121.9.240.130 10:03:36.924444 IP 121.9.240.130.22 > 218.13.39.225.60867: P 121872:122004(132) ack 469 win 138 10:03:36.927825 IP 218.13.39.225.60867 > 121.9.240.130.22: . ack 115732 win 46484 10:03:36.927832 IP 121.9.240.130.22 > 218.13.39.225.60867: P 122004:122300(296) ack 469 win 138 10:03:36.927884 IP 121.9.240.130.22 > 218.13.39.225.60867: P 122300:122432(132) ack 469 win 138 10:03:36.930520 IP 218.13.39.225.60867 > 121.9.240.130.22: . ack 116160 win 46537 10:03:36.930527 IP 121.9.240.130.22 > 218.13.39.225.60867: P 122432:122728(296) ack 469 win 138 10:03:36.930583 IP 121.9.240.130.22 > 218.13.39.225.60867: P 122728:122860(132) ack 469 win 138 10:03:36.935176 IP 121.9.240.130.22 > 218.13.39.225.60867: P 122860:123156(296) ack 521 win 138