tcpdump简介

• linux作为网络服务器，特别事作为路由器和网关时，数据的采集和分析时不可少的。tcpdump时linux中强大的网络数据采集分析工具之一。
• 用简单的话来定义tcpdump就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。
• 作为互联网上的经典的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的工具之一。
• tcpdump的总结输出格式为：系统时间 来源主机 端口 > 目标端口.端口 数据包参数

tcpdump的使用及命令格式

tcpdump采用命令行方式，它的命令格式为：
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]

[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]

[ -T 类型 ] [ -w 文件名 ] [表达式]

tcpdump的选项介绍

-a 将网络地址和广播地址转变成名字
-d 将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 将匹配信息包的代码以C语言程序段的格式给出；
-ddd 将匹配信息包的代码以十进制的形式给出；
-q 快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X 输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX 输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-D 列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-e 在输出行打印出数据链路层的头部信息；
-f 将外部的internet地址以数字的形式打印出来；
-l 使标准输出变为缓冲行形式；
-n 对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析；
-nn 除了-n的作用外，还把端口显示为数值，否则显示端口服务名。
-t 在输出的每一行不打印时间戳；
-v 输出一个稍微详细的信息，例如在IP包中可以包括ttl和服务类型的信息；
-P 指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”，默认为"inout"
-v 当分析和打印的时候，产生详细的输出。
-vv 输出详细的报文信息；
-vvv 产生比-vv更详细的输出。
-c 在收到指定的包的数目后，tcpdump就会停止；
-F 从指定的文件中读取表达式,忽略其它的表达式；
-i 指定监听的网络接口；
-r 从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 直接将包写入文件中，并不分析和打印出来；
-T 　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单 网络管理协议）

表达式

• 类型
  host，net，port，portrange
  例如：host 192.168.182.142，net 128.3，port 80，portrange 6000-6008

• 目标
  src，dst，src or dst，src and dst

• 协议
  tcp，udp，icmp，ip，ether，ip6，arp若不给协议，则默认匹配所有可能的类型

表达式之间可以使用修饰符 “and / && / or || / not / ！ “等进行连接组成复杂的表达式来完成更复杂的工作；使用”()“可以用来表示优先级的高低，但是()会被shell解释成其他意思，必要的时候需要使用(反斜杠来进行转义)，需要的时候也可以用引号将其引起来：”()”

在使用tcpdump之前我们需要先了解OSI七层网络协议及各层的作用

七层网络协议

从下往上依次是: 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

OSI层数	作用	协议
应用层	文件传输，电子邮件，文件服务，虚拟终端	http，ftp，DNS，SNMP，telnet，TFTP，SMTP
表示层	数据格式化，定义数据格式及数据加密	无协议
会话层	解除或建立与其他接点的联系	无协议
传输层	提供端对端的接口	TCP，UDP
网络层	为数据包选择路由	IP，icmp，RIP,OSPF,BGP
数据链路层	传输有地址的帧，错误检测功能	PPP,ARP,RARP等
物理层	以二进制数据形式在物理媒体上传输数据	ISO2110,802.3，IEEE802

TCP/UDP协议

TCP和UDP属于传输层的协议类型。TCP提供IP环境下的数据可靠传输，它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、端到端和可靠的数据包发送。通俗说，它是事先为所要发送的数据包开辟好通道，然后再进行数据的发送；而UDP则不为IP提供可靠性、流控或差错恢复功能。TCP一般用于对数据安全或数据完整性要求较高的应用；而UDP则是用于数据可靠性要求较低，数据传输快的应用。TCP支持的协议有：telnet、FTP、SMTP等；UDP支持NFS(网络文件系统)、SNMP(简单网络管理协议)、DNS(域名解析)、TFTP(通用文件传输协议)等
TCP/IP协议与底层的物理和数据链路等无关

tcpdump抓包

1. 列出可以抓包的网络接口

tcpdump需要使用root用户的权限
[root@192 ~]# tcpdump -D
1.ens160 [Up, Running]
2.lo [Up, Running, Loopback]
3.any (Pseudo-device that captures on all interfaces) [Up, Running]
4.bluetooth-monitor (Bluetooth Linux Monitor) [none]
5.nflog (Linux netfilter log (NFLOG) interface) [none]
6.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
7.usbmon0 (All USB buses) [none]
8.usbmon1 (USB bus number 1)
9.usbmon2 (USB bus number 2)

2. 监视指定网络接口的数据包

[root@192 ~]# tcpdump -i ens160

3. 监视指定主机的数据包

// host 后面可以接主机名或者IP地址，但是主机名为localhost不可以
[root@test ~]# tcpdump -i ens160 host test

4. 打印test和test1或test和test2之间通信的数据包

[root@test ~]# tcpdump -i ens160 host test and \(test1 or test2\)

5. 打印test与其他主机之间通信的IP数据包，但是不包括与test2之间的数据包

[root@test ~]# tcpdump -i ens160 host test and not test2

6. 截获主机test发送的所有数据包

// src表示数据包来自的地方成为源
[root@test ~]# tcpdump -i ens160 src host test

7. 监视所有发送到主机test1的数据包

// dst表示数据包去的目的地
[root@test ~]# tcpdump -i ens160 dst host test1

8. 监视指定主机和端口的数据包

[root@test ~]# tcpdump -i ens160 port 3306 and host test1

9. 监视指定网络的数据包

// 表示的是本机与192.168网段间通信的数据包，-c 5 表示只抓取5个包
[root@test ~]# tcpdump -i ens160 -c 5 net 192.168

10. 抓取ping包

[root@test ~]# tcpdump -c 5 -nn -i ens160

11. 抓取本机的80端口号

[root@test ~]# tcpdump -v -c 5 -nn -i ens160 tcp dst port 80

12. 解析包数据

[root@test ~]# tcpdump -c 5 -q -XX -vvv -nn -i ens160 tcp dst port 3306

13. 抓取指定端口范围的流量

[root@test ~]# tcpdump -ni ens160 portrange 80-10051

14. 抓取指定网段的流量

[root@test ~]# tcpdump -ni ens160 net 192.168.1.0/24

15. 抓取ens160网卡上所有的arp数据包

[root@test ~]# tcpdump -ni ens160 arp

16. 抓取指定客户端访问 ssh 的数据包

[root@test ~]# tcpdump -v -ni ens160 src 192.168.182.142 and dst port 22

17. 抓取从某个网段来，到某个网段去的流量

[root@test ~]# tcpdump -ni ens160 net 192.168.1.0/24 and dst net 100.0.0.0/8 or 172.16.0.0/16

18. 抓取来自某个主机，发往非 ssh 端口的流量

[root@test ~]# tcpdump -ni ens160 src 172.16.0.0 and not dst port 22