2021-05-12 14:32:11
通過範例學習 tcpdump 命令
2020-06-16 16:57:37
tcpdump 是一個很常用的網路包分析工具,可以用來顯示通過網路傳輸到本系統的 TCP/IP 以及其他網路的封包。tcpdump 使用 libpcap 庫來抓取網路報,這個庫在幾乎在所有的 Linux/Unix 中都有。
tcpdump 可以從網絡卡或之前建立的封包檔案中讀取內容,也可以將包寫入檔案中以供後續使用。必須是 root 使用者或者使用 sudo 特權來執行 tcpdump。
在本文中,我們將會通過一些範例來演示如何使用 tcpdump 命令,但首先讓我們來看看在各種 Linux 作業系統中是如何安裝 tcpdump 的。
安裝
tcpdump 預設在幾乎所有的 Linux 發行版中都可用,但若你的 Linux 上沒有的話,使用下面方法進行安裝。
CentOS/RHEL
使用下面命令在 CentOS 和 RHEL 上安裝 tcpdump,
$ sudoyum install tcpdump*
Fedora
使用下面命令在 Fedora 上安裝 tcpdump:
$ dnf install tcpdump
Ubuntu/Debian/Linux Mint
在 Ubuntu/Debain/Linux Mint 上使用下面命令安裝 tcpdump:
$ apt-get install tcpdump
安裝好 tcpdump 後,現在來看一些例子。
案例演示
從所有網絡卡中捕獲封包
執行下面命令來從所有網絡卡中捕獲封包:
$ tcpdump-i any
從指定網絡卡中捕獲封包
要從指定網絡卡中捕獲封包,執行:
$ tcpdump-i eth0
將捕獲的包寫入檔案
使用 -w 選項將所有捕獲的包寫入檔案:
$ tcpdump-i eth1 -w packets_file
讀取之前產生的 tcpdump 檔案
使用下面命令從之前建立的 tcpdump 檔案中讀取內容:
$ tcpdump-r packets_file
獲取更多的包資訊,並且以可讀的形式顯示時間戳
要獲取更多的包資訊同時以可讀的形式顯示時間戳,使用:
$ tcpdump-ttttnnvvS
檢視整個網路的封包
要獲取整個網路的封包,在終端執行下面命令:
$ tcpdump net 192.168.1.0/24
根據 IP 地址檢視報文
要獲取指定 IP 的封包,不管是作為源地址還是目的地址,使用下面命令:
$ tcpdump host 192.168.1.100
要指定 IP 地址是源地址或是目的地址則使用:
$ tcpdump src 192.168.1.100$ tcpdump dst 192.168.1.100
檢視某個協定或埠號的封包
要檢視某個協定的封包,執行下面命令:
$ tcpdumpssh
要捕獲某個埠或一個範圍的封包,使用:
$ tcpdump port 22$ tcpdump portrange 22-125
我們也可以與 src 和 dst 選項連用來捕獲指定源埠或指定目的埠的報文。
我們還可以使用“與” (and,&&)、“或” (or,|| ) 和“非”(not,!) 來將兩個條件組合起來。當我們需要基於某些條件來分析網路報文是非常有用。
使用“與”
可以使用 and 或者符號 && 來將兩個或多個條件組合起來。比如:
$ tcpdump src 192.168.1.100&& port 22-w ssh_packets
使用“或”
“或”會檢查是否匹配命令所列條件中的其中一條,像這樣:
$ tcpdump src 192.168.1.100or dst 192.168.1.50&& port 22-w ssh_packets$ tcpdump port 443or80-w http_packets
使用“非”
當我們想表達不匹配某項條件時可以使用“非”,像這樣:
$ tcpdump-i eth0 src port not22
這會捕獲 eth0 上除了 22 號埠的所有通訊。
我們的教學至此就結束了,在本教學中我們講解了如何安裝並使用 tcpdump 來捕獲網路封包。如有任何疑問或建議,歡迎留言。
via: http://linuxtechlab.com/learn-use-tcpdump-command-examples/
作者:Shusain 譯者:lujun9972 校對:wxy
本文永久更新連結地址:http://www.linuxidc.com/Linux/2018-01/150171.htm
相關文章