最近需要在Linux上抓包,用到了tcpdump工具,记录一下使用的方法
tcpdump,用简单的语言概括就是dump the traffic on a network,
是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,
tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,
其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,
并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。
下面是简单的指令参数
-a # 将网络地址和广播地址转变成名字
-A # 以ASCII格式打印出所有分组,并将链路层的头最小化
-b # 数据链路层上选择协议,包括ip/arp/rarp/ipx都在这一层
-c # 指定收取数据包的次数,即在收到指定数量的数据包后退出tcpdump
-d # 将匹配信息包的代码以人们能够理解的汇编格式输出
-dd # 将匹配信息包的代码以c语言程序段的格式输出
-ddd # 将匹配信息包的代码以十进制的形式输出
-D # 打印系统中所有可以监控的网络接口
-e # 在输出行打印出数据链路层的头部信息
-f # 将外部的Internet地址以数字的形式打印出来,即不显示主机名
-F # 从指定的文件中读取表达式,忽略其他的表达式
-i # 指定监听网络接口
-l # 使标准输出变为缓冲形式,可以数据导出到文件
-L # 列出网络接口已知的数据链路
-n # 不把网络地址转换为名字
-N # 不输出主机名中的域名部分,例如www.baidu.com只输出www
-nn # 不进行端口名称的转换
-P # 不将网络接口设置为混杂模式
-q # 快速输出,即只输出较少的协议信息
-r # 从指定的文件中读取数据,一般是-w保存的文件
-w # 将捕获到的信息保存到文件中,且不分析和打印在屏幕
-s # 从每个组中读取在开始的snaplen个字节,而不是默认的68个字节
-S # 将tcp的序列号以绝对值形式输出,而不是相对值
-T # 将监听到的包直接解析为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)
-t # 在输出的每一行不打印时间戳
-tt # 在每一行中输出非格式化的时间戳
-ttt # 输出本行和前面以后之间的时间差
-tttt # 在每一行中输出data处理的默认格式的时间戳
-u # 输出未解码的NFS句柄
-v # 输出稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv # 输出相信的保报文信息
# 监听某个网卡的某个端口的数据包
# -s 0 不限制长度
# -i 指定监听的网络接口
# port 过滤端口
sudo tcpdump -s 0 -i ens33 port 7660
# 和上面一样,多了一个协议,监听某个协议,某个网卡,某个端口的数据
sudo tcpdump -s 0 -i ens33 udp port 7660
# 可以将抓取的数据包保存为文件让wireshark分析
# -c 指的是抓取1000个包
# -w 指的是将数据包写成文件
# my.pcap或者my.cap可以用wireshark分析打开来分析
sudo tcpdump -s 0 -i ens33 -c 1000 -w my.pcap udp
用wireshark打开抓取的文件,可以看到抓取的数据包
打开wireshark查看抓取的文件
