Linux tcpdump命令详解
1. 语法
tcpdump [-adeflnnNOpqStvxX] [-c <数据包数目>] [-dd] [-ddd] [-F <表达文件>] [-i <网络界面>] [-r <数据包文件>] [-s <数据包大小>] [-tt] [-T <数据包类型>] [-vv] [-w <数据包文件>] [输出数据单位]
2. 参数说明
-
-a 尝试将网络和广播地址转换成名称。
- 示例:
将捕获到的tcpdump -a -i eth0eth0接口的网络和广播地址转换为名称显示。
- 示例:
-
-c <数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
- 示例:
捕获10个tcpdump -c 10 -i eth0eth0接口上的数据包后停止。
- 示例:
-
-d 把编译过的过滤包编译转换成可读的格式,并倾倒到标准输出。
- 示例:
显示编译过的过滤表达式。tcpdump -d -i eth0
- 示例:
-
-dd 把编译过的过滤包编译转换成C语言的格式,并倾倒到标准输出。
- 示例:
以C语言格式显示编译过的过滤表达式。tcpdump -dd -i eth0
- 示例:
-
-ddd 把编译过的过滤包编译转换成十进制数字的格式,并倾倒到标准输出。
- 示例:
以十进制格式显示编译过的过滤表达式。tcpdump -ddd -i eth0
- 示例:
-
-e 在每列倾倒的资料上显示连线层级的文件头。
- 示例:
显示tcpdump -e -i eth0eth0接口上的数据包的以太网头部信息。
- 示例:
-
-f 用数字显示网际网路地址。
- 示例:
用数字格式显示IP地址。tcpdump -f -i eth0
- 示例:
-
-F <表达文件> 指定内容表达方式的文件。
- 示例:
使用tcpdump -F filter.txt -i eth0filter.txt中的表达方式过滤eth0接口上的数据包。
- 示例:
-
-i <网络界面> 使用指定的网络接口送出数据包。
- 示例:
捕获tcpdump -i eth0eth0接口上的数据包。
- 示例:
-
-l 使用标准输出的缓冲区。
- 示例:
将输出行缓冲。tcpdump -l -i eth0
- 示例:
-
-n 不把主机的网络地址转换成名称。
- 示例:
不转换主机名。tcpdump -n -i eth0
- 示例:
-
-N 不列出域名。
- 示例:
不解析主机名的域名部分。tcpdump -N -i eth0
- 示例:
-
-O 不将数据包编码器最佳化。
- 示例:
禁用优化。tcpdump -O -i eth0
- 示例:
-
-p 不让网络界面进入混杂模式。
- 示例:
使tcpdump -p -i eth0eth0接口不进入混杂模式。
- 示例:
-
-q 快速输出,仅列出少数的传输协议信息。
- 示例:
简单快速输出数据包的信息。tcpdump -q -i eth0
- 示例:
-
-r <数据包文件> 从指定的文件读取数据包数据。
- 示例:
从tcpdump -r file.pcapfile.pcap文件读取数据包。
- 示例:
-
-s <数据包大小> 设置每个数据包的大小。
- 示例:
捕获tcpdump -s 1024 -i eth0eth0接口上前1024字节的数据包。
- 示例:
-
-S 用绝对而非相对数值列出TCP序列号。
- 示例:
以绝对序列号显示TCP序列号。tcpdump -S -i eth0
- 示例:
-
-t 在每列倾倒资料上不要显示时间戳记。
- 示例:
不显示时间戳。tcpdump -t -i eth0
- 示例:
-
-tt 在每列倾倒资料上显示未经过格式化的时间戳记。
- 示例:
显示未经格式化的时间戳。tcpdump -tt -i eth0
- 示例:
-
-T <数据包类型> 强制将表达方式所指的类型的数据信息转换成该数据包类型。
- 示例:
将捕获的tcpdump -T rpc -i eth0eth0接口上的数据包解释为RPC数据包。
- 示例:
-
-v 详细显示指令执行过程。
- 示例:
详细显示捕获数据包的信息。tcpdump -v -i eth0
- 示例:
-
-vv 更详细显示指令执行过程。
- 示例:
更详细地显示数据包信息。tcpdump -vv -i eth0
- 示例:
-
-x 用十六进制字码列出数据包资料。
- 示例:
以十六进制格式显示tcpdump -x -i eth0eth0接口上的数据包内容。
- 示例:
-
-X 用十六进制和ASCII码列出数据包资料。
- 示例:
以十六进制和ASCII码显示tcpdump -X -i eth0eth0接口上的数据包内容。
- 示例:
-
-w <数据包文件> 把数据包资料写入到指定的文件。
- 示例:
将捕获的tcpdump -w file.pcap -i eth0eth0接口上的数据包写入file.pcap文件。
- 示例:
3. 使用tcpdump的详细抓包示例
捕获eth0接口上TCP协议的HTTP请求,并保存到文件http_requests.pcap中。
-
运行tcpdump命令
tcpdump -i eth0 'tcp port 80' -w http_requests.pcap- 命令解释:
-i eth0:指定网络接口eth0。'tcp port 80':过滤条件,捕获TCP协议的80端口数据包(HTTP请求)。-w http_requests.pcap:将捕获的数据包保存到文件http_requests.pcap中。
- 命令解释:
-
查看保存的数据包
tcpdump -r http_requests.pcapreading from file http_requests.pcap, link-type EN10MB (Ethernet) 10:00:00.000000 IP 192.168.1.2.54321 > 192.168.1.1.http: Flags [S], seq 0, win 65535, options [mss 1460,sackOK,TS val 123456 ecr 0,nop,wscale 7], length 0 10:00:01.000000 IP 192.168.1.1.http > 192.168.1.2.54321: Flags [S.], seq 0, ack 1, win 65535, options [mss 1460,sackOK,TS val 123457 ecr 123456,nop,wscale 7], length 0 10:00:02.000000 IP 192.168.1.2.54321 > 192.168.1.1.http: Flags [.], ack 1, win 65535, options [nop,nop,TS val 123458 ecr 123457], length 0
