tcpdump快速入门及实践手册

1. 快速入门

[1]. 基本用法

基本用法： tcpdump [选项 参数] [过滤器 参数]

[root@kysrv1 pwe]# tcpdump -h
tcpdump version 4.9.3
libpcap version 1.9.1 (with TPACKET_V3)
OpenSSL 1.1.1f  31 Mar 2020
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
		[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
		[ -Q in|out|inout ]
		[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
		[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
		[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
		[ -Z user ] [ expression ]
[root@kysrv1 pwe]# 

[2]. 参数及选项

• 【-A】：以ASCII打印报文的数据内容，与参数-X冲突。
• 【-b】: 指定协议，包括 ip、arp、rarp、icmp等。
• 【-c】：数字，指定抓包数量。
• 【-C】：数字，保存文件的大小(单位为MB) ，常配合-W使用，代表抓取的包构成多少个pcap文件，每个文件大小多少。
• 【-D】：列出所有可用网络接口。
• 【-e】：显示通信双方MAC地址。
• 【-i】 ：指定监听网卡名称，-i any 表示监听所有网卡。
• 【-n】: 不解析主机名，直接用IP地址显示；默认用hostname显示，不带该参数会导致回显比较慢，因为要处理域名翻译。
• 【-nn】: 不解析主机名和端口，直接用Port显示; 默认显示Port对应的服务名。
• 【-P】：指定抓取的包是进入还是流出的，可选参数有in、out、inout，默认 inout。
• 【-p】: 关闭接口的混杂模式。
• 【-q】: 快速打印输出，只输出少量的协议相关信息。
• 【-r】：从抓包文件读取内容。
• 【-s】： 数字，设置要抓取的包长，默认96字节；如果-s 0，会截取全部内容。
• 【-S】：以绝对值形式输出TCP序列号，缺省时以相对值形式输出。
• 【-t】：不打印时间戳。
• 【-tt】：显示时间戳。
• 【-ttt】：显示请求与响应的时间间隔而非绝对时间。
• 【-vv】：输出详细信息。
• 【-w】：输出到指定pcap文件；缺省时默认保存在系统的默认路径下；当指定输出文件时，就不会输出到屏幕了。
• 【-W】：数字，抓取多少个pcap文件，配合-C使用。
• 【-x】：用16进制显示从ip层及以上开始的帧内容。
• 【-X】：用16进制和ascii显示ip层及以上的报文头。
• 【-xx】：同-x，但是从数据链路层(即以太网头部)开始打印。
• 【-XX】：同-X，但是从数据链路层(即以太网头部)开始打印。
• 【-Z】：用户名，以该用户权限来执行抓包。
• 【-G】：从缓存写入到文件的时间间隔(默认是 2 秒)；如果想要 tcpdump 立即将数据写入文件，可以使用 -G 参数。

[3]. 过滤器及参数

过滤器分类

• 协议(Proto)： 可选有 ip, arp, rarp, tcp, udp, icmp, ether 等，默认是所有协议的包。
• 方向(Dir)： 可选有 src, dst, src or dst, src and dst，默认为 src or dst 。
• 类型(Type)： 可选有 host, net, port, portrange（端口范围，比如 21-42），默认为 host。
• 组合逻辑运行符： 可选有 and 、or 、not 和 括号 等。

括号：

()等特殊符号需要加转义符或者用单引号 ，如下示例：

tcpdump host 192.168.58.1 and \(192.168.58.151 or 192.168.58.131\)
tcpdump host 192.168.58.1 and '(192.168.58.151 or 192.168.58.131)'

上述表达式的含义为：抓取主机192.168.58.1 与（主机192.168.58.151 或 主机 192.168.58.131）之间的通信包。

2. 常用命令

[1]. 监听指定网卡

tcpdump -i ens33

[2]. 监听全部网卡

tcpdump -i any

[3]. 保存Wireshark识别文件格式

tcpdump -i ens33 -w output.pcap

[4]. 查看已有数据包

tcpdump -r output.pcap

[5]. 指定抓取数据包的个数

tcpdump -i ens33 -c 200

上述语句的含义是只抓取200个数据包，然后tcpdump就结束抓取报文。

[6]. 时间格式命名保存报文文件名称

tcpdump -i ens33 port 8080 -w /tmpgram//$(date +%Y%m%d_%H%M).pcap

[7]. 显示通信双方IP地址和端口

tcpdump -i ens33 -nn

[8]. 显示通信双方MAC地址

tcpdump -i ens33 -e

[9]. 显示通信双方MAC地址+IP地址.端口

tcpdump -i ens33 -nne

[10]. 显示通信双方相对时间

tcpdump -i ens33 -ttt

[11]. 抓取指定主机所有收发数据包

tcpdump host 10.16.21.61

[12]. 抓取主机指定网卡所有数据包

比如：抓取主机192.168.58.145 上，经过指定网卡ens33的所有数据包

tcpdump -i ens33 host 192.168.58.145

[13]. 抓取指定端口数据包

抓取指定端口收发报文

tcpdump -i ens33 port 512

抓取目标端口为512的数据包

tcpdump dst port 512

抓取源端口为512的数据包

tcpdump src port 512

[14]. 抓取某一范围端口数据包

抓取 1000 至 1200 UDP 端口数据

tcpdump udp and portrange 1000-1200

[15]. 抓取指定网段数据包

指定收发网段

tcpdump net 192.168.10

指定源网段

tcpdump src net 192.168.20

指定目标网段

tcpdump dst net 192.168.20

[16]. 抓取指定协议类型数据包

tcpdump -i ens33 ip
tcpdump -i ens33 tcp
tcpdump -i ens33 udp

3. 组合逻辑表达式命令

组合表达式

tcpdump -i ens33 -xx -c 5 '((udp) and (port 1281) and ((dst host 192.168.58.145) and (src host 192.168.58.1)))'

表达式含义： 抓取网络接口ens33上主机192.168.58.1向主机192.168.58.145发送的 UDP端口为1281 的数据包。

4. 案例讲解

[1]. 指定端口UDP抓包

表达式如下

tcpdump -i ens33 -e -xx -XX -vv -c 5 udp and dst port 1281

参数说明

• -i： 指定网络接口名称，ens33 为主机接口名称；

• -e： 显示通信双方MAC地址；
• -xx -XX： 用十六进制显示以太网数据帧；
• -vv： 输出详细信息；
• -c： 指定抓包数量，本示例中抓取5个数据包就结束抓包；
• udp: 抓取UDP 数据包；
• dst port: 抓取目标端口为1281的数据包。

测试数据

抓取效果

[2]. UDP以太网帧分析

以太网帧

0x0000:  000c 2972 87e0 0050 56c0 0008 0800 4500  ..)r...PV.....E.
0x0010:  0053 b360 0000 8011 9156 c0a8 3a01 c0a8  .S.`.....V..:...
0x0020:  3a91 c351 0501 003f 0715 90eb 0303 0004  :..Q...?........
0x0030:  a700 b461 a001 0126 0001 0000 1f00 0120  ...a...&........
0x0040:  1010 1700 0000 0003 00a7 000e 0003 0001  ................
0x0050:  0300 0400 ff16 00ff 1700 ff99 760a f0ff  ............v...
0x0060:  dd 

以太网帧分析

14个字节以太网帧首部 + 20个字节IP帧首部 + 8个字节UDP帧首部。

#14字节以太网首部
000c 2972 87e0 0050 56c0 0008 0800 
#20字节IP首部
4500 0053 b360 0000 8011 9156 c0a8 3a01 c0a8 3a91 
#8字节UDP首部
c351 0501 003f 0715 
#用户数据
90eb 0303 0004 a700 b461 a001 0126 0001 0000 1f00 0120 1010 1700 0000 0003 00a7 000e 0003 0001 0300 0400 ff16 00ff 1700 ff99 760a f0ff dd 

[3]. TCP三次握手

测试工具

在Linux主机上，使用**nc** 工具监听10086端口。

nc -l 10086

测试数据

使用ComMax工具发送TCP连接请求。

抓包表达式

tcpdump -i ens33 -nn tcp and port 10086

参数说明

• -i： 指定网络接口名称，ens33 为主机接口名称；

• -nn： 不解析主机名和端口，直接用Port显示; 默认显示Port对应的服务名；
• tcp: 抓取TCP 数据包；
• port: 抓取收发端口为10086的数据包。

三次握手

10:17:43.577371 IP 192.168.58.1.59225 > 192.168.58.145.10086: Flags [S], seq 4126457226, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
10:17:43.577404 IP 192.168.58.145.10086 > 192.168.58.1.59225: Flags [S.], seq 2886975696, ack 4126457227, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
10:17:43.579825 IP 192.168.58.1.59225 > 192.168.58.145.10086: Flags [.], ack 1, win 513, length 0

Flags 含义：

• [S] : 表示Start 开始握手；
• [S.] : 表示Start+Ack 握手并确认；
• [ . ] : 表示Ack 握手确认；
• [P.] : 表示Push+Ack 数据发送和确认；
• [F.] : 表示Finish+Ack 挥手并确认;

数据传输及挥手

[4]. TCP以太网帧分析

TCP测试数据

抓包表达式

tcpdump -i ens33 -xx -nn tcp and port 10086

以太网帧

10:34:54.669979 IP 192.168.58.1.55673 > 192.168.58.145.10086: Flags [P.], seq 1:13, ack 1, win 513, length 12
	0x0000:  000c 2972 87e0 0050 56c0 0008 0800 4500
	0x0010:  0034 b3b3 4000 8006 512d c0a8 3a01 c0a8
	0x0020:  3a91 d979 2766 b6e0 0611 9ced 82b6 5018
	0x0030:  0201 d852 0000 0100 0000 0006 0103 0001
	0x0040:  000a

以太网帧分析

14个字节以太网帧首部 + 20个字节IP帧首部 + 20个字节TCP帧首部。

#14字节以太网首部
000c 2972 87e0 0050 56c0 0008 0800
#20字节IP首部
4500 0034 b3b3 4000 8006 512d c0a8 3a01 c0a8 3a91
#20字节TCP首部
d979 2766 b6e0 0611 9ced 82b6 5018 0201 d852 0000
#用户数据
0100 0000 0006 0103 0001 000a

[5]. 抓包并保存到文件

抓包并保存到文件，同时控制文件大小和文件个数。

表达式

tcpdump -i ens33 -s 0 -xx -nn udp port 1281 -w /var/gram/ats.pcap -C 2 -W 3 -Z root 

参数说明

• -i： 指定网络接口名称，ens33 为主机接口名称；

• -s 0： 抓取全部报文内容；
• -xx： 用十六进制显示以太网数据帧；
• -nn： 不解析主机名和端口；
• udp port 1281: 捕获UDP类型，端口为1281的数据。
• -w： 报文保存路径，指定为 /var/gram/ats.pcap；
• -C 2: 保存文件的大小(单位为MB)为2MB ；
• -W 3: 抓取3个pcap文件，依次命名为 ats.pcap0 、ats.pcap1 和 ats.pcap2 。
• -Z: 以root用户权限执行保存报文。

测试数据

表达式验证

先验证表达式是否正确，然后再保存报文。

tcpdump -i ens33 -s 0 -xx -nn udp port 1281 -Z root

执行保存报文

tcpdump -i ens33 -s 0 -xx -nn udp port 1281 -w /var/gram/ats.pcap -C 2 -W 3 -Z root

开始保存报文，创建第一个文件 ats.pcap0 。

当第一个文件的大小到达2MB 时，开始创建第二个文件 ats.pcap1 。

当三个文件都存满的时候，tcpdump将以覆盖的方式存储。

循环覆盖中

[6]. 读取存盘文件

如果用tcpdump读取已经保存的文件，则用tcpdump -r file.pcap 命令。

表达式如下：

tcpdump -r ats.pcap0 -xx -nn -c 3

• -c 3 表示只读取3条帧。