TCPDUMP是一款知名的linux抓包工具。Linux作為網絡服務器,特別是作為路由器和網關時,數據的采集和分析是不可少的。TcpDump是Linux中強大的網絡數據采集分析工具之一,一言概之,dump the traffic on a network,是一款根據使用者的定義對網絡上的數據包進行截獲的包分析工具。作為互聯網上經典的的系統管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成為每個高級的系統管理員分析網絡,排查問題等所必備的工具之一。
有的朋友可能不太理解,其實說白了,tcpdump就類似我們經常在window客戶端使用wireshark,區別就是一個是圖形界面,一個是命令形式。小編這里為大家提供的TCPDUMP抓包工具,可支持Linux和Unix系統,后問附有詳細的介紹,有需求的用戶還請下載支持。
如果你的系統默認沒有安裝tcpdump,那么你可以使用如下命令,進行安裝:
yum install tcpdump -y
為了方便大家直觀理解,小編在網上截取了一段參數圖,如下,可以幫助我們更好的理解tcpdump語句的含義。
option:可選參數,可以指定相關參數,輸出特定信息。
proto:類過濾器,指定某種協議的數據包。如tcp。
在開始玩tcpdump時,讀者應該有所了解報文結構,這樣才能更好讀懂tcpdump輸出的信息。
一、抓取特定網卡 80端口的鏈接情況:
1、我們先用ifconfig查看網卡名稱:
2、輸入下來命令后,打開百度網頁:
可以捕獲到如下信息,截取一部分:
關于上面輸出的內容,格式注釋如下:
第二列:網絡協議 IP
第三列:發送方的ip地址+端口號,其中 221.5.75.35是 ip,而 http是端口號,即80
第四列:箭頭 >, 表示數據流向
第五列:接收方的ip地址+端口號,其中 localhost.localdomain.是 ip,本機,而 42884是端口號。
第六列:冒號
第七列:數據包內容,包括Flags 標識符,seq 號,ack 號,win 窗口,數據長度 length,其中 [P.] 表示 PUSH 標志位為 1。
其中Flags 標識符有以下幾種:
[S] : SYN(開始連接)
[P] : PSH(推送數據)
[F] : FIN (結束連接)
[R] : RST(重置連接)
[.] : 沒有 Flag,由于除了 SYN 包外所有的數據包都有ACK,所以一般這個標志也可表示 ACK
二、如果你覺得命令行不習慣,還是喜歡用wireshark來查看數據包,那么你還可以使用tcpdump來保存.cap文件,然后導出cap文件,就可以用wireshark軟件來打開查看了。
tcpdump-i ens33 port80-w ./20210616.cap(左右滑動一下)
注釋:
-w:參數指定將監聽到的數據包寫入文件中保存,file.cap就是該文件。
./:保存的路徑。
通過ls,可以看到該文件已生成:
輸入linux服務器ip地址(即我虛擬機的ip地址)、賬號、密碼
下載cap文件:
下載到window物理機上:
雙擊,我們就可以使用wireshark來查看數據包了
三、基于協議進行過濾,比如就只抓起icmp報文。
tcpdump icmp
輸完上述命令后,我打開網頁,又進行了ping測試,先ping8.8.8.8,然后中止了,再ping 114.114.114.114.
來看看,命令輸出的結果:
23:05:28.009283 IP http://public1.114dns.com > localhost.localdomain: ICMP echo reply, id 24125, seq 3, length 64
四、-n參數
上面我們看到了,ping 114.114.114.114,tcpdump輸出顯示是域名形式,如果我們希望顯示ip地址,可以加一個參數:-n (即不把ip轉化成域名,直接顯示 ip,避免執行 DNS lookups 的過程,速度會快很多)
tcpdump icmp -n
五、捕獲特定的目的IP地址的數據包。
我在linux服務器上進行ping多個地址(114.114.114.114、223.5.5.5、223.6.6.6),然后我tcpdump只需114.114.114.114的。
tcpdumpicmp-nanddsthost114.114.114.114(左右滑動一下)
and:后面就是加了限制條件,只捕獲指定的目的ip地址為114.114.114.114的報文。
我們都知道,想學會網絡技術,人人都繞不開“抓包”這項技能。只有把設備之間交互的信息讀透了,搞懂它,那么,你在網絡世界里,就能游刃有余,如魚得水。
Tcpdump是著名的sniffer,是一個被很多UNIX高手認為是一個專業的網絡管理工具,記得以前TsutomuShimomura,就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄,后來就配合FBI抓住了KEVINMITNICK。你能夠利用這個工具檢查訪問你服務器中的文件包信息,監測你網絡中的問題所在。
網友評論