tcpdump介绍安装配置教程

一、Tcpdump简介
Tcpdum是Linux上强大的网络数据采集分析工具

1.     1.1 第一种类型的关键字：host    net     port        
   
2.         host 210.27.48.3指明 210.27.48.3是一台主机       net202.0.0.0 指明202.0.0.0 是一个网络地址   port 23 指明端口23
   
3.     1.2 第二种确定传输方向的关键字，主要包括 src,dst，dst or src，dst and src。这些关键字指明了传输的方向。
   
4.          src 源；        dst 目的；         没有指明方向关键字，则缺省是src or dst.
   
5. 
   
6.     1.3 第三种是协议的关键字，主要包括ip,arp，udp,tcp,fddi
   

复制代码

二、语法

1.     tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]
   

复制代码

使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，
使用-c参数指定要监听的数据包数量，
使用-w参数指定将监听到的数据包写入文件中保存
tcpdump总的的输出格式为：系统时间 来源主机.端口 > 目标主机.端口 数据包参数
补充说明：执行tcpdump指令可列出经过指定网络界面的数据包文件头，在Linux操作系统中，你必须是系统管理员root
不带参数的tcpdump会收集网络中所有的信息包头，数据量巨大，必须过滤。


三、具体参数细节

1. -A 以ASCII格式打印出所有分组，并将链路层的头最小化。
   
2. 
   
3. -c 在收到指定的数量的分组后，tcpdump就会停止。
   
4. 
   
5. -C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
   
6. 
   
7. -d 将匹配信息包的代码以人们能够理解的汇编格式给出。
   
8. 
   
9. -dd 将匹配信息包的代码以c语言程序段的格式给出。
   
10. 
    
11. -ddd 将匹配信息包的代码以十进制的形式给出。
    
12. 
    
13. -D 打印出系统中所有可以用tcpdump截包的网络接口。
    
14. 
    
15. -e 在输出行打印出数据链路层的头部信息。
    
16. 
    
17. -E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
    
18. 
    
19. -f 将外部的Internet地址以数字的形式打印出来。
    
20. 
    
21. -F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
    
22. 
    
23. -i 指定监听的网络接口。
    
24. 
    
25. -l 使标准输出变为缓冲行形式，可以把数据导出到文件。
    
26. 
    
27. -L 列出网络接口的已知数据链路。
    
28. 
    
29. -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
    
30. 
    
31. -M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
    
32. 
    
33. -b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
    
34. 
    
35. -n 不把网络地址转换成名字。
    
36. 
    
37. -nn 不进行端口名称的转换。
    
38. 
    
39. -N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。
    
40. 
    
41. -t 在输出的每一行不打印时间戳。
    
42. 
    
43. -O 不运行分组分组匹配（packet-matching）代码优化程序。
    
44. 
    
45. -P 不将网络接口设置成混杂模式。
    
46. 
    
47. -q 快速输出。只输出较少的协议信息。
    
48. 
    
49. -r 从指定的文件中读取包(这些包一般通过-w选项产生)。
    
50. 
    
51. -S 将tcp的序列号以绝对值形式输出，而不是相对值。
    
52. 
    
53. -s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。
    
54. 
    
55. -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
    
56. 
    
57. -t 不在每一行中输出时间戳。
    
58. 
    
59. -tt 在每一行中输出非格式化的时间戳。
    
60. 
    
61. -ttt 输出本行和前面一行之间的时间差。
    
62. 
    
63. -tttt 在每一行中输出由date处理的默认格式的时间戳。
    
64. 
    
65. -u 输出未解码的NFS句柄。
    
66. 
    
67. -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
    
68. 
    
69. -vv 输出详细的报文信息。
    
70. 
    
71. -w 直接将分组写入文件中，而不是不分析并打印出来。

复制代码

数据过滤
-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。例如：tcpdump -b arp 将只显示网络中的arp即地址转换协议信息。
-i 选择过滤的网络接口，如果是作为路由器至少有两个网络接口，通过这个选项，就可以只过滤指定的接口上通过的数据。例如：tcpdump -i eth0 只显示通过eth0接口上的所有报头。

四、实例
4.1 用tcpdump嗅探80端口的访问看看谁最高

1. tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F "." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr | head -20
   

复制代码

Linux Web服务器网站故障分析常用的命令

4.2 A想要截获所有210.27.48.1的主机收到的和发出的所有的数据包
tcpdump host 210.27.48.1

4.3 B想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信，使用命令：
tcpdump host 210.27.48.1 and \（210.27.48.2 or 210.27.48.3 \）

4.3 C想如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
tcpdump ip host 210.27.48.1 and ! 210.27.48.2

4.4 D 如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
tcpdump tcp port 23 host 210.27.48.1

4.5 E 对本机的UDP123 端口进行监视123为ntp的服务端口
tcpdump udp port 123

4.6 F系统将只对名为hostname的主机的通信数据包进行监视。主机名可本机或他机。
tcpdump -i eth0 src host hostname

4.7 G下面的命令可以监视所有送到主机hostname的数据包
tcpdump -i eth0 dst host hostname

4.8 H 我们还可以监视通过指定的网关的数据包
tcpdump -i eth0 gateway gatewayname

4.9 I 如果想要获取主机192.168.228.246接收或发出的ssh包，并且不转换主机名使用如下命令：
tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

5.0 J 获取主机192.168.228.246接收或发出的ssh包，并把mac地址也一同显示：
tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn

5.1 K 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头：
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

5.2Ｌ 过滤源主机物理地址为XXX的报头：
tcpdump ether src 00:50:04:BA:9B and dst……

５.3 M 过滤源主机192.168.0.1和目的端口不是telnet的报头，并导入到tes.t.txt文件中：
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。
例题：如何使用tcpdump监听来自eth0适配卡且通信协议为port 22，目标来源为192.168.1.100的数据包资料？
答：tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
例题：如何使用tcpdump抓取访问eth0适配卡且访问端口为tcp 9080？
答:tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
例题：如何使用tcpdump抓取与主机192.168.43.23或着与主机192.168.43.24通信报文，并且显示在控制台上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and host 172.16.70.35
例如：
如果想捕获119.75.219.38接收或发送的HTTP包，将其生成详细报告

可使用如下命令：
tcpdump tcp port 80 and host 119.75.219.38 -w /tmp/111.pcap

在这里插入代码片
如果想监控80上的数据包
tcpdump tcp port 80 -s 0 -w /tmp/222.pcap

pcap的包可使用wireshark的工具软件来分析
五、输出结果介绍

(1) 数据链路层头信息
#tcpdump --e host ICE
ICE 是一台装有linux的主机。它的MAC地址是0：90：27：58：AF：1A
H219是一台装有Solaris的SUN工作站。它的MAC地址是8：0：20：79：5B：46； 上一条命令的输出结果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)
21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0接收该分组， eth0 >表示从网络接口设备发送分组，
8:0:20:79:5b:46是主机H219的MAC地址， 它表明是从源地址H219发来的分组.
0:90:27:58:af:1a是主机ICE的MAC地址， 表示该分组的目的地址是ICE。
ip 是表明该分组是IP分组，60 是分组的长度， h219.33357 > ICE. telnet 表明该分组是从主机H219的33357端口发往主机ICE的 TELNET(23)端口。
ack 22535 表明对序列号是222535的包进行响应。 win 8760表明发 送窗口的大小是8760。

(2) ARP包的tcpdump输出信息
使用命令：
tcpdump arp
得到的输出结果是：
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是时间戳， 802509是ID号， eth0 >表明从主机发出该分组，arp表明是ARP请求包， who-has route tell ICE表明是主机ICE请求主机route的MAC地址。 0:90:27:58:af:1a是主机 ICE的MAC地址。
(3) TCP包的输出信息

用tcpdump捕获的TCP包的一般输出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址， flags是TCP报文中的标志信息，S 是SYN标志， F (FIN)， P (PUSH) ， R (RST) “.” (没有标记); data-seqno是报文中的数据 的顺序号， ack是下次期望的顺序号， window是接收缓存的窗口大小， urgent表明 报文中是否有紧急指针。 Options是选项。

(4) UDP包的输出信息
用tcpdump捕获的UDP包的一般输出信息是：
route.port1 > ICE.port2: udp lenth
UDP十分简单，上面的输出行表明从主机route的port1端口发出的一个UDP报文 到主机ICE的port2端口，类型是UDP， 包的长度是lenth。

六、其他辅助
(1) 想查看TCP或者UDP端口使用情况，使用 netstat -anp
如果有些进程看不见，如只显示”-”，可以尝试
#sudo netstat -anp
如果想看某个端口的信息，使用lsof命令，如：
sudo lsof -i :631

netstat -tln 命令是用来查看linux的端口使用情况
netstat -tln
/etc/init.d/vsftp start 是用来启动ftp端口~！
netstat 查看已经连接的服务端口（ESTABLISHED）
netstat -a 查看所有的服务端口（LISTEN，ESTABLISHED）
sudo netstat -ap 查看所有 的服务端口并显示对应的服务程序名

当我们使用　netstat -apn　查看网络连接的时候，会发现很多类似下面的内容：
file:///C:/Documents%20and%20Settings/Administrator/Local%20Settings/Application%20Data/youdao/ynote/p_w_picpaths/83EDB0DBC37645DCA0BA3BB7060BCAF6/clipboard.png
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 52 218.104.81.152：7710 211.100.39.250：29488 ESTABLISHED 6111/1

显示这台服务器开放了7710端口，那么 这个端口属于哪个程序呢？我们可以使用　lsof -i ：7710　命令来查询：
file:///C:/Documents%20and%20Settings/Administrator/Local%20Settings/Application%20Data/youdao/ynote/p_w_picpaths/26F6C96985F54339956B7351DD65FD97/clipboard.png
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 1990 root 3u IPv4 4836 TCP *：7710 （LISTEN）
这样，我们就知道了7710端口是属于sshd程序的。

(2) 运行tcpdump命令出现错误信息排除
tcpdump: no suitable device found
tcpdump: no devices found /dev/bpf4: A file or directory in the path name does not exist.
解决方案 2种原因：
1.权限不够，一般不经过处理，只用root用户能使用tcpdump
2.缺省只能同时使用4个tcpdump，如用完，则报此类错。需要停掉多余的tcpdump