选项
- -i any 监听所有的网卡接口,用来查看是否有网络流量
- -i eth0 只监听eth0网卡接口
- -D 显示可用的接口列表
- -n 不要解析主机名
- -nn 不要解析主机名或者端口名
- -q 显示更少的输出(更加quiet)
- -t 输出可读的时间戳
- -tttt 输出最大程度可读的时间戳
- -X 以hex和ASCII两种形式显示包的内容
- -XX 与**-X**类似,增加以太网header的显示
- -v, -vv, -vvv 显示更加多的包信息
- -c 只读取x个包,然后停止
- -s 指定每一个包捕获的长度,单位是byte,使用
-s0可以捕获整个包的内容 - -S 输出绝对的序列号
- -e 获取以太网header
- -E 使用提供的秘钥解密IPSEC流量
表达式
在tcpdump中,可以使用表达式过滤指定类型的流量。有三种主要的表达式类型:type,dir,proto。
- 类型(type)选项包含:host,net,port
- 方向(dir)选项包含:src,dst
- 协议(proto)选项包含:tcp,udp,icmp,ah等
示例
捕获所有流量
查看所有网卡接口上发生了什么
tcpdump -i any
指定网卡接口
查看指定网卡上发生了什么
tcpdump -i eth0
原生输出
查看更多的信息,不解析主机名和端口号,显示绝对序列号,可读的时间戳
tcpdump -ttttnnvvS
查看指定IP的流量
这是最常见的方式,这里只查看来自或者发送到IP地址1.2.3.4的流量。
tcpdump host 1.2.3.4
查看更多的包信息,输出HEX
当你需要查看包中的内容时,使用hex格式输出是非常有用的。
# tcpdump -nnvXSs 0 -c1 icmp
tcpdump: data link type PKTAP
tcpdump: listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
16:08:16.791604 IP (tos 0x0, ttl 64, id 34318, offset 0, flags [none], proto ICMP (1), length 56)
192.168.102.35 > 114.114.114.114: ICMP 192.168.102.35 udp port 50694 unreachable, length 36
IP (tos 0x0, ttl 152, id 0, offset 0, flags [none], proto UDP (17), length 112)
114.114.114.114.53 > 192.168.102.35.50694: [|domain]
0x0000: 5869 6c88 7f64 784f 4392 ed7e 0800 4500 Xil..dxOC..~..E.
0x0010: 0038 860e 0000 4001 e906 c0a8 6623 7272 .8....@.....f#rr
0x0020: 7272 0303 3665 0000 0000 4500 0070 0000 rr..6e....E..p..
0x0030: 0000 9811 16cd 7272 7272 c0a8 6623 0035 ......rrrr..f#.5
0x0040: c606 005c 0000 ...\..
1 packet captured
357 packets received by filter
0 packets dropped by kernel
使用源和目的地址过滤
tcpdump src 2.3.4.6
tcpdump dst 3.4.5.6
过滤某个子网的数据包
tcpdump net 1.2.3.0/24
过滤指定端口相关的流量
tcpdump port 3389
tcpdump src port 1025
过滤指定协议的流量
tcpdump icmp
只显示IPV6流量
tcpdump ip6
使用端口范围过滤
tcpdump portrange 21-23
基于包的大小过滤流量
tcpdump less 32
tcpdump greater 64
tcpdump <=128
将捕获的内容写入文件
使用-w选项可以将捕获的数据包信息写入文件以供以后分析,这些文件就是著名的PCAP(PEE-cap)文件,很多应用都可以处理它。
tcpdump port 80 -w capture_file
使用tcpdump加载之前保存的文件进行分析
tcpdump -r capture_file
高级
使用组合语句可以完成更多高级的过滤。
- AND: and or &&
- OR: or or ||
- EXCEPT: not or !
过滤指定源IP和目的端口
tcpdump -nnvvS src 10.5.2.3 and dst port 3389
过滤指定网络到另一个网络
比如下面这个,查看来自192.168.x.x的,并且目的为10.x或者172.16.x.x的所有流量,这里使用了hex输出,同时不解析主机名
tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
过滤到指定IP的非ICMP报文
tcpdump dst 192.168.0.2 and src net and not icmp
过滤来自非指定端口的指定主机的流量
下面这个过滤出所有来自某个主机的非ssh流量
tcpdump -vv src mars and not dst port 22
复杂分组和特殊字符
当构建复杂的过滤规则的时候,使用单引号将规则放到一起是个很好的选择。特别是在包含**()**的规则中。比如下面的规则就是错误的,因为括号在shell中会被错误的解析,可以对括号使用\进行转义或者使用单引号
tcpdump src 10.0.2.3 and (dst port 3389 or 22)
应该修改为
tcpdump 'src 10.0.2.3 and (dst port 3389 or 22)'
隔离指定的TCP标识
可以基于指定的TCP标识(flag)来过滤流量。
下面的过滤规则中,**tcp[13]**表示在TCP header中的偏移位置13开始,后面的数字代表了匹配的byte数。
显示所有的URGENT (URG)包
tcpdump 'tcp[13] & 32!=0'
显示所有的ACKNOWLEDGE (ACK)包
tcpdump 'tcp[13] & 16!=0'
显示所有的PUSH(PSH)包
tcpdump 'tcp[13] & 8!=0'
显示所有的RESET(RST)包
tcpdump 'tcp[13] & 4!=0'
显示所有的SYNCHRONIZE (SYN) 包
tcpdump 'tcp[13] & 2!=0'
显示所有的FINISH(FIN)包
tcpdump 'tcp[13] & 1!=0'
显示说有的SYNCHRONIZE/ACKNOWLEDGE (SYNACK)包
tcpdump 'tcp[13]=18'
其它方式
与大多数工具一样,也可以使用下面这种方式来捕获指定TCP标识的流量
tcpdump 'tcp[tcpflags] == tcp-syn'
tcpdump 'tcp[tcpflags] == tcp-rst'
tcpdump 'tcp[tcpflags] == tcp-fin'
识别重要流量
最后,这里有一些重要的代码片段你可能需要,它们用于过滤指定的流量,例如畸形的或者恶意的流量。
过滤同时设置SYN和RST标识的包(这在正常情况下不应该发生)
tcpdump 'tcp[13] = 6'
过滤明文的HTTP GET请求
tcpdump 'tcp[32:4] = 0x47455420'
通过横幅文本过滤任意端口的SSH连接
tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'
过滤TTL小于10的包(通常情况下是存在问题或者在使用traceroute)
tcpdump 'ip[8] < 10'
过滤恶意的包
tcpdump 'ip[6] & 128 != 0'
补充(非原文内容)
下面这个命令用于过滤所有与8080端口相关的tcp流量,将其输出到capcha.cap文件中,我们可以使用wireshark打开这个文件,更加可视化的分析过滤其中包含的http流量。
tcpdump -tttt -s0 -X -vv tcp port 8080 -w captcha.cap
via:
https://github.com/mylxsw/growing-up/blob/master/doc/tcpdump%E7%AE%80%E6%98%8E%E6%95%99%E7%A8%8B.md
