tcpdump 使用介绍

tcpdump 工具简介
tcpdump工具简介
1）定义
用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具

2）功能
它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来去掉无用的信息


tcpdump使用方法

1）tcpdump常用命令格式
tcpdump [ -adeflnNOpqStvx ] [ -c数量
] [ -F 文件名 ] [ -i网络接口 ] [ -r文件名
] [ -s 数据包大小 ] [ -T类型 ] [ -w文件名 ] [表达式
]

2）选项
-a 将网络地址和广播地址转变成名字
-e 在输出行打印出数据链路层的头部信息
-n 　　　不把网络地址转换成名字
-t 在输出的每一行不打印时间戳

-c 在收到指定的包的数目后，tcpdump就会停止
-F 从指定的文件中读取表达式,忽略其它的表达式
-l 使标准输出变为缓冲行形式
-i 指定监听的网络接口
-r 从指定的文件中读取包(这些包一般通过-w选项产生)
-w 直接将包写入文件中，并不分析和打印出来
-T 将监听到的包直接解释为指定的类型的报文
-v 输出一个稍微详细的信息，例如在IP包中可以包括ttl和服务类型的信息
-vv 输出详细的报文信息
-X 用十六进制字码列出数据包资料

tcpdump示例

1）捕获特定网络接口的包
tcpdump -i eth2
2）捕获特定协议的包
tcpdump arp -i eth2
tcpdump rarp
tcpdump icmp
tcpdump igmp
tcpdum pip
tcpdump tcp
tcpdump udp


3）捕获特定主机的包
tcpdump host 128.128.14.12 -i eth0 –nvvvSe

4）捕获两个特定主机的包
tcpdump host 128.128.14.12 and 128.128.66.254 –nvvvSe

5）捕获一个主机所有和非特定主机通信的包
tcpdump host 128.128.14.12 and ! 128.128.66.254

6）捕获一个主机发往另一个特定主机的包
tcpdumpsrc
host 128.128.14.12 and dst 128.128.66.254

7）捕获一个主机发往特定子网的包
tcpdumpsrc host 128.128.14.12 anddst net 128.128.0.0/16

8）捕获源主机MAC地址的包
tcpdump ether src 28:6E:D4:4F:6E:A4 –nvvvSe

9）捕获广播包
tcpdump -i eth0 ether broadcast

10）捕获特定协议的包
tcpdumptcp port 23 –vvvSe
tcpdumptcp port 22 –vvvSe

vsftp协议的不安全性（抓包可以捕获root登陆密码）
tcpdump -i eth0tcp port 20 or port 21 -nvvveSXX

USM后台捕获SMM板告警
tcpdump
-i eth0udp
port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -T snmp

11）保存捕获的包到特定文件
tcpdump udp port 18999 anddst host 128.128.14.12 -s 500 -nvvvSe -w
/smmAlarm.cap

12）保存的文件可用高级抓包工具ethereal打开分析
tcpdump
读取先前已保存的文件
tcpdump
-r /smmAlarm.cap -nvvvSe