TCPdump抓包工具使用:
不管是网络运维还是系统运维,以及开发,难免遇到数据传输的问题,tcpdump是个不错的工具,可以对网络上的数据进行截获抓取,借此可以对网络传输的数据进行分析。帮助我们排查问题。
语法格式:
tcpdump OPTIONS [EXPRESSION]
选项说明:
-c cout:抓取指定的数据包个数后退出,count为一个数值
-d: 把编译过得数据包编码转换成可阅读的格式,显示到标准输出;
-dd:把编译过的数据包编码转换成c语言格式,实现到标准输出
-ddd:把编译过的数据包编码转换成十进制数字格式,显示到标准输出
-e:在每列显示链接层头部,及显示数据帧
-i:interface 抓取的指定接口,interface为接口名称
-n:不把主机的网络地址转换成名字
-nn:不把协议或端口号转换为名称
-N:不列出域名
-p:不让接口进入混杂模式
-P direction:选择发送或接受数据包的方向,direction表示方向,可选择分别为in、out、input
-q:快速输出仅列出少数的传输协议信息
-r file:从指定文件读取数据包数据,file为一个数据包文件
-S:用绝对数值列出TCP序列号
-s snaplen:设定每个数据包的大小,snaplen为一个数值。
-t :不显示时间戳
-ttt 显示当前行和前一行的时间差,单位是微秒;
-tttt :显示时间戳,格式为年-月-日 时:分:秒现在距午夜的秒数
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出
-XX :输出包的头部数据,比x更详细
-v:当分析和打印的时候,产生详细的输出
-vv:比-v更详细
-vvv:比vv更详细
-w file:放到文件中,file为一个文件名
看上去非常多,但是最常用的选项组合就只有几个:-c num -e -i int -nn -XX -vvv.
下面有些列子希望可以帮助大家理解:
默认启动。直接启动tpdump将监视第个网络接口(I l0中上所有机通的数据包。这样抓取的结果会非常多,滚动非常快。
[root@lxg]# tcpdump
监视指定网络接口eth1上的数据包
[root@lxg]# tcpdump -i eth1
只抓eth0接口的icmp包,以数字格式显示。
[root@lxg]# tcpdump -i eth0 -nn icmp
抓取来源于192.168 100.20发送的所有数据。
[root@lxg]# tcpdump src host 192.168 100.20
抓取所有发送到主机192 168. 100.20的数据包。
[root@lxg]# tcpdump dst host 192 168.100.20
抓取所有本机和192 168 100.20之间来往的数据包。
[root@lxg]#tcpdump host 192.168.100.20
抓取eth0接口上的tcp协议的80端口数据包。
[root@lxg]#tcpdump -i eth0 tcp port 80
抓取指定主机192.168.100.20和端口22的数据包,包含所有来、往的数据
[root@lxg]#tcpdump tcp port 22 and host 192.168.100.20
抓取和192.168.100.20之间来往的数据包,但不抓取端口为22和80的数据包
[root@lxg]#tcpdump host 192.168.100.20 and tcp port not22 and not 80
抓取来源于192.168.100.20且端口为80或443数据包
[root@lxg]#tcpdump host 192.168.100.20 and tcp port 80 or 443
抓取主机为192.168.100.20对本机的ping
[root@lxg]#tcpdump icmp and src 192.168.100.20
注意:不能直接写icmp src 192.168.168.100.x ,因为icmp协议不支持直接应用host这个type,所以必须使用and操作符连接两个表达式
抓取数据包时同时尽量显示数据包的内容。
[root@lxg]#tcpdump -c 2 -q -xx -vvv -nn -i eth0 tcp dst port 22
抓取数据包时同时显示链路层信息,比如源和目标MAC地址
[root@lxg]#tcpdump -c 2 -nn -e host 192.168.200.15
