1. Introdução
tcpdump é uma ferramenta usada para interceptar pacotes de rede e enviar conteúdo de pacote. A ferramenta de captura de pacotes tcpdump é classificada a partir das condições do filtro e existem três categorias principais. Um é para palavras-chave, como nome do host (HOST), segmento de rede (NET) e porta (PORT); o outro é para a direção dos pacotes, como endereço de origem (src), endereço de destino (dst) e símbolos de operação lógica (src e dst, src ou dst). A terceira é capturar pacotes para protocolos, como capturar pacotes de protocolos como tcp/udp/imcp.
2. Introdução de parâmetros
tcpdump 常用命令参数:
-D :展示可供抓包的端口
-n :将网络地址以数字形式展示
-nn :不进行端口名称的转换
-i :后面跟端口,针对该端口进行抓包
-w :后面跟文件名,将抓取的数据包保存至某个文件(一般保存为.pcap/.cap文件格式)
-v :展示数据包详细详细
-vv :展示数据包更详细的信息
-e :展示数据链路层信息,主要是mac地址
-c :要抓取的数据包数量
-C :在将一个原始包写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。
-r :从指定的文件中读取包(这些包一般通过-w生成)
-t :不在每一行中输出时间戳。
Três, análise de exemplo
1. Intercepte todos os pacotes de dados sobre o host 192.168.137.21 na porta eth0
tcpdump -i eth0 host 192.168.137.21
2. Intercepte os pacotes de dados de todas as portas no segmento de rede 192.169.137.0
rede tcpdump 192.168.137.0/24
3. Intercepte os pacotes de dados da porta eth0 sobre o segmento de rede 192.169.137.0 e a porta 23
tcpdump -i eth0 net 192.168.137.0/24 e porta 23
4. Intercepte os pacotes de comunicação enviados pelo host cujo hostname é hostname
tcpdump src host nome do host
5. Intercepte os pacotes de comunicação recebidos pelo host nomeado hostname na porta eth0
tcpdump -i eth0 dst host nome do host
6. Intercepte todos os pacotes do protocolo tcp em eth0
tcpdump -i eth0 tcp
Aqui estão alguns exemplos com parâmetros mais complexos
1. Intercepte o cabeçalho do host de origem 192.168.137.21 e a porta de destino não 23 na porta eth0 e importe-o para o arquivo test.txt
tcpdump -nn -e -i eth0 src host 192.168.137.21 e porta dst não 23 -w test.txt
//-nn exibe a porta do nome do host em formato digital; -e exibe informações da camada de enlace de dados
2. Intercepte todos os pacotes enviados do host 192.168.1.1 para o segmento de rede 192.168.3.0, mas não incluindo o protocolo icmp de 192.168.3.1, exiba o endereço mac e salve-o no arquivo test.txt
tcpdump -e src host 192.168.1.1 e dst net 192.168.3.0/24 e dst host não 192.168.3.1 e icmp -w test.txt