tcpdump 抓包工具

原创 赤水  2015年12月11日 02:06 阅读 216 次

tcpdump  是信息安全行业最好的网络分析工具,希望全面理解tcp/ip的人必须要很好的掌握它。很多人喜欢用更高层的分析工具如Wireshark,但我认为这是不对的。
        对tcp/ip要理解贯通而不是死记硬背,全面的理解协议可以让你排查问题的水平远远超出一般的分析员,但要再更加精通协议的话唯一的方式就是不断的去接触它。
         通过人来分析协议比应用程序更自然,且能提高对协议的理解,所以我建议用tcpdump。
tcpdump默认只抓取一个包的前68或96个字节,如果要查看更多内容,需要加"-s number"选项,下面是我最常用的选项:

 

        -i any : 监听所有接口,
        -n : 不解析主机名
        -nn : 不解析主机名和端口名
        -X : 以16进制和ascii格式显示包
        -XX : 和-X一样,但会显示以太网头
        -v, -vv, -vvv : 获取包含信息量更多的包
        -c : 获取指定数量的包,达到该数量后tcpdump停止
        -S : 显示绝对序列号
        -e : 获取以太网头
        -q : 显示少量的协议信息
        -E : 通过密钥来解密IPSEC交互
        -s : 设置snaplength(snaplength是抓取的字节数)

1.基本信息 

tcpdump -nS
2.基本信息(非常冗长)  # 查看大量交互,很冗长且没有名词解释
tcpdump -nnvvS
3.交互的深入观察  #为减小负载增加"-X"选项,但不会抓取包的更多信息
tcpdump -nnvvXS
4.整包浏览  #s"增加snaplength,抓取整个包
tcpdump -nnvvXSs 1514
5. src,dst  找出指定源地址或目的地址的交互
    tcpdump src 2.3.4.5
    tcpdump dst 3.4.5.6
6. net # 根据网络号抓取整个网络
    tcpdump net 1.2.3.0/24
7. port # 查看经过指定端口的交互
    tcpdump port 3389
8. src,dst port #指定源端口或目的端口的交互
    tcpdump src port 1025
    tcpdump dst port 389
9. src/dst, port, protocol  #联合使用
    tcpdump src port 1025 and tcp
    tcpdump udp and src port 53
10.也可以用portrange 选项来指定范围内端口,也可以仅查看大于或小于某一字节大小的包。
    tcpdump portrange 21-23
11. Packet Size Filter #查看大于或小于某一字节大小的包
    tcpdump less 32
    tcpdump greater 128
12. 也可以用符号来代替某一字节大小的包
    tcpdump > 32
    tcpdump <= 128
13. tcpdump用"-w"选项可以将抓到的内容存入文件,再用"-r"选项读回来,这个功能非常好,可以抓取原始交互之后再用其他工具运行它。以这种方式抓取到的交互会存成tcpdump格式的文件,现在网络分析圈内基本都用这种格式,因此文件可以被所有工具读取,包括Wireshark, Snort等。
     tcpdump -s 1514 port 80 -w capture_file    #写入文件
     tcpdump -r capture_file                    #读取文件
14. 监控从10.5.2.3到端口3389的tcp交互
tcpdump -nnvvS and src 10.5.2.3 and dst port 3389
15. 从网络192.168到网络10或172.16的交互

 

 

tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
16. 从192.168.0.2到网络172.16的非icmp交互

 

 

tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net and not icmp
17. 从Mars或Pluto到非SSH端口的交互

 

 

tcpdump -vv src Mars or Pluto and not dst port 22

 

本文地址: http://blog.lssin.com/readblog/12.html
版权声明:本文为原创文章,版权归  赤水 所有,欢迎分享本文,转载请保留出处!

发表评论


表情