目录
一. 安装 TCPDump
二. 常用参数
三. 过滤表达式
基于协议的过滤:
基于地址的过滤:
基于端口的过滤:
逻辑操作符:
基于数据包内容的过滤:
基于时间戳的过滤:
基于MAC地址的过滤:
基于VLAN的过滤:
基于TCP标志的过滤:
基于IP选项的过滤:
四、实例
在网络管理和故障排除中,实时监控和分析网络流量是至关重要的。TCPDump 是一个强大的命令行工具,它允许用户捕获和分析通过网络接口的原始数据包。本文将详细介绍如何在 CentOS 操作系统中安装和使用 TCPDump,以及如何通过它来诊断和解决网络问题。
一. 安装 TCPDump
在 CentOS 中安装 TCPDump 非常简单。
安装 TCPDump:
yum install tcpdump -y
安装完成后,你可以通过输入 tcpdump 来验证安装是否成功:
tcpdump --version
二. 常用参数
| 参数 | 描述 |
|---|---|
-a | 尝试将网络和广播地址转换成名称。 |
-A | 以 ASCII 码方式显示每一个数据包 (去除链路层头后),方便查看应用层的数据。 |
-b | 在 ARPA Internet 协议上同时显示数据包匹配和数据链路层头。 |
-B | 设置操作系统捕获缓冲区大小。 |
-c | 收到指定的数据包数目后,TCPDump 就会停止。 |
-C | 在保存数据包之前检查文件大小,如果超过指定大小则新建文件。 |
-d | 将编译过的数据包匹配代码以人们能够理解的汇编格式输出。 |
-dd | 以 C 语言形式输出数据包匹配代码。 |
-ddd | 以十进制数形式输出数据包匹配代码。 |
-D | 列出可用于抓包的接口。 |
-e | 在输出行打印出数据链路层头部信息。 |
-E | 指定解密 IPSEC 流量的方法。 |
-f | 将外部的 Internet 地址以数字形式打印出来。 |
-F | 使用文件作为过滤表达式的输入,忽略命令行上的表达式。 |
-G | 如果文件名可以被时间戳替换,允许单个文件保存多个抓包结果。 |
-h | 获取 TCPDump 的帮助信息。 |
-H | 尝试检测 802.11s 草案网状网络。 |
-i | 监听指定的网络接口。 |
-I | 将网络接口置于无监控模式,用于 802.11 无线网络。 |
-j | 设置抓包的时间戳类型为“jiffies”。 |
-J | 列出支持的时间戳类型。 |
-k | 显示数据包时强制显示时间戳。 |
-K | 不验证 IP、TCP 或 UDP 校验和。 |
-L | 列出网络接口的已知数据链路类型。 |
-m | 从文件模块中加载 SMI MIB 模块定义。 |
-M | 如果可能,使用指定的共享库或本地的办法来快速缓存会话密钥。 |
-n | 不把网络地址转换成名字。 |
-N | 不打印主机名的域名限定,如 hostname.localdomain。 |
-O | 不运行数据包匹配代码优化器,如果怀疑优化器有 bug 可以使用这个选项。 |
-p | 不让网络接口进入混杂模式。 |
-q | 快速输出,打印较少的协议信息,输出行会比较短。 |
-r | 从指定的文件中读取数据包。 |
-R | 设定 TCPDump 的默认历史数据包匹配行为为不匹配。 |
-s | 设置数据包捕获长度。 |
-S | 打印 TCP 的绝对序列号而不是相对序列号。 |
-t | 在输出的每一行不打印时间戳。 |
-tt | 在每一行中输出非格式化的时间戳。 |
-T | 将指定的数据包强制解释为指定的类型。 |
-U | 使 -w 选项产生的数据包数据文件以 packet-buffered 方式写入,类似于实时数据流。 |
-v | 输出稍微详细的信息,例如显示 IP 数据包中的生存时间,标识,总长度。 |
-vv | 输出更详细的信息。 |
-vvv | 输出非常详细的信息。 |
-w | 将捕获的数据包直接写入文件而不是显示出来。 |
-W | 限制文件数量。 |
-x | 以十六进制和 ASCII 码形式打印出每个数据包 (去掉链路层头部),但不包括连接层。 |
-X | 以十六进制和 ASCII 码形式打印出每个数据包 (去掉链路层头部),也包括连接层。 |
-Y | 使用数据链路层匹配代码,即使这可能导致不正确的分片。 |
-z | 修改各种数据包和文件输出统计的计数器。 |
-Z | 改变用户 ID 或组 ID 到指定的用户或组。 |
这些选项允许用户根据需要调整 TCPDump 的行为,从而进行更精确的网络数据包捕获和分析。请注意,使用某些选项可能需要特定的权限或系统配置,且不同版本的 TCPDump 可能支持的选项有所不同。
三. 过滤表达式
-
基于协议的过滤:
tcp: 过滤 TCP 协议数据包。udp: 过滤 UDP 协议数据包。icmp: 过滤 ICMP 协议数据包。arp: 过滤 ARP 协议数据包。ip: 过滤 IP 协议数据包。ether: 过滤以太网帧。wlan: 过滤无线局域网数据包。
-
基于地址的过滤:
host: 过滤特定主机的数据包。例如host 192.168.1.100。net: 过滤特定网络的数据包。例如net 192.168.1.0/24。port: 过滤特定端口的数据包。例如port 80。src和dst: 分别过滤源地址和目的地址的数据包。例如src 192.168.1.100或dst 192.168.1.100。
-
基于端口的过滤:
tcp port: 过滤特定 TCP 端口的数据包。例如tcp port 80。udp port: 过滤特定 UDP 端口的数据包。例如udp port 53。
-
逻辑操作符:
and: 同时满足两个条件。例如host 192.168.1.100 and tcp port 80。or: 满足任一条件。例如host 192.168.1.100 or host 192.168.1.101。not或!: 排除满足条件的数据包。例如not host 192.168.1.100。
-
基于数据包内容的过滤:
contains: 检查数据包是否包含特定字符串。例如tcp[20:] contains "GET"。less,greater: 比较数据包长度。例如less 1500。=,!=,>,<: 比较操作符,用于 IP 地址、端口号等。
-
基于时间戳的过滤:
less,greater: 基于时间戳的比较。
-
基于MAC地址的过滤:
ether host: 过滤特定 MAC 地址的数据包。例如ether host 00:11:22:33:44:55。
-
基于VLAN的过滤:
vlan: 过滤特定 VLAN 的数据包。例如vlan 10。
-
基于TCP标志的过滤:
tcp flags: 基于 TCP 标志位过滤。例如tcp[tcpflags] & tcp-syn != 0。
-
基于IP选项的过滤:
ip options: 基于 IP 选项过滤。
这些过滤方式可以组合使用,以实现更复杂的过滤逻辑。
例如,tcpdump
host 192.168.1.100 and tcp port 80将捕获来自或发往192.168.1.100且端口为 80 的 TCP 数据包。通过灵活运用这些过滤表达式,可以有效地捕获和分析网络中的特定流量。
四、实例
1. 捕获特定主机的所有流量:
tcpdump host 192.168.1.100
这个命令将捕获所有源或目的地址为 192.168.1.100 的数据包。
2. 捕获特定端口的流量:
tcpdump port 80
这个命令将捕获所有端口为 80(通常是 HTTP 服务)的数据包。
3. 捕获特定协议的流量:
tcpdump tcp
这个命令将捕获所有 TCP 协议的数据包。
4. 捕获特定网络的流量:
tcpdump net 192.168.1.0/24这个命令将捕获所有源或目的地址在 192.168.1.0/24 网络范围内的数据包。
5. 捕获源地址或目的地址为特定主机的流量:
tcpdump src or dst host 192.168.1.100
这个命令将捕获源或目的地址为 192.168.1.100 的数据包
6. 捕获特定端口和主机的流量:
tcpdump src host 192.168.1.100 and port 80
这个命令将捕获源地址为 192.168.1.100 且端口为 80 的数据包。
7. 捕获特定 MAC 地址的流量:
tcpdump ether host 00:11:22:33:44:55
这个命令将捕获源或目的 MAC 地址为 00:11:22:33:44:55 的数据包
8. 捕获特定 VLAN 的流量:
tcpdump vlan 10
这个命令将捕获 VLAN ID 为 10 的数据包
9. 捕获特定 TCP 标志位的流量:
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'
这个命令将捕获带有 SYN 或 ACK 标志位的 TCP 数据包
10. 捕获 HTTP GET 请求:
tcpdump -nn -vv -X 'tcp[20:] matches "^GET |^Host: "
这个命令将捕获包含 "GET " 或 "Host: " 字符串的 HTTP 请求数据包,并以十六进制和 ASCII 码形式显示数据包内容
11. 捕获并保存数据包到文件:
tcpdump -w capture.pcap
这个命令将捕获所有数据包并保存到名为 capture.pcap 的文件中,以便后续分析。
12. 从保存的文件中读取数据包:
tcpdump -r capture.pcap
这个命令将从 capture.pcap 文件中读取并显示数据包。
13. 捕获特定时间范围内的数据包:
tcpdump -G 3600 -W 1 -w capture -C 200
这个命令将每小时创建一个新的数据包文件,每个文件大小不超过 200MB,最多保留一个文件。
14. 捕获特定 TCP 端口的 SYN 数据包:
tcpdump 'tcp[tcpflags] & tcp-syn != 0 and tcp port 80'
这个命令将捕获端口 80 上的 TCP SYN 数据包。
yolov1的全面讲解)
 方法)
)
)
 拦截器的使用)
