linux的抓包命令,linux 抓包命令

在linux命令行环境下如何抓取网络数据包？

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

成都创新互联是一家集网站建设,阿鲁科尔沁企业网站建设,阿鲁科尔沁品牌网站建设,网站定制,阿鲁科尔沁网站建设报价,网络营销,网络优化,阿鲁科尔沁网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。

  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

Linux命令抓包如何分包

使用tcpdump可以。

tcpdump是一个功能强大的命令行数据包分析器，它是通过监听服务器的网卡来获取数据包，所有通过网络访问的数据包都能获取到。

它也提供了过滤器的功能，可以获取指定的网络、端口或协议的数据包程序员日常排查问题，最常用的是使用过滤器功能获取指定端口的数据包，用来分析服务器是否收到请求、请求数据是否完整。

Linux下如何抓指定IP的包

用tcpdum命令可以抓指定IP的包，具体命令为：

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

参数解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

-i eth1 : 只抓经过接口eth1的包

-t : 不显示时间戳

-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包

-c 100 : 只抓取100个数据包

dst port  22 : 抓取目标端口是22的数据包

src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

扩展资料

tcpdump语法格式：

tcpdump [-adeflnNOpqStvx][-c数据包数目][-dd][-ddd][-F表达文件][-i网络界面][-r数据包文件][-s数据包大小][-tt][-T数据包类型][-vv][-w数据包文件][输出数据栏位]

tcpdump主要参数说明：

1、-a 尝试将网络和广播地址转换成名称。

2、-c数据包数目 收到指定的数据包数目后，就停止进行倾倒操作。

3、-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

4、-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

5、-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

6、-e 在每列倾倒资料上显示连接层级的文件头。

7、-f 用数字显示网际网络地址。

8、-F表达文件 指定内含表达方式的文件。

9、-i网络界面 使用指定的网络截面送出数据包。

10、-l 使用标准输出列的缓冲区。

11、-n 不把主机的网络地址转换成名字。

12、-N 不列出域名。

Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] 扫描目标...

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

tcpdump 命令使用简介

tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

要想使用很好地掌握 tcpdump， 必须对网络报文（ TCP/IP 协议）有一定的了解。不过对于简单的使用来说，只要有网络基础概念就行了。

tcpdump 是一个很复杂的命令，想了解它的方方面面非常不易，也不值得推荐，能够使用它解决日常工作中的问题才是关键。

tcpdump 的选项也很多，要想知道所有选项的话，请参考 man tcpdump ，下面只记录 tcpdump 最常用的选项。

完整的英文文档：

需要注意的是，tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number ， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。

Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data

Ethernet Header 以下的IP数据报最大传输单位为 MTU （Maximum Transmission Unit，Effect of short board），对于大多数使用以太网的局域网来说， MTU=1500 。

TCP数据包每次能够传输的最大数据分段为MSS，为了达到最佳的传输效能，在建立TCP连接时双方将协商MSS值——双方提供的MSS值中的最小值为这次连接的最大MSS值。MSS往往基于MTU计算出来，通常 MSS =MTU-sizeof(IP Header)-sizeof(TCP Header)=1500-20-20=1460。

这样，数据经过本地TCP层分段后，交给本地IP层，在本地IP层就不需要分片了。但是在下一跳路由（Next Hop）的邻居路由器上可能发生IP分片！因为路由器的网卡的MTU可能小于需要转发的IP数据报的大小。

这时候，在路由器上可能发生两种情况：

（1）如果源发送端设置了这个IP数据包可以分片（May Fragment，DF=0），路由器将IP数据报分片后转发。

（2）如果源发送端设置了这个IP数据报不可以分片（Don’t Fragment，DF=1），路由器将IP数据报丢弃，并发送ICMP分片错误消息给源发送端。

默认启动，普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包

监听所有端口，直接显示 ip 地址。

显示更详细的数据报文，包括 tos, ttl, checksum 等。

显示数据报的全部数据信息，用 hex 和 ascii 两列对比输出。

下面是抓取 ping 命令的请求和返回的两个报文，可以看到全部的数据。

机器上的网络报文数量异常的多，很多时候我们只关系和具体问题有关的数据报（比如访问某个网站的数据，或者 icmp 超时的报文等等），而这些数据只占到很小的一部分。把所有的数据截取下来，从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报，简化分析的工作量。这些选择数据包的语句就是过滤器（filter）！

过滤器也可以简单地分为三类： type , dir 和 proto 。

Type 让你区分报文的类型，主要由 host （主机）, net （网络） 和 port （端口） 组成。 src 和 dst 也可以用来过滤报文的源地址和目的地址。

此外还有指定端口和数据报文范围的过滤器：

过于过滤器的更多详细信息，请访问 tcpdump 官方 map page 的 PCAP-FILTER 部分

使用 tcpdump 截取数据报文的时候，默认会打印到屏幕的默认输出，你会看到按照顺序和格式，很多的数据一行行快速闪过，根本来不及看清楚所有的内容。不过，tcpdump 提供了把截取的数据保存到文件的功能，以便后面使用其他图形工具（比如 wireshark，Snort）来分析。

-w 选项用来把数据报文输出到文件，比如下面的命令就是把所有 80 端口的数据导入到文件

-r 可以读取文件里的数据报文，显示到屏幕上。

NOTE：保存到文件的数据不是屏幕上看到的文件信息，而是包含了额外信息的固定格式 pcap，需要特殊的软件（如： Wireshark ）来查看，使用 vim 或者 cat 命令会出现乱码。

过滤的真正强大之处在于你可以随意组合它们，而连接它们的逻辑就是常用的 与/AND/ 、 或/OR/|| 和 非/not/! 。

从上面的例子就可以看出，你可以随意地组合之前的过滤器来截取自己期望的数据报，最重要的就是知道自己要精确匹配的数据室怎样的！

对于比较复杂的过滤器表达式，为了逻辑的清晰，可以使用括号。不过默认情况下，tcpdump 把 () 当做特殊的字符，所以必须使用单引号 ' 来消除歧义：

抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数

抓取所有经过eth1，目标MAC地址是00:01:02:03:04:05的ICMP数据

抓取所有经过eth1，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据

截取数据只是第一步，第二步就是理解这些数据，下面就解释一下 tcpdump 命令输出各部分的意义。

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是 192.168.1.106 ，源端口是 56166 ，目的地址是 124.192.132.54 ，目的端口是 80 。 符号代表数据的方向。

此外，上面的三条数据还是 tcp 协议的三次握手过程，第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

而第二条数据的 [S.] 表示 SYN-ACK ，就是 SYN 报文的应答报文。

如果是为了查看数据内容，建议用 tcpdump -s 0 -w filename 把数据包都保存下来，然后用wireshark的Follow TCP Stream/Follow UDP Stream来查看整个会话的内容。 -s 0 是抓取完整数据包，否则默认只抓68字节。用tcpflow也可以方便的获取TCP会话内容，支持tcpdump的各种表达式。

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工CTRL+C还是抓的太多，甚至导致服务器宕机，于是可以用 -c 参数指定抓多少个包。

上面的命令计算抓10000个SYN包花费多少时间，可以判断访问量大概是多少。

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。

还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

0x4745 为"GET"前两个字母"GE"

0x4854 为"HTTP"前两个字母"HT"

tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带 -w 参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序(如 Wireshark )进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

基本上tcpdump总的的输出格式为： 系统时间 来源主机.端口 目标主机.端口 数据包参数