[转帖]tcpdump非常实用的抓包实例

tcpdump,非常,实用,实例 · 浏览次数 : 0

小编点评

**参考资料：** * 参考资料：链接在文末。 **主要内容：** * **基本语法：**介绍使用 `tcpdump` 命令的基本语法，包括 `-i` 参数指定网络接口、`-s` 参数指定抓取长度、`-A`参数打开地址过滤器等。 * **过滤主机：**使用 `host` 参数指定目标主机，例如 `192.168.1.1`。 * **过滤端口：**使用 `port` 参数指定目标端口，例如 `25` 或 `80`。 * **协议过滤：**使用 `arp`、`ip`、`tcp`、`udp` 和 `icmp` 等关键字过滤网络数据。 * **常用表达式：**提供一些常用表达式，例如匹配所有经过 `eth1` 的目的地址是 `192.168.1.254` 或 `192.168.1.200` 的 TCP 数据，或者匹配所有 `TCP` 数据包，其中 `tcpflags` 中的 `SYN` 和 `ACK` 位为 `0x00`。 * **抓取数据：**通过使用 `tcpdump` 命令，可以抓取网络数据，例如 `TCP` 协议的数据包。 **其他参数：** * `-c` 参数用于指定抓取的数量，默认值为 10000。 * `-nn` 参数用于抑制 `tcpdump` 的输出，只打印抓取的数据。 * `-w` 参数用于指定输出文件，默认值为 `/dev/null`。

正文

https://www.jianshu.com/p/83cf0e64a654

参考资料：http://www.jianshu.com/p/3cca9a74927c

<<亲测可用tcpdump查看HTTP流量查看>>

抓包HTTP GET请求：

[root@hostname /]# sudo tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

抓包HTTP POST请求：

[root@hostname /]# sudo tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

查看HTTP请求响应头以及数据：

[root@hostname /]# sudo tcpdump -i eth1 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

可对比16进制：

[root@hostname /]# sudo tcpdump -i eth1 -X -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

==================其他资料======================

基本语法

1. 简单用法：tcpdump -i eth0 -s 0 tcp port 8080 -w /root/log.cap

2. 过滤从本机的8070端口出、入的所有 “HT”开头或“PO”、“GE” 开头的数据包

tcpdump -XvvennSs 0 -i eth1 '((tcp[20:2]=0x4745 or tcp[20:2]=0x4854 or tcp[20:2]=0x504f) or (port 8070))' -w /root/log.cap

（注： 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT", 0x504f为"POST"前缀"PO"。）

========

过滤主机

--------

- 抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据

# tcpdump -i eth1 host 192.168.1.1

- 源地址

# tcpdump -i eth1 src host 192.168.1.1

- 目的地址

# tcpdump -i eth1 dst host 192.168.1.1

过滤端口

--------

- 抓取所有经过 eth1，目的或源端口是 25 的网络数据

# tcpdump -i eth1 port 25

- 源端口

# tcpdump -i eth1 src port 25

- 目的端口

# tcpdump -i eth1 dst port 25网络过滤

--------

# tcpdump -i eth1 net 192.168

# tcpdump -i eth1 src net 192.168

# tcpdump -i eth1 dst net 192.168

协议过滤

--------

# tcpdump -i eth1 arp

# tcpdump -i eth1 ip

# tcpdump -i eth1 tcp

# tcpdump -i eth1 udp

# tcpdump -i eth1 icmp

常用表达式

----------

非 : ! or "not" (去掉双引号)

且 : && or "and"

或 : || or "or"

- 抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host

192.168.1.200)))'

- 抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

- 抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

- 只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

- 抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

抓 SMTP 数据

----------

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为 0x4d41494c。

抓 HTTP GET 数据

--------------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

"GET "的十六进制是 47455420

抓 SSH 返回

---------

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

"SSH-"的十六进制是 0x5353482D

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]

= 0x312E)'抓老版本的 SSH 返回信息，如"SSH-1.99.."

- 抓 DNS 请求数据

# tcpdump -i eth1 udp dst port 53

其他

----

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工 CTRL+C 还是

抓的太多，于是可以用-c 参数指定抓多少个包。

# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null

上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。

实时抓取端口号8000的GET包，然后写入GET.log

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log