先从第一个最简单的抓包指令开始

抓经过本主机上的所有网络接口的所有ARP、ICMP、IGMP、IP、TCP、UDP等所有网络包(以下简称“所有网络包”)
tcpdump -i any -vnn
(注:-i用来指定tcpdump抓包所指定的网络接口名,比如eth0 eth1等等,这些网络接口名可以通过ifconfig看到。而any代表所有网络接口)
(注:-v表示显示每个包的更详细信息。-n表示禁用域名解析,不加它的话,tcpdump会对每次收到的数据包尝试域名解析这会导致有些时候“迟迟看不到输出”。加上这个选项让tcpdump直接输出IP地址。)
(注:这个指令几乎是最简单的,但它抓到的包却是包罗万象最全面的,经过本主机的所有网络通信数据全都逃不掉。但也正因为如此而实用性不强,因为抓到的网络包往往会含有太多与我们分析问题无关的数据而造成干扰。因此需要进行过滤。下面将介绍的种种抓包方法都是用来进行网络包过滤的)

根据IP、端口、网段进行过滤 
 
抓enp0s25网络接口上的所有网络包
tcpdump -i enp0s25 -vnn
(注:enp0s25是我用ifconfig命令看到的一个网络接口名)
 
抓enp0s25网络接口上的,源主机IP目的主机IP都不是192.168.26.141的所有网络包
tcpdump -i enp0s25 -vnn "host not 192.168.26.141"
 
(注:所有的单双引号都可以去掉并且完全不会改变语义,下同,比如上面的命令可以写成tcpdump -i enp0s25 -vnn host not 192.168.26.141,但是建议加上双引号,这样看起来清晰)
 
抓enp0s25网络接口上的,源端口和目的端口都不是7942的所有网络包
tcpdump -i enp0s25 -vnn "port not 7942"
 
抓enp0s25网络接口上的,源主机与目的主机所处的网段都不是192.168.26.0/24的网络包
tcpdump -i enp0s25 -vnn "net not 192.168.26.0/24"
(注:192.168.26.0/24 指子网掩码为24个1,IP为192.168.26.0的子网IP地址)
 
抓enp0s25网络接口上的,源主机不是192.168.26.200的所有网络包
tcpdump -i enp0s25 -vnn "src host not 192.168.26.200"
 
抓enp0s25网络接口上的,目的主机不是192.168.26.141的所有网络包
tcpdump -i enp0s25 -vnn "dst host not 192.168.26.141"
 
抓enp0s25网络接口上的,源端口不是7942的所有网络包
tcpdump -i enp0s25 -vnn "src port not 7942"
 
抓enp0s25网络接口上的,目的端口不是7942的所有网络包
tcpdump -i enp0s25 -vnn "dst port not 7942"
 
抓enp0s25网络接口上的,源主机IP所在的网段不为192.168.26.0/24的所有网络包
tcpdump -i enp0s25 -vnn "src net not 192.168.26.0/24"
 
抓enp0s25网络接口上的,目的主机IP所在的网段不为192.168.26.0/24的所有网络包
tcpdump -i enp0s25 -vnn "dst net not 192.168.26.0/24"
 
......
(注:可以看到他们的写法是完全类似的,有针对源和目的IP、源和目的端口、源和目的IP所在的子网地址这三者来进行网络包过滤的方法。其写法都是类似的:[src|dst] [host|port|net] [not] xxx)
 
(注:把not去掉则变成了“是”,比如:tcpdump -i enp0s25 -vnn "dst port 7942",表示抓取目的端口是7942的网络包,这对IP、port、net都有效)
 
抓enp0s25网络接口上的,源或者目的端口是7942的所有网络包
tcpdump -i enp0s25 -vnn "port 7942"
 
抓enp0s25网络接口上的,源主机IP是192.168.26.141的所有网络包
tcpdump -i enp0s25 -vnn "src host 192.168.26.141"
 
抓enp0s25网络接口上的,目的主机IP所在网段是192.168.26.0/24的所有网络包
tcpdump -i enp0s25 -vnn "dst net 192.168.26.0/24"

与协议相关的过滤
 
抓enp0s25网络接口上的所有TCP包
tcpdump -i enp0s25 -vnn tcp
 
抓enp0s25网络接口上的所有UDP包
tcpdump -i enp0s25 -vnn udp
 
抓enp0s25网络接口上的所有ICMP包
tcpdump -i enp0s25 -vnn icmp
 
抓enp0s25网络接口上的所有IGMP包
tcpdump -i enp0s25 -vnn igmp
 
抓enp0s25网络接口上的所有IP包
tcpdump -i enp0s25 -vnn ip
 
抓enp0s25网络接口上的所有ARP包
tcpdump -i enp0s25 -vnn arp
 
同样,它们也能用not关键字表示否定:
 
抓enp0s25网络接口上的所有不是UDP的网络包
tcpdump -i enp0s25 -vnn not udp
 
抓enp0s25网络接口上的所有不是ARP的网络包
tcpdump -i enp0s25 -vnn not arp
 
等等。
 
(注:用法都类似,[not] [ip|tcp|udp|icmp|igmp|arp|rarp|......])

逻辑与或非操作

抓enp0s25网络接口上的,源主机不是192.168.26.141并且目的主机是192.168.26.141的所有网络包
tcpdump -i enp0s25 -vnn "src host not 192.168.26.141" and "dst host 192.168.26.141"
 
抓enp0s25网络接口上的,源主机不是192.168.26.141,并且源端口和目的端口都不是22的所有网络包
tcpdump -i enp0s25 -vnn "src host not 192.168.26.141" and "port not 22"
 
抓enp0s25网络接口上的,源主机所在网段为192.168.26.0/24的,且目的端口是22的所有网络包
tcpdump -i enp0s25 -vnn "src net 192.168.26.0/24" and "dst port 22"
 
抓enp0s25网络接口上的,源主机所在网段为192.168.27.0/24的,或者源端口为23的,或者目的端口不是22的所有网络包
tcpdump -i enp0s25 -vnn "src net 192.168.27.0/24" or "src port 23" or "dst port not 22"
 
抓enp0s25网络接口上的,源主机所在网段为192.168.27的,或者不满足“目的主机不是192.168.26.200”的所有网络包(即目的主机就是192.168.26.200)
tcpdump -i enp0s25 -vnn "src net 192.168.27.0/24" or not "dst host not 192.168.26.200"
 
抓enp0s25网络接口上的,源主机所在网段为192.168.27的,或者不满足 不满足“目的主机不是192.168.26.200”的所有网络包(即目的主机不是192.168.26.200)
tcpdump -i enp0s25 -vnn "src net 192.168.27.0/24" or not not "dst host not 192.168.26.200"
 
抓enp0s25网络接口上的,源或目的主机其中有一者的地址为192.168.26.200 并且 源或目的端口其中有一者为80的所有网络包
tcpdump -i enp0s25 -vnn "host 192.168.26.200" and "port 80"
 
抓enp0s25网络接口上的,源与目的主机地址都不是192.168.26.141 并且 源或目的端口其中有一者为80的所有网络包
tcpdump -i enp0s25 -vnn "host not 192.168.26.200" and "port 80"
 
 
能参与逻辑运算的,不仅仅是IP、port、net,协议相关的条件也能一起参与进来:
 
抓enp0s25网络接口上的,源与目的主机端口都不是22的所有网络包,或者所有UDP包。
tcpdump -i enp0s25 -vnn "port not 22" or udp
 
抓enp0s25网络接口上的,源或目的主机端口为80的TCP包,一般就是HTTP通信网络包
tcpdump -i enp0s25 -vnn "port 80" and tcp
 
下面这个命令啥都抓不到,因为ICMP包没有端口的概念,既是ICMP包并且源或目的端口是12345的包肯定没有。同理,IGMP、ARP包也一样。
tcpdump -i enp0s25 -vnn icmp and "port 12345"
 
抓enp0s25网络接口上的,IP或者TCP或者UDP或者IGMP或者ARP或者ICMP包。因为tcp udp igmp icmp都是属于ip包,唯独arp不属于ip包,因此下面这条指令可以简单地写成:tcpdump -i enp0s25 ip or arp
tcpdump -i enp0s25 ip or tcp or udp or igmp or arp or icmp
 
抓enp0s25网络接口上的,不是UDP并且不是TCP的所有网络包
tcpdump -i enp0s25 "not udp" and "not tcp"
 
抓enp0s25网络接口上的,源或主机IP是192.168.26.141的所有网络包,或者arp包,或者icmp包
tcpdump -i enp0s25 "host 192.168.26.141" or icmp or arp
 
抓enp0s25网络接口上的,源或目的主机IP为192.168.26.200的ARP包。
tcpdump -i enp0s25 arp and "host 192.168.26.200"
(注:ARP包可以看做是具有源和目的IP的概念的。主机A(192.168.26.200)向本子网发出了询问某个IP地址(192.169.26.141)的主机的硬件地址是多少的ARP询问报文,那么这个ARP询问报文的源主机IP可以看作是主机A的IP地址(192.168.26.200),目的主机IP可以看作是192.169.26.141)
 
抓enp0s25网络接口上的,源或目的主机IP为192.168.26.200的ICMP包
tcpdump -i enp0s25 icmp and "host 192.168.26.200"
 
抓enp0s25网络接口上的,源或目的主机IP所处网段为192.168.26.0/24的ARP包。
tcpdump -i enp0s25 "net 192.168.26.0/24" and arp
(注:ARP包只能在子网内传输,因此上面所指的网段肯定要是网络接口enp0s25的IP地址所处的网段,要不什么都抓不到)
 
 
 
 
括号将优先级限定

当过滤条件超过了2个,往往需要用括号将他们的优先级限定。
 
先看一个例子:
tcpdump -i enp0s25 -vvn udp or tcp and "host 192.168.26.200"
我们往往认为and的优先级比or高,但tcpdump不是这样。tcpdump逻辑运算符没有优先级高低之分,而是按照“先来后到”的原则进行逻辑运算。
上面这条命令等价于:
tcpdump -i enp0s25 -vvn ( udp or tcp ) and "host 192.168.26.200"
 
同理:
tcpdump -i enp0s25 -vvn udp and tcp or "host 192.168.26.200"
等价于
tcpdump -i enp0s25 -vvn ( udp and tcp ) or "host 192.168.26.200"
 
所以为了避免混淆,对两个以上的条件判断,建议加上括号。但不能简单地像上面这么写,因为对于shell命令,括号需要进行转义:
tcpdump -i enp0s25 -vvn \( udp and tcp \) or "host 192.168.26.200"
tcpdump -i enp0s25 -vvn \( udp or tcp \) and "host 192.168.26.200"
 
抓enp0s25网络接口上的,源和目的端口没有22的,且不是TCP的,且如果是ARP包则只保留源或目的IP为192.168.26.200的,且如果是ICMP包则只保留目的IP为192.168.26.200的,所有网络包。
tcpdump -i enp0s25 -vnn "port not 22" and "not tcp" and \( arp and "host 192.168.26.200" or not arp \) and \( icmp and "dst host 192.168.26.200" or not icmp \)
(注:上面外层的3个and依次出现但没有加括号是允许的,连续出现纯粹and或者纯粹or的运算符怎么加括号结果都一样)
(注:对ARP和ICMP过滤的括号当中都依次出现了and和or,也没加括号,则tcpdump按照“先来后到”方式处理,这种简单地情况加括号倒是看得眼花。但是如果依次出现or和and而不加括号的话,也容易误解)
 
抓enp0s25网络接口上的,源或目的端口不是22的,且不符合条件“源或目的端口为80 或者 arp包 或者 udp包”的所有网络包。
tcpdump -i enp0s25 -vnn "port not 22" and not \( "port 80" or arp or udp \)

tcpdump常用选项

-i [name]  用来指定抓包所监听的网络接口
 
-v         输出每个包较详细的信息,比如可以输出IP包的ttl和tos
 
-vv        输出每个包更详细的信息
 
-vvvv      输出每个包更更详细的信息
 
-n         表示禁用域名解析,不加它的话,tcpdump会对每次收到的数据包尝试域名解析这会导致有些时候“迟迟看不到输出”。加上这个选项让tcpdump直接输出IP地址。
 
-nn        在-n功能的基础上,禁用端口名称转换。不加它的话,tcpdump会尝试将端口号转换成对应的应用名后显示。加上后也能一定程度提速。
 
-e         指定将监听到的数据包链路层的信息打印出来,包括源MAC和目的MAC,以及网络层的协议。
 
-X         功能非常强大的选项,将数据包的内容转换成十六进制ASCII码进行输出
 
-XX        功能非常强大的选项,将数据包的内容转换成十六进制ASCII码进行输出,并且包括帧头
 
-S         打印每个TCP数据包的绝对序列号而非相对序列号
 
-c [n]     指定抓到包的数量,抓到数量为n的网络包后tcpdump自动退出。
 
 
尝试使用下列命令观察结果:
tcpdump -i any
tcpdump -i any -vvnn
tcpdump -i any -vvvvnn
tcpdump -i any -evvvvnn
tcpdump -i any -evvvvnnX
tcpdump -i any -evvvvnnXX
tcpdump -i any -vnn tcp
tcpdump -i any -vnnS tcp
tcpdump -i any -evvvvnnXXS
tcpdump -i any -vnn -c 5
tcpdump -i any -evvvvnnXXS port 80 or udp

tcpdump文件读写

分析问题的时候,将tcpdump抓到的包存到文件里是非常重要的功能。tcpdump当然提供了这样的选项
 
-w  [FILE]    将抓到的包直接写到文件而不输出信息到终端
 
-r  [FILE]    从指定文件中读取数据包
 
 
示例:
 
抓所有网络接口的所有网络包,并写到当前目录的文件test.cap
tcpdump -i any -vnn -w ./test.cap
 
从test.cap中读取网络包,并将“源或目的IP”为192.168.26.200的ARP包过滤出来显示
tcpdump -evvvvnnXXS -r ./test.cap arp and "host 192.168.26.200"
 
从test.cap中读取网络包,并将553端口的UDP数据包过滤出来后写到test2.cap
tcpdump -vnn -r ./test.cap -w ./test2.cap udp and port 553
 
 
 
 tcpdump高级用法

----->  TCP flags相关的过滤
 
抓用于TCP建立连接的SYN包
tcpdump -i any -evvvvnnX tcp[tcpflags] = tcp-syn
 
抓TCP的ACK包
tcpdump -i any -evvvvnnX tcp[tcpflags] = tcp-ack
 
抓TCP的FIN包
tcpdump -i any -evvvvnnX tcp[tcpflags] = tcp-fin
 
抓TCP的PUSH包
tcpdump -i any -evvvvnnX tcp[tcpflags] = tcp-push
 
抓TCP的紧急指针包
tcpdump -i any -evvvvnnX tcp[tcpflags] = tcp-urg
 
抓tcpflags中含有SYN的包(注意这里一定要加引号,下同)
tcpdump -i any -evvvvnnXXS "tcp[tcpflags] & (tcp-syn) != 0"
 
抓tcpflags中含有SYN和ACK的包,即SYN-ACK确认所在的包
tcpdump -i any -evvvvnnXXS "tcp[tcpflags] = tcp-syn|tcp-ack"
 
抓tcpflags中含有SYN的包或者含有FIN的包
tcpdump -i any -evvvvnnXXS "tcp[tcpflags] & tcp-syn != 0" or "tcp[tcpflags] & tcp-fin != 0"
 
-----> 指定位置数据过滤
 
抓从IP包头部开始偏移量为1处的2个字节是0x00 0x05的包
tcpdump -i any -evvvvnnX ip[1:2] = 0x0005
 
抓从TCP包头部开始偏移量为20处的2个字节是0x12 0x35的包
tcpdump -i any -evvvvnnX tcp[20:2] = 0x1235
 
 
从ascasc.cap中读取数据,过滤tcp的syn或者ack,并且从IP包头部开始偏移量1处的2个字节是0x00 0x05的包
tcpdump -vvnnX -r ./ascasc.cap "tcp[tcpflags] = tcp-syn" or "tcp[tcpflags] = tcp-ack" and "ip[1:2]=0x0005"
 
 
------> 截取包指定长度数据

tcpdump默认抓包会将每个包完整数据捕获,即从链路层的帧头到帧尾的所有字节。

你可以让tcpdump只捕获过滤出来了的每个包前面的N个字节,方法是使用-s选项:

-s  [Bytes]          捕获每个包从帧头开始的Bytes个字节,如果Bytes指定为0,则捕获整个包

如果不加-s选项,则默认捕获整个包,与-s0是一样的。

只抓取每个tcp包的前40字节

tcpdump -i any -evvvvnnXXS -s40 tcp

这个选项的作用就是,如果捕获的数据比较短,则可以减少丢包率。

tcpdump完全指南的更多相关文章

  1. 超详细的网络抓包神器 tcpdump 使用指南

    原文链接:Tcpdump 示例教程 本文主要内容翻译自<Tcpdump Examples>. tcpdump 是一款强大的网络抓包工具,它使用 libpcap 库来抓取网络数据包,这个库在 ...

  2. monitor a local unix domain socket like tcpdump

    Can I monitor a local unix domain socket like tcpdump? - Super User https://superuser.com/questions/ ...

  3. WinPcap过滤串表达式的语法

    注意:这篇文档取自tcpdump的指南.原始的版本 www.tcpdump.org 找到.   wpcap的过滤器是以已声明的谓词语法为基础的.过滤器是一个ASCII字符串,它包含了一个过滤表达式.p ...

  4. Linux 网络命令必知必会之 tcpdump,一份完整的抓包指南请查收!

    目录 01 简介 02 tcpdump 命令选项 03 过滤器 04 常用操作 4.1 抓取某主机的数据包 4.2 抓取某端口的数据包 4.3 抓取某网络(网段)的数据包 4.4 抓取某协议的数据包 ...

  5. 《大话移动APP测试:Android与iOS应用测试指南》

    <大话移动app测试:android与ios应用测试指南> 基本信息 作者: 陈晔 出版社:清华大学出版社 ISBN:9787302368793 上架时间:2014-7-7 出版日期:20 ...

  6. App架构师实践指南二之App开发工具

    App架构师实践指南二之App开发工具     1.Android Studio 2.编译调试---条件断点.右键单击断点,在弹出的窗口中输入Condition条件.---日志断点.右键单击断点,在弹 ...

  7. Iptables 指南 1.1.19

    Iptables 指南 1.1.19 Oskar Andreasson oan@frozentux.net Copyright © 2001-2003 by Oskar Andreasson 本文在符 ...

  8. centos Linux系统日常管理2 tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课

    centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 ...

  9. IPv6系列-入门指南

    本文是<IPv6系列>文章的第一篇<入门指南>,用于快速了解并上手IPv6. 小慢哥的原创文章,欢迎转载 目录 ▪ 一. 为什么要了解IPv6 ▪ 二. 顾虑:IPv6地址太复 ...

随机推荐

  1. pwnable.kr-leg-witeup

    做过后其实知道,是很简单的一段代码,也很容易看懂,看懂后计算key1.key2.key3之和即可. main 汇编: 嗯,看来keyx的返回值是r0了,详细分析r0值. key1: 在arm状态下,r ...

  2. VS2010 LNK1123: 转换到 COFF 期间失败: 文件无效或损坏

    1嵌入清单问题 属性: 项目\属性\配置属性\清单工具\输入和输出\嵌入清单:原来是“是”,改成“否”. 项目\属性\配置属性\链接器\清单文件\生成清单:原来是“是”,改成“否”. 2文件老旧: c ...

  3. 我的mac下有关php扩展的安装

    之前安装yaf和mcrypt扩展一直失败,今天终于找到原因了.那是因为./configure的时候没有指定php版本,所以用了默认的php的版本,正确的姿势应该是:./configure --with ...

  4. 了解计算机与操作系统发展阶段--Windows

    Windows发展的30多年,其实就是整个计算机应用,从小众化向大众化消费领域,快速前行的30多年. 让我们来一起温故下Windows这么多年的发展历程,看看Windows,是如何在市场和技术这两种力 ...

  5. 20175234 2018-2019-2 《Java程序设计》第七周学习总结

    目录 20175234 2018-2019-2 <Java程序设计>第七周学习总结 教材学习内容总结 String类常用用法 Date类与Calendar类常用用法 Math类的常用方法 ...

  6. iOS.mach_msg_trap()

    mach_msg_trap() 1. mach_msg() mach_msg_trap() " > The Debugger window shows the calling stac ...

  7. jQuery基础方法:each(),map(),index(),is()

    jQuery的each()方法和forEach()的区别: each()返回调用自身的jQuery对象,可用于链式调用 $('div').each(function(idx){ //找到所有div元素 ...

  8. 选择文件,显示其路径在ListBox控件里

    private void btnSelect_Click(object sender, EventArgs e)        {            lbxFiles.Items.Clear(); ...

  9. [规则原则定理]规则原则定理章4 HTTP&RPC

    rpc是远端过程调用,其调用协议通常包含传输协议和序列化协议. 传输协议包含: 如著名的 [gRPC](grpc / grpc.io) 使用的 http2 协议,也有如dubbo一类的自定义报文的tc ...

  10. PAT A1010.Radix 二分法

    PAT A1010.Radix 链接: https://pintia.cn/problem-sets/994805342720868352/problems/994805507225665536 算法 ...