Tcpdump抓包工具是一款非常經(jīng)典的系統(tǒng)工具軟件,Tcpdump數(shù)據(jù)抓包正版占用內(nèi)存小,操作非常的便捷,你可以通過該軟件來輕松抓取需要的數(shù)據(jù),有需要的就來Tcpdump抓包工具最新版下載!
Tcpdump是Linux平臺下一款非常知名的強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)抓包的分析工具,它可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來提供分析。支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。其總的輸出格式為:系統(tǒng)時間 來源主機(jī).端口 > 目標(biāo)主機(jī).端口 數(shù)據(jù)包參數(shù)。作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具,tcpdump以其強(qiáng)大的功能,靈活的截取策略,成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò),排查問題等所必備的工具之一。
參數(shù)
tcpdump支持相當(dāng)多的不同參數(shù),如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡(luò)接口,這在計算機(jī)具有多個網(wǎng)絡(luò)接口時非常有用,使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量,使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存,等等。
然而更復(fù)雜的tcpdump參數(shù)是用于過濾目的,這是因?yàn)榫W(wǎng)絡(luò)中流量很大,如果不加分辨將所有的數(shù)據(jù)包都截留下來,數(shù)據(jù)量太大,反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過濾規(guī)則可以截留特定的數(shù)據(jù)包,以縮小目標(biāo),才能更好的分析網(wǎng)絡(luò)中存在的問題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等,根據(jù)具體的網(wǎng)絡(luò)問題,充分利用這些過濾規(guī)則就能達(dá)到迅速定位故障的目的。請使用man tcpdump查看這些過濾規(guī)則的具體用法。
安全
顯然為了安全起見,不用作網(wǎng)絡(luò)管理用途的計算機(jī)上不應(yīng)該運(yùn)行這一類的網(wǎng)絡(luò)分析軟件,為了屏蔽它們,可以屏蔽內(nèi)核中的bpfilter偽設(shè)備。一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或發(fā)送與本計算機(jī)無關(guān)的數(shù)據(jù)包,為了接收這些數(shù)據(jù)包,就必須使用網(wǎng)卡的混雜模式,并繞過標(biāo)準(zhǔn)的TCP/IP 堆棧才行。在FreeBSD下,這就需要內(nèi)核支持偽設(shè)備bpfilter。因此,在內(nèi)核中取消bpfilter支持,就能屏蔽tcpdump之類的網(wǎng)絡(luò)分析工具。
并且當(dāng)網(wǎng)卡被設(shè)置為混雜模式時,系統(tǒng)會在控制臺和日志文件中留下記錄,提醒管理員留意這臺系統(tǒng)是否被用作攻擊同網(wǎng)絡(luò)的其他計算機(jī)的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
雖然網(wǎng)絡(luò)分析工具能將網(wǎng)絡(luò)中傳送的數(shù)據(jù)記錄下來,但是網(wǎng)絡(luò)中的數(shù)據(jù)流量相當(dāng)大,如何對這些數(shù)據(jù)進(jìn)行分析、分類統(tǒng)計、發(fā)現(xiàn)并報告錯誤卻是更關(guān)鍵的問題。網(wǎng)絡(luò)中的數(shù)據(jù)包屬于不同的協(xié)議,而不同協(xié)議數(shù)據(jù)包的格式也不同。因此對捕獲的數(shù)據(jù)進(jìn)行解碼,將包中的信息盡可能的展示出來,對于協(xié)議分析工具來講更為重要。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應(yīng)用層協(xié)議,而不僅僅只支持tcp、udp等低層協(xié)議。
解碼
從上面tcpdump的輸出可以看出,tcpdump對截獲的數(shù)據(jù)并沒有進(jìn)行徹底解碼,數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進(jìn)制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡(luò)故障,通常的解決辦法是先使用帶-w參數(shù)的tcpdump 截獲數(shù)據(jù)并保存到文件中,然后再使用其他程序進(jìn)行解碼分析。當(dāng)然也應(yīng)該定義過濾規(guī)則,以避免捕獲的數(shù)據(jù)包填滿整個硬盤。
1、默認(rèn)系統(tǒng)里邊沒有安裝有tcpdump的,無法直接使用
2、里我們可以使用yum來直接安裝它
yum install -y tcpdump
3、如果忘記了軟件的用法,可以使用 tcpdump --help 來查看一下使用方法
4、一般我們的服務(wù)器里邊只有一個網(wǎng)卡,使用tcpdump可以直接抓取數(shù)據(jù)包,但是這樣查看太麻煩了,所以都會添加參數(shù)來進(jìn)行獲取的。
例如我截取本機(jī)(192.168.31.147)和主機(jī)114.114.114.114之間的數(shù)據(jù)
tcpdump -n -i eth0 host 192.168.31.147 and 114.114.114.114
5、還有截取全部進(jìn)入服務(wù)器的數(shù)據(jù)可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.31.147
或者服務(wù)器有多個IP 可以使用參數(shù)
tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157
6、抓取全部進(jìn)入服務(wù)器的TCP數(shù)據(jù)包使用以下的格式,大家可以參考下
tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp
從本機(jī)出去的數(shù)據(jù)包
tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157
tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157 and port ! 22 and tcp
或者可以條件可以是or 和 and 配合使用即可篩選出更好的結(jié)果。
一、抓取特定網(wǎng)卡 80端口的鏈接情況:
1、我們先用ifconfig查看網(wǎng)卡名稱:
2、輸入下來命令后,打開百度網(wǎng)頁:
可以捕獲到如下信息,截取一部分:
關(guān)于上面輸出的內(nèi)容,格式注釋如下:
第二列:網(wǎng)絡(luò)協(xié)議 IP
第三列:發(fā)送方的ip地址+端口號,其中 221.5.75.35是 ip,而 http是端口號,即80
第四列:箭頭 >, 表示數(shù)據(jù)流向
第五列:接收方的ip地址+端口號,其中 localhost.localdomain.是 ip,本機(jī),而 42884是端口號。
第六列:冒號
第七列:數(shù)據(jù)包內(nèi)容,包括Flags 標(biāo)識符,seq 號,ack 號,win 窗口,數(shù)據(jù)長度 length,其中 [P.] 表示 PUSH 標(biāo)志位為 1。
其中Flags 標(biāo)識符有以下幾種:
[S] : SYN(開始連接)
[P] : PSH(推送數(shù)據(jù))
[F] : FIN (結(jié)束連接)
[R] : RST(重置連接)
[.] : 沒有 Flag,由于除了 SYN 包外所有的數(shù)據(jù)包都有ACK,所以一般這個標(biāo)志也可表示 ACK
二、如果你覺得命令行不習(xí)慣,還是喜歡用wireshark來查看數(shù)據(jù)包,那么你還可以使用tcpdump來保存.cap文件,然后導(dǎo)出cap文件,就可以用wireshark軟件來打開查看了。
tcpdump-i ens33 port80-w ./20210616.cap(左右滑動一下)
注釋:
-w:參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存,file.cap就是該文件。
./:保存的路徑。
通過ls,可以看到該文件已生成:
輸入linux服務(wù)器ip地址(即我虛擬機(jī)的ip地址)、賬號、密碼
下載cap文件:
下載到window物理機(jī)上:
雙擊,我們就可以使用wireshark來查看數(shù)據(jù)包了
三、基于協(xié)議進(jìn)行過濾,比如就只抓起icmp報文。
tcpdump icmp
輸完上述命令后,我打開網(wǎng)頁,又進(jìn)行了ping測試,先ping8.8.8.8,然后中止了,再ping 114.114.114.114.
來看看,命令輸出的結(jié)果:
23:05:28.009283 IP http://public1.114dns.com > localhost.localdomain: ICMP echo reply, id 24125, seq 3, length 64
四、-n參數(shù)
上面我們看到了,ping 114.114.114.114,tcpdump輸出顯示是域名形式,如果我們希望顯示ip地址,可以加一個參數(shù):-n (即不把ip轉(zhuǎn)化成域名,直接顯示 ip,避免執(zhí)行 DNS lookups 的過程,速度會快很多)
tcpdump icmp -n
五、捕獲特定的目的IP地址的數(shù)據(jù)包。
我在linux服務(wù)器上進(jìn)行ping多個地址(114.114.114.114、223.5.5.5、223.6.6.6),然后我tcpdump只需114.114.114.114的。
tcpdumpicmp-nanddsthost114.114.114.114(左右滑動一下)
and:后面就是加了限制條件,只捕獲指定的目的ip地址為114.114.114.114的報文。
TcpDump最新版是一款優(yōu)秀的網(wǎng)絡(luò)數(shù)數(shù)分析軟件。TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù),同時不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中第一個網(wǎng)絡(luò)接口,并顯示它截獲的所有數(shù)據(jù)。TcpDump最新版可以根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包進(jìn)行分析,軟件以其強(qiáng)大的功能,靈活的截取策略,成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò),排查問題等所必備的工具之一。
