tcpdump詳細用法

閱讀提示： 
第一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網絡地址，port 23 指明端口號是23。如果沒有指定類型，缺省的類型是host.
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。
第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議，實際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和 分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。
  除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││'；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
  普通情況下，直接啓動tcpdump將監視第一個網絡界面上所有流過的數據包。
# tcpdump 
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00
使用-i參數指定tcpdump監聽的網絡界面，這在計算機具有多個網絡界面時非常有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存
A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpdump host 210.27.48.1 
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用　括號時，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 
C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123 

F 系統將只對名爲hostname的主機的通信數據包進行監視。主機名可以是本地主機，也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據： 
#tcpdump -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包： 
#tcpdump -i eth0 dst host hostname
H  我們還可以監視通過指定網關的數據包： 
#tcpdump -i eth0 gateway Gatewayname
I 如果你還想監視編址到指定端口的TCP或UDP數據包，那麼執行以下命令： 
#tcpdump -i eth0 host hostname and port 80
J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中適用　括號時，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
　#tcpdump tcp port 23 host 210.27.48.1
第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||'；
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。 
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  一般是提供http的服務的主機
如果條件很多的話  要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日誌將會記錄
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，然後再使用其他程序進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。 

# tcpdump   -i eth1 src  host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576

表明在00:02:03點的時候，211.167.237.199通過ssh源端口連接到221.216.165.189的1467端口

#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576

截獲所有由eth0進入、源地址(src)爲192.168.0.5的主機(host)，並且(and)目標(dst)端口(port)爲80的數據包


觀看網卡傳送、接收數據包的狀態
$ netstat  -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500  0  14639   0      0      0    5705    119    0     0   BMRU

Iface:  網卡
RX-OK RX-ERR RX-DRP RX-OVR : 網卡正確接收數據包的數量以及發生錯誤、流失、碰撞的總數
TX-OK TX-ERR TX-DRP TX-OVR : 網卡正確發送數據包的數量以及發生錯誤、流失、碰撞的總數