#tcpdump -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 我們還可以監視通過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你還想監視編址到指定端口的TCP或UDP數據包,那么執行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中適用 括號時,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,
greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||';
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包,用dst port;如果我們只希望看到返回80端口的數據包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服務的主機
如果條件很多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日志將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據并沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網絡故障,通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據并保存到文件中,然后再使用其他程序進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬盤。
Linux下的網絡協議分析工具-tcpdump快速入門手冊
TCPDUMP簡介
在傳統的網絡分析和測試技術中,嗅探器(sniffer)是最常見,也是最重要的技術之一。sniffer工具首先是為網絡管理員和網絡程序員進行網絡分析而設計的。對于網絡管理人員來說,使用嗅探器可以隨時掌握網絡的實際情況,在網絡性能急劇下降的時候,可以通過sniffer工具來分析原因,找出造成網絡阻塞的來源。對于網絡程序員來說,通過sniffer工具來調試程序。
用過windows平臺上的sniffer工具(例如,netxray和sniffer pro軟件)的朋友可能都知道,在共享式的局域網中,采用sniffer工具簡直可以對網絡中的所有流量一覽無余!Sniffer工具實際上就是一個網絡上的抓包工具,同時還可以對抓到的包進行分析。由于在共享式的網絡中,信息包是會廣播到網絡中所有主機的網絡接口,只不過在沒有使用sniffer工具之前,主機的網絡設備會判斷該信息包是否應該接收,這樣它就會拋棄不應該接收的信息包,sniffer工具卻使主機的網絡設備接收所有到達的信息包,這樣就達到了網絡監聽的效果。
Linux作為網絡服務器,特別是作為路由器和網關時,數據的采集和分析是必不可少的。所以,今天我們就來看看Linux中強大的網絡數據采集分析工具——TcpDump。
用簡單的話來定義tcpdump,就是:dump the traffice on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。
作為互聯網上經典的的系統管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成為每個高級的系統管理員分析網絡,排查問題等所必備的東東之一。
顧名思義,TcpDump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。
tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對于網絡維護和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系統中,由于它需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。
