TCPDUMP

第一招： 通俗的说，tcpdump是一个抓包工具，用于抓取互联网上传输的数据包。 形象的说，tcpdump就好比是国家海关，驻扎在出入境的咽喉要道，凡是要入境和出境的集装箱，海关人员总要打开箱子，看看里面都装了点啥。 学术的说，tcpdump是一种嗅探器（sniffer），利用以太网的特性，通过将网卡适配器（NIC）置于混杂模式（promiscuous）来获取传输在网络中的信息包。 【抓人生中的第一个包】 要用tcpdump抓包，请记住，一定要切换到root账户下，因为只有root才有权限将网卡变更为“混杂模式”。 然后呢，就是用ifconfig的方法查看好你的服务器的网卡名称。（我的叫做eth0，一般都是这个名字） # tcpdump -i eth0 -nn -X ‘port 53′ -c 1 1 2 3 4 5 6 7 8 9 10 tcpdump: verbose output suppressed, use - v or -vv for full protocol decode listening on eth0, link- type EN10MB (Ethernet), capture size 65535 bytes 19:48:33.285838 IP 116.255.245.206.47940 > 8.8.8.8.53: 22768+ A? www.baidu

1、100.0.0.16/28 对应网段的网关地址、广播地址、可分配IP地址范围 IPV4地址一共为32位，28表示网络段为28为，那么主机段为4位 网关地址为主机位 11111111 11111111 11111111 11110000 100.0.0.16对应的网段为 100.0.0.0001000 即100.0.0.16， 为其网关地址 那么广播地址为100.0.0.00011111 即100.0.0.31 可分配的IP地址为 100.0.0.00010001 -100.0.0.0001110，即100.0.0.17 – 100.0.0.30，共14个地址 2、使用man手册学习tcpdump的使用 tcpdump - dump traffic on a network 简单来说，tcpdump是一个对网络数据包抓取，分析的工具，其官方网址 https://www.tcpdump.org/ 下面介绍其简单用法 tcpdump -D 列出可以抓包的接口 tcpdump -i interface, 指定接口 本机只有一个接口为ens33, 但是抓取的数据显示在终端上会比较乱，可以用-输出到一个文件中以便查看 tcpdump -i ens33 -nn > /tcpdump/dump1.text 使用-nn选项，显示IP 可以看到抓取的信息 抓取的这些信息的含义： 第一段 00:58

​ 1 0月24日任务 10.6 监控io性能 10.7 free命令 10.8 ps命令 10.9 查看网络状态 10.10 linux下抓包 10.6 、监控io性能 监控系统状态 iostat -x 查看磁盘使用 iotop 查看磁盘使用(动态显示) free 查看内存使用情况 free -m / -g / -h buffer/cache 区别 公式： total=used+free+buff/cache avaliable包含free和buffer/cache剩余部分 #iostat -x 命令，最重要关注的指标%util， 表示io等待，磁盘使用占用cpu等待io时间比，超过百分之五十就非常忙。 [root@centos6 ~]# iostat -x Linux 2.6.32-642.el6.x86_64 (centos6.8) 10/24/2018 _x86_64_ (1 CPU) avg-cpu: %user %nice %system %iowait %steal %idle 0.00 0.00 0.00 0.00 0.00 100.00 Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s avgrq-sz avgqu-sz await r_await w_await svctm %util sda 0.00 0.02 0.01

‍ 1. Wireshark与tcpdump介绍 ?Wireshark是一个网络协议 检测 工具 ，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。 在Windows平台下，Wireshark通过WinPcap进行抓包，封装的很好，使用起来很方便，可以很容易的制定抓包过滤器或者显示过滤器，具体在下面介绍。Wireshark是一个免费的 工具 ，只要google一下就能很容易找到下载的地方。 tcpdump是基于Unix系统的命令行式的数据包嗅探 工具 。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的，点击【http://en.wikipedia.org/wiki/Promiscuous_mode】获取更多有关混杂模式的资料。一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，这样会引起一些安全上的问题，所以只有root用户可以开启混杂模式，开启混杂模式的命令是

简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡，所以经常需要指定网卡。 tcpdump 监听特定网卡 tcpdump -i en0 监听特定主机 例子：监听本机跟主机 182.254.38.55 之间往来的通信包。 备注：出、入的包都会被监听。 tcpdump host 182.254.38.55 特定来源、目标地址的通信 特定来源 tcpdump src host hostname 特定目标地址 tcpdump dst host hostname 如果不指定 src 跟 dst ，那么来源 或者目标 是hostname的通信都会被监听 tcpdump host hostname 特定端口 tcpdump port 3000 监听TCP/UDP 服务器上不同服务分别用了TCP、UDP作为传输层，假如只想监听TCP的数据包 tcpdump tcp 来源主机+端口+TCP 监听来自主机 123.207.116.169 在端口 22 上的TCP数据包 tcpdump tcp port 22 and src host 123.207.116.169

使用 tcpdump 监控 http 流量，具体内容包括： http request , http response , http headers 以及 http message body . 监控本机 http 流量 tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 监控指定源地址的 http 流量 tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' 监控本地至本地的 http 流量 tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -i lo 仅监控 http request 将上述执行语句中的 'tcp port 80 修改为 tcp dst port 80 即可。 捕获本地至本地的所有流量 tcpdump -i lo 上述代码均是监控80端口的 http 流量，如果需要监控指定端口，将80替换为指定端口即可实现相应功能。 来源： https://www.cnblogs

简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡，所以经常需要指定网卡。 tcpdump 监听特定网卡 tcpdump -i en0 监听特定主机 例子：监听本机跟主机 182.254.38.55 之间往来的通信包。 备注：出、入的包都会被监听。 tcpdump host 182.254.38.55 特定来源、目标地址的通信 特定来源 tcpdump src host hostname 特定目标地址 tcpdump dst host hostname 如果不指定 src 跟 dst ，那么来源 或者目标 是hostname的通信都会被监听 tcpdump host hostname 特定端口 tcpdump port 3000 监听TCP/UDP 服务器上不同服务分别用了TCP、UDP作为传输层，假如只想监听TCP的数据包 tcpdump tcp 来源主机+端口+TCP 监听来自主机 123.207.116.169 在端口 22 上的TCP数据包 tcpdump tcp port 22 and src host 123.207.116.169

3.1 引言 IP是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输（见图1-4）。许多刚开始接触TCP/IP的人对IP提供不可靠、无连接的数据报传送服务感到很奇怪，特别是那些具有X.25或SNA背景知识的人。 不可靠（unreliable）的意思是它不能保证IP数据报能成功地到达目的地。IP仅提供最好的传输服务。如果发生某种错误时，如某个路由器暂时用完了缓冲区，IP有一个简单的错误处理算法：丢弃该数据报，然后发送ICMP消息报给信源端。任何要求的可靠性必须由上层来提供（如TCP）。 无连接（connectionless）这个术语的意思是IP并不维护任何关于后续数据报的状态信息。每个数据报的处理是相互独立的。这也说明，IP数据报可以不按发送顺序接收。如果一信源向相同的信宿发送两个连续的数据报（先是A，然后是B），每个数据报都是独立地进行路由选择，可能选择不同的路线，因此B可能在A到达之前先到达。 在本章，我们将简要介绍IP首部中的各个字段，讨论IP路由选择和子网的有关内容。还要介绍两个有用的命令： ifconfig 和 netstat 。关于IP首部中一些字段的细节，将留在以后使用这些字段的时候再进行讨论。RFC 791[Postel 1981a]是IP的正式规范文件。 3.2 IP首部 IP数据报的格式如图3-1所示

公司Linux下socket对接时发现接口中总是报错，所以研究了一下Linux下的抓包 tcpdump host #IP地址# //获取主机210.27.48.1接收或发出的telnet包 tcpdump参数的主要选项 -i ：指定网卡 默认是 eth0 -n ：线上ip，而不是hostname -c ：指定抓到多个包后推出 -A：以ASCII方式线上包的内容，这个选项对文本格式的协议包很有用 -x：以16进制显示包的内容 -vvv：显示详细信息 -s ：按包长截取数据；默认是60个字节；如果包大于60个字节，则抓包会出现丢数据；所以我们一般会设置 -s 0 ；这样会按照包的大小截取数据；抓到的是完整的包数据 -r：从文件中读取【与 -w 对应，/usr/sbin/tcpdump -r test.out 读取 tcpdump -w test.out】 -w：到处指向文件【一定要用，-w t.out ，然后用 -r t.out 来看抓包信息，否则可读性很差】 2. tcpmdump 抓包出来分析包的具体含义 包携带的标志： S：S=SYC ：发起连接标志 P：P=PUSH：传送数据标志 F：F=FIN：关闭连接标志 ack：表示确认包 RST=RESET：异常关闭连接 . 表示没有任何标志 第一行： S：表示 clinet.hostname 的临时端口50741向 server

tcpdump unix环境下的抓包工具 参数： 　　 -i：指定网络接口 　　-w：将监听到的数据包保存指定到文件 　　-c：指定要抓取的数据包数量 　　-T：将数据包解析为指定的类型报文，如rpc（远程过程调用）、SNMP等 　　-n：以数字显示主机及端口 关键字： 类型关键字 host，net，port, 例如 host 210.27.48.2，指明210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23指明端口号是23。如果没有指定类型，缺省的类型是host. 传输方向关键字 src , dst ,dst or src, dst and src,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。 协议关键字 主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析