防火墙技术10.1tcpdump工具使用方法

TCPdump工具使用方法Iptables基本实验及抓包分析121报文捕获与分析工具2TCPdump工具的安装3TCPdump命令使用方法目录网络数据报文网络数据是由一系列的数据报文构成众多的数据报文构成完整的数据信息每个数据报文的格式各不相同3为什么需要分析网络报文程序员分析网络数据，理解程序定位程序错误作为接口错误的证据网络管理员了解网络工作状况监听数据，发现可能的网络故障定位网络问题，并发现解决问题的线索黑客监听数据，方便破解程序嗅探用户敏感信息4报文捕获与分析工具SnifferProNAI公司推出的功能强大的协议分析软件功能强大，支持各种协议，提供直观易用的仪表板和各种统计数据、逻辑拓扑视图，并且提供能够深入到数据包的点击关联分析能力软件较大，运行时需要的计算机内存比较大，否则运行比较慢目前最新版本是

SnifferPortable

Professional3.15报文捕获与分析工具Wireshark前身是Ethereal使用WinPCAP作为接口，直接与网卡进行数据报文交换6报文捕获与分析工具TCPdumpdumpthetrafficeonanetworkUnix/Linux下的开源工具使用灵活，功能强大，具有丰富的命令参数哪里可以使用TCPdumpMac系列电脑自带Root后的Android手机破解后的iPhoneUnix/Linux主机7安装TCPdump工具Rpm包安装8#rpm-ivhtcpdump-XXXXX.rpm安装TCPdump工具源码安装首先取得源码包（tar压缩包）：tcpdump-XXXXX.tar.gz确保libpcap库文件和gcc编译器已经安装在系统中进行源码包安装9#tarxvfztcpdump-XXXXX.tar.gz#cd解压后tcpdump的目录#./configure#make#makeinstallTCPdump命令语法默认启动#tcpdump

普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。10TCPdump命令语法tcpdump采用命令行方式，它的命令格式为：

tcpdump[-adeflnNOpqStvx][-c数量][-F文件名][-i网络接口][-r文件名][-ssnaplen][-T类型][-w文件名][表达式]11TCPdump命令语法TCPdump的常用选项-a

将网络地址和广播地址转变成名字；-A 指定将每个监听到的数据包以ACSII可见字符打印；-c 指定要监听的数据包数量，达到指定数量后自动停止抓包；-d

将匹配信息包的代码以人们能够理解的汇编格式给出；-dd

将匹配信息包的代码以c语言程序段的格式给出；-ddd

将匹配信息包的代码以十进制的形式给出；-e 指定将监听到的数据包链路层的信息打印出来，包括源mac和目的mac，以及网络层的协议；-f

将外部的Internet地址以数字的形式打印出来；-F

从指定的文件中读取表达式,忽略其它的表达式；-i 指定tcpdump监听的网络接口；-l

使标准输出变为缓冲行形式；-n 指定将每个监听到数据包中的域名转换成IP地址后显示；-nn 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示；12TCPdump命令语法TCPdump的常用选项（续）-p 将网卡设置为非混杂模式，不能与host或broadcast一起使用；-q 快速输出.显示较少的协议信息,输出行会短一点点；-r 指定从某个文件中读取数据包(这些包一般通过-w选项产生)；-s 指定要截取数据包的长度；-S 指定打印每个监听到的数据包的TCP绝对序列号而非相对序列号；-t

在输出的每一行不打印时间戳；-T

将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简单网络管理协议）；-v

输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；-vv

输出更加详细的报文信息；-w 指定将监听到的数据包写入文件中保存；-x 以16进制数形式显示每一个报文(去掉链路层报头后).可以显示较小的完整报文,否则只显示snaplen个字节；-X 显示完整的报文内容；13TCPdump命令语法Tcpdump的表达式举例：tcpdump-ieth0host192.168.0.250-----在网口eth0上抓取主机地址为192.168.0.250的所有数据包。tcpdump-ieth0net192.168.0.0/24------在网口eth0上抓取网络地址为192.168.0.0/24的所有数据包tcpdump-ieth0port80------在网口eth0上抓取端口为80的所有数据包(注意，这里不区分是源端口还是目的端口)tcpdump-ieth0srcport80anddstport6100---在网口eth0上抓取源端口为80且目的端口为6100的数据包，这里用到了and逻辑运算符tcpdump-ieth0icmp---在网口eth0上抓取所有icmp协议的数据包14TCPdump命令语法Tcpdump表达式主要包括三种类型的关键字第一种是关于类型的关键字，主要包括host，net，port，如上面的例（1）（2）（3）第二种是确定传输方向的关键字，主要包括src，dst，srcordst，srcanddst，这些关键字指明了传输的方向，如上面的例（4）第三种是协议关键字，包括fddi，ip，arp，rarp，tcp，udp，imcp等，如上面的例（5）15TCPdump命令语法Tcpdump其他的关键字gateway，broadcast，less，greater……三种逻辑运算取非运算是'not'、