linux下的网络分析工具Tcpdump使用手册

一、简介

       Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是必不可少的，作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的工具之一。

常用方法：

tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80 
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。

tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
二、命令选项简介

           -a 　　   将网络地址和广播地址转变成名字；
-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　 将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　   将匹配信息包的代码以十进制的形式给出；
-e 　　    在输出行打印出数据链路层的头部信息；
-f 　　     将外部的Internet地址以数字的形式打印出来；
-l 　　　 使标准输出变为缓冲行形式；
-n            不进行IP地址到主机名的转换；

                          #eth0 ＜ ntc9.1165 ＞ router.domain.net.telnet，使用-n后变成了：

                           eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。
　　　-t 　　　 在输出的每一行不打印时间戳；
-v 　　     输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 　　   输出详细的报文信息；
-c 　        在收到指定的包的数目后，tcpdump就会停止；
-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
-i 　　　 指定监听的网络接口；
-r 　        从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 　　　直接将包写入文件中，并不分析和打印出来；
-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程
                         调用）和snmp（简网络管理协议）

　       -nn         不进行端口名称的转换。
                         #上面这条信息使用-nn后就变成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。

三、tcpdump的表达式介绍
表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表
达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会
被截获。
在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，
net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明
202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是
host.
第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.
48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则
缺省是src or dst关键字。
第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在
FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和e
ther具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会
监听所有协议的信息包。

#-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,
greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'o
r' ,'||'；
这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来
说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1 
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：

               #tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1 

ta-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R   (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是
       下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. 
       Options是选项.

(4) UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是：
route.port1 > ice.port2: udp lenth
UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
       ICE的port2端口，类型是UDP， 包的长度是lenth

本文转自leonardos51CTO博客，原文链接： http://blog.51cto.com/leomars/365620 ，如需转载请自行联系原作者