tcpdump 常规参数介绍_tcpdump参数详解

随笔记录

---

目录

1. Tcpdump 介绍

2. 使用参数介绍

2.1 常用参数

2.2 参数介绍

---

---

1. Tcpdump 介绍

Tcpdump 用简单的语言概括就是dump the traffic on a network，是linux环境下抓包工具，可以将网络中传输的数据包的“包头”全部捕获过来进程分析，其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤，并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题

2. 使用参数介绍

2.1 常用参数

tcpdump -i <网口名> -nnSxx host <抓取网络包中 src_ip or dst_ip> and 'len == <数据包长度>'

# UDP报单抓包命令
# tcpdump -i <网口名> -nnSxx host <抓取网络包中 src_ip or dst_ip> and 'len == <数据包长度>'
 
 
# 以下抓取 网络包中 src_ip 或者 dst_ip 是 192.168.28.104,且包长度为 114 的网络数据包
 
[root@bogon ~]# tcpdump -i enp3s0 -nnSxx host 192.168.28.104 and 'len ==114'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:12:44.235428 IP 192.168.28.104.48008 > 118.190.175.212.40602: UDP, length 72
	0x0000:  3cc7 864c 35ae 047c 1655 02e8 0800 4500
	0x0010:  0064 81ae 4000 4011 b537 c0a8 1c68 76be
	0x0020:  afd4 bb88 9e9a 0050 0000 4800 0100 0004
	0x0030:  0000 18ae 9a50 0900 0000 0e00 0000 0101
	0x0040:  0100 6666 6666 664c a540 0100 0000 0500
	0x0050:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0070:  0000
16:13:44.223600 IP 192.168.28.104.58008 > 118.190.175.212.40602: UDP, length 72
	0x0000:  3cc7 864c 35ae 047c 1655 02e8 0800 4500
	0x0010:  0064 81ae 4000 4011 b537 c0a8 1c68 76be
	0x0020:  afd4 e298 9e9a 0050 0000 4800 0100 0004
	0x0030:  0000 18ae 9a50 0900 0000 0e00 0000 0101
	0x0040:  0100 6666 6666 664c a540 0100 0000 0600
	0x0050:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0070:  0000

2.2 参数介绍

# 常规参数介绍：
 
 -A 以ASCII格式打印出所有分组，并将链路层的头最小化。
 
-c 在收到指定的数量的分组后，tcpdump就会停止。
 
-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
 
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
 
-dd 将匹配信息包的代码以c语言程序段的格式给出。
 
-ddd 将匹配信息包的代码以十进制的形式给出。
 
-D 打印出系统中所有可以用tcpdump截包的网络接口。
 
-e 在输出行打印出数据链路层的头部信息。
 
-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
 
-f 将外部的Internet地址以数字的形式打印出来。
 
-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
 
-i 指定监听的网络接口。
 
-l 使标准输出变为缓冲行形式，可以把数据导出到文件。
 
-L 列出网络接口的已知数据链路。
 
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
 
-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
 
-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
 
-n 不把网络地址转换成名字。
 
-nn 不进行端口名称的转换。
 
-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。
 
-t 在输出的每一行不打印时间戳。
 
-O 不运行分组分组匹配（packet-matching）代码优化程序。
 
-P 不将网络接口设置成混杂模式。
 
-q 快速输出。只输出较少的协议信息。
 
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
 
-S 将tcp的序列号以绝对值形式输出，而不是相对值。
 
-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。
 
-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
 
-t 不在每一行中输出时间戳。
 
-tt 在每一行中输出非格式化的时间戳。
 
-ttt 输出本行和前面一行之间的时间差。
 
-tttt 在每一行中输出由date处理的默认格式的时间戳。
 
-u 输出未解码的NFS句柄。
 
-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
 
-vv 输出详细的报文信息。
 
-w 直接将分组写入文件中，而不是不分析并打印出来。 

tcpdump -i <网口名> -w <抓取包写入文件名>.pcap

 
# tcpdump -i <网口名：enp3s0> -w <抓取包写入文件名：order_changesrcip_sc.pcap>
 
[root@bogon multi_route]# tcpdump -i enp3s0 -w order_changesrcip_sc.pcap
tcpdump: listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C30844422 packets captured
30844427 packets received by filter
0 packets dropped by kernel