首頁>編程相關>其他源碼
下載

如何使用 tcpdump

tcpdump 指令是一個著名的網路封包分析工具,用於顯示透過安裝了 tcpdump 的系統所連接的網路傳輸的 TCPIP 和其他網路封包。 Tcpdump 使用 libpcap 函式庫來擷取網路封包,並且在幾乎所有 Linux/Unix 版本上都可用。

Linux Tcpdump:過濾 ipv6 ntp ping 封包

Tcpdump:捕獲 DHCP 和 DHCPv6 封包

Linux 上的 20 個高級 Tcpdump 範例

10 個有用的 tcpdump 命令範例

TCPDUMP

自述文件

Tcpdump 是資訊安全專業人員有史以來最好的網路分析工具之一。 Tcpdump 適用於駭客和對 TCP/IP 了解較少的人。

選項

以下是一些 tcpdump 選項(帶有有用的範例),可協助您使用該工具。它們很容易忘記和/或與其他類型的過濾器(即 ethereal)混淆,所以希望本文可以作為您的參考,就像我一樣:)

  • 第一個是 -n,它請求不解析名稱,從而產生 IP 本身。
  • 第二個是 -X,它顯示資料包中的十六進位和 ASCII 內容。
  • 最後一個是 -S,它將序號的顯示更改為絕對而不是相對。

以十六進位和 ascii 格式顯示資料包的內容。 

 tcpdump -X ....

與 -X 相同,但也顯示乙太網路標頭。 

 tcpdump -XX

顯示可用介面列表

 tcpdump -D

行可讀輸出(用於在儲存時查看或傳送到其他命令) 

 tcpdump -l

你的輸出要少一些冗長(更安靜)。 

 tcpdump -q

提供人類可讀的時間戳輸出。 

 tcpdump -t :

提供最大程度的人類可讀時間戳輸出。 

 tcpdump -tttt :

在 eth0 介面上監聽。 

 tcpdump -i eth0

詳細輸出(更多 v 提供更多輸出)。 

 tcpdump -vv

只取得x個資料包然後停止。 

 tcpdump -c

定義捕獲的快照長度(大小)(以位元組為單位)。使用 -s0 獲取所有內容,除非您故意捕獲較少內容。 

 tcpdump -s

列印絕對序號。 

 tcpdump -S

還要取得乙太網路標頭。 

 tcpdump -e

透過提供加密金鑰來解密 IPSEC 流量。 

 tcpdump -E

有關更多選項,請閱讀手冊:

  • 在這裡找到所有選項

  • Linux Tcpdump:過濾 ipv6 ntp ping 封包

  • Tcpdump:捕獲 DHCP 和 DHCPv6 封包

  • Linux 上的 20 個高級 Tcpdump 範例

  • 10 個有用的 tcpdump 命令範例

基本用法

顯示可用介面

 tcpdump -D
tcpdump --list-interfaces

讓我們從獲取 HTTPS 流量的基本命令開始: 

 tcpdump -nnSX port 443

按IP查找流量

 tcpdump host 1.1.1.1

按來源和/或目的地過濾

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

透過網路查找資料包

 tcpdump net 1.2.3.0/24

低輸出: 

 tcpdump -nnvvS

中等輸出: 

 tcpdump -nnvvXS

重輸出: 

 tcpdump -nnvvXSs 1514

發揮創意

  • 表達式非常好,但 tcpdump 的真正魔力來自於能夠以創造性的方式將它們組合起來,以便準確地隔離您正在尋找的內容。

組合的方式有以下三種:

 and or &&

或者

 or or ||

除了

 not or !

使用範例:

來自 192.168.1.1 且目的地為連接埠 3389 或 22 的流量

 tcpdump 'src 192.168.1.1 and (dst port 3389 or 22)'

先進的

顯示所有 URG 資料包: 

 tcpdump 'tcp[13] & 32 != 0'

顯示所有 ACK 封包: 

 tcpdump 'tcp[13] & 16 != 0'

顯示所有 PSH 資料包: 

 tcpdump 'tcp[13] & 8 != 0'

顯示所有 RST 資料包: 

 tcpdump 'tcp[13] & 4 != 0'

顯示所有 SYN 封包: 

 tcpdump 'tcp[13] & 2 != 0'

顯示所有 FIN 資料包: 

 tcpdump 'tcp[13] & 1 != 0'

顯示所有 SYN-ACK 封包: 

 tcpdump 'tcp[13] = 18'

顯示設定了 SYN 和 RST 標誌的所有流量:(這種情況永遠不應該發生) 

 tcpdump 'tcp[13] = 6'

顯示設定了「邪惡位」的所有流量: 

 tcpdump 'ip[6] & 128 != 0'

顯示所有 IPv6 流量: 

 tcpdump ip6

以 ASCII 格式列印擷取的資料包

 tcpdump -A -i eth0

以十六進位和 ASCII 顯示捕獲的資料包

 tcpdump -XX -i eth0

捕獲資料包並將其保存在文件中

 tcpdump -w 0001.pcap -i eth0

讀取捕獲的資料包文件

 tcpdump -r 0001.pcap

捕獲IP位址資料包

 tcpdump -n -i eth0

僅捕獲 TCP 封包。 

 tcpdump -i eth0 tcp

從特定連接埠擷取封包

 tcpdump -i eth0 port 22

從來源IP捕獲資料包

 tcpdump -i eth0 src 192.168.0.2

從目標 IP 擷取封包

 tcpdump -i eth0 dst 50.116.66.139

捕獲來自 xxxx 的任何包裹

 tcpdump -n src host x.x.x.x

捕獲來自或發送到 xxxx 的任何資料包

 tcpdump -n host x.x.x.x

捕獲任何發送到 xxxx 的資料包

 tcpdump -n dst host x.x.x.x

捕獲來自 xxxx 的任何包裹

 tcpdump -n src host x.x.x.x

擷取任何前往網路 xxx0/24 的資料包

 tcpdump -n dst net x.x.x.0/24

捕獲來自網路 xxx0/24 的任何資料包

 tcpdump -n src net x.x.x.0/24

捕獲目標連接埠為 x 的任何資料包

 tcpdump -n dst port x

捕獲來自連接埠 x 的任何資料包

 tcpdump -n src port x

擷取來自或傳送至連接埠範圍 x 到 y 的任何資料包

 tcpdump -n dst(or src) portrange x-y

捕獲 x 到 y 範圍內的任何 tcp 或 udp 端口

 tcpdump -n tcp(or udp) dst(or src) portrange x-y

捕獲任何帶有 dst ip xxxx 和連接埠 y 的資料包

 tcpdump -n "dst host x.x.x.x and dst port y"

捕獲帶有目標 ip xxxx 和目標連接埠 x、z 的任何資料包

 tcpdump -n "dst host x.x.x.x and (dst port x or dst port z)"

捕捉ICMP、ARP 

 tcpdump -v icmp(or arp)

在介面 eth0 上捕獲資料包並轉儲到 cap.txt 文件

 tcpdump -i eth0 -w cap.txt

使用十六進位輸出取得封包內容

 tcpdump -c 1 -X icmp

顯示與特定連接埠相關的流量

 tcpdump port 3389 
tcpdump src port 1025

顯示一種協定的流量

 tcpdump icmp

按IP查找流量

 tcpdump host 1.1.1.1

按來源和/或目的地過濾

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

透過網路查找資料包

 tcpdump net 1.2.3.0/24

使用十六進位輸出取得封包內容

 tcpdump -c 1 -X icmp

顯示與特定連接埠相關的流量

 tcpdump port 3389 
tcpdump src port 1025

顯示一種協定的流量

 tcpdump icmp

僅顯示 IP6 流量

 tcpdump ip6

使用連接埠範圍尋找流量

 tcpdump portrange 21-23

根據資料包大小找出流量

 tcpdump less 32 
 tcpdump greater 64 
 tcpdump <= 128
 tcpdump => 128

讀取/寫入擷取到檔案 (pcap) 

 tcpdump port 80 -w capture_file
tcpdump -r capture_file

一切都與組合有關

原始輸出視圖

 tcpdump -ttnnvvS

以下是組合命令的一些範例。

來自特定 IP 並發送至特定端口

 tcpdump -nnvvS src 10.5.2.3 and dst port 3389

從一個網路到另一個網絡

 tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

前往特定 IP 的非 ICMP 流量

 tcpdump dst 192.168.0.2 and src net and not icmp

來自不在特定連接埠上的主機的流量

 tcpdump -vv src mars and not dst port 22

隔離 TCP RST 標誌。 

 tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[tcpflags] == tcp-rst'

隔離 TCP SYN 標誌。 

 tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[tcpflags] == tcp-syn'

隔離同時設定了 SYN 和 ACK 標誌的封包。 

 tcpdump 'tcp[13]=18'

隔離 TCP URG 標誌。 

 tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[tcpflags] == tcp-urg'

隔離 TCP ACK 標誌。 

 tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[tcpflags] == tcp-ack'

隔離 TCP PSH 標誌。 

 tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[tcpflags] == tcp-psh'

隔離 TCP FIN 標誌。 

 tcpdump 'tcp[13] & 1!=0'
tcpdump 'tcp[tcpflags] == tcp-fin'

我幾乎每天使用的命令

SYN 和 RST 皆設定

 tcpdump 'tcp[13] = 6'

尋找 HTTP 用戶代理

 tcpdump -vvAls0 | grep 'User-Agent:'
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

透過使用egrep和多個匹配,我們可以從請求中取得使用者代理程式和主機(或任何其他標頭)。 

 tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

僅擷取 HTTP GET 和 POST 封包(僅擷取與 GET 相符的封包)。 

 tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

提取 HTTP 請求 URL 

 tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

在 POST 請求中提取 HTTP 密碼

 tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

從伺服器和客戶端捕獲 Cookie 

 tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

擷取所有 ICMP 封包

 tcpdump -n icmp

顯示非 ECHO/REPLY 的 ICMP 封包(標準 ping) 

 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

擷取 SMTP / POP3 電子郵件

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

NTP 查詢和回應故障排除

 tcpdump dst port 123

擷取 FTP 憑證和命令

 tcpdump -nn -v port ftp or ftp-data

旋轉捕獲文件

 tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

擷取 IPv6 流量

 tcpdump -nn ip6 proto 6

使用 UDP 的 IPv6 並從先前儲存的擷取檔案中讀取。 

 tcpdump -nr ipv6-test.pcap ip6 proto 17

偵測網路流量中的連接埠掃描

 tcpdump -nn

使用範例

顯示 Nmap NSE 腳本測試的範例過濾器

  • 目標: 

     nmap -p 80 --script=http-enum.nse targetip

  • 在伺服器上: 

     tcpdump -nn port 80 | grep "GET /"
  
     GET /w3perl/ HTTP/1.1
     GET /w-agora/ HTTP/1.1
     GET /way-board/ HTTP/1.1
     GET /web800fo/ HTTP/1.1
     GET /webaccess/ HTTP/1.1
     GET /webadmin/ HTTP/1.1
     GET /webAdmin/ HTTP/1.1

擷取每個非本機主機的開始和結束資料包

 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

捕獲 DNS 請求和回應

使用 Tcpdump 過濾 DNS 

 tcpdump -i wlp58s0 -s0 port 53

擷取HTTP封包

 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

按資料包排名靠前的主機

 tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

捕捉所有明文密碼

 tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '

DHCP 範例

 tcpdump -v -n port 67 or 68

明文 GET 請求

 tcpdump -vvAls0 | grep 'GET'

尋找 HTTP 主機標頭

 tcpdump -vvAls0 | grep 'Host:'

尋找 HTTP Cookie 

 tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'

尋找 SSH 連接

 tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'

查找 DNS 流量

 tcpdump -vvAs0 port 53

尋找 FTP 流量

 tcpdump -vvAs0 port ftp or ftp-data

尋找 NTP 流量

 tcpdump -vvAs0 port 123

擷取 SMTP / POP3 電子郵件

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

行緩衝模式

 tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

尋找帶有邪惡位的流量

 tcpdump 'ip[6] & 128 != 0'

按協定 (ICMP) 和協定特定欄位(ICMP 類型)過濾

Tcpdump:使用 Tcp 標誌過濾封包

tcpdump -n icmp 和 'icmp[0] != 8 和 icmp[0] != 0'

相同的命令可以與預先定義的標頭欄位偏移(icmptype)和 ICMP 類型欄位值(icmp-echo 和 icmp-echoreply)一起使用: 

 tcpdump -n icmp and icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply

按 T​​OS 欄位過濾

 tcpdump -v -n ip and ip[1]!=0

TTL 字段過濾

 tcpdump -v ip and 'ip[8]<2'

TCP 標誌篩選 (SYN/ACK) 

 tcpdump -n tcp and port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

在上面的範例中,擷取了所有設定了 TCP SYN 標誌的封包。也可以設定其他標誌(例如 ACK)。可以擷取僅設定了 TCP SYN 標誌的封包

 tcpdump tcp and port 80 and 'tcp[tcpflags] == tcp-syn'

擷取 TCP SYN/ACK 封包(通常是來自伺服器的回應): 

 tcpdump -n tcp and 'tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack)'
tcpdump -n tcp and 'tcp[tcpflags] & tcp-syn == tcp-syn' and 'tcp[tcpflags] & tcp-ack == tcp-ack'

捕獲ARP資料包

 tcpdump -vv -e -nn ether proto 0x0806

根據 IP 封包長度進行過濾

 tcpdump -l icmp and '(ip[2:2]>50)' -w - |tcpdump -r - -v ip and '(ip[2:2]<60)'

備註:由於 tcpdump 中的一些錯誤,以下命令無法如預期擷取封包: 

 tcpdump -v -n icmp and '(ip[2:2]>50)' and '(ip[2:2]<60)'

過濾封裝內容(PPPoE 內的 ICMP) 

 tcpdump -v -n icmp

奎特

 tcpdump -q -i eth0
tcpdump -t -i eth0
tcpdump -A -n -q -i eth0 'port 80'
tcpdump -A -n -q -t -i eth0 'port 80'

僅列印 HTTP 流量中有用的資料包

 tcpdump -A -s 0 -q -t -i eth0 'port 80 and ( ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12:2]&0xf0)>>2)) != 0)'

轉儲 SIP 流量

 tcpdump -nq -s 0 -A -vvv port 5060 and host 1.2.3.4

檢查資料包內容

 tcpdump -i any -c10 -nn -A port 80

檢查資料包內容

 sudo tcpdump -i any -c10 -nn -A port 80

參考資料和很棒的 wiki

使用 Tcpdump 捕獲 ICMP 封包

使用 Tcpdump 調試 SSH 封包

使用Tcpdump過濾DNS資料包

學習tcpdump快速指南

使用 Tcpdump 過濾 DNS

使用 Tcpdump 過濾 CDP LLDP 封包

Tcpdump 備忘單(基本進階範例)

結尾!

展開
附加信息
相關應用
爲您推薦
相關資訊 全部