1.安装tcpdump
yum install tcpdump -y
2.tcpdump简单使用
1)指定端口
tcpdump -i eth0
默认只显示抓到的包的简略信息,例如源目的IP,端口,包的大小等。
显示的信息如下:
04:38:37.628015 IP 192.168.4.211.ssh > 192.168.4.199.7225: Flags [P.], seq 532304:532564, ack 313, win 264, length 260
2)以16进制显示全量数据
tcpdump -i eth0 -X
-X就表示十六进制。
显示的信息如下:
04:40:01.298591 IP 192.168.4.199.7225 > 192.168.4.211.ssh: Flags [.], ack 70300, win 8212, length 0 0x0000: 4500 0028 ca74 4000 4006 e570 c0a8 04c7 E..(.t@.@..p.... 0x0010: c0a8 04d3 1c39 0016 bd88 6633 3d59 0090 .....9....f3=Y.. 0x0020: 5010 2014 86e1 0000 0000 0000 0000 P.............
这个和wireshark中显示的内容看起来很像了。
除了-X以外,tcpdump还支持很多种显示格式,例如-A表示ASCii码显示。
3)过滤端口
tcpdump -i eth0 port 22
只显示与22端口相关的数据包。
4)过滤协议
tcpdump -i eth0 icmp
5)将抓包结果写入文件
tcpdump -i eth0 icmp -w res.cap
6)从文件中读出结果
tcpdump -r res.cap
从读取数据中过滤源IP:
tcpdump src host 14.215.177.38 -r cap2.txt
过滤出源IP为14.215.177.38的条目。过滤目的IP用 dst host 192.168.4.146 。
过滤协议:
tcpdump icmp -r cap2.txt
过滤出icmp协议的条目。
过滤端口号:
tcpdump port 22 -r cap2.txt
使用awk挖掘源IP地址(第三列):
[root@centos7-test ~]# tcpdump -r cap1.txt | awk '{print $3}'
我们可以通过awk等文本处理工具来提取其中的关键数据,但是在抓到的数据中,不同协议对应的文本格式可能是不同的,所以具体问题要具体分析。