linux抓包命令是“tcpdump”，可以抓取流動(dòng)在網(wǎng)卡上的數(shù)據(jù)包，可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析；它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供and、or、not等邏輯語(yǔ)句來(lái)幫助你去掉無(wú)用的信息。

本教程操作環(huán)境：Red Hat Enterprise Linux 6.1系統(tǒng)、Dell G3電腦。

tcpdump命令是基于unix系統(tǒng)的命令行的數(shù)據(jù)報(bào)嗅探工具，可以抓取流動(dòng)在網(wǎng)卡上的數(shù)據(jù)包。

顧名思義，tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供and、or、not等邏輯語(yǔ)句來(lái)幫助你去掉無(wú)用的信息,tcpdump憑借強(qiáng)大的功能和靈活的截取策略，使其成為類UNIX系統(tǒng)下用于網(wǎng)絡(luò)分析和問(wèn)題排查的首選工具.

實(shí)用命令實(shí)例:

(1).默認(rèn)啟動(dòng)

#普通情況下，直接啟動(dòng)tcpdump將監(jiān)視第一個(gè)網(wǎng)絡(luò)接口上所有流過(guò)的數(shù)據(jù)包. [root@localhost ~]# tcpdump

(2).監(jiān)視指定網(wǎng)絡(luò)接口的數(shù)據(jù)包

[root@localhost ~]# tcpdump -i eth0 -c 10

(3).監(jiān)視指定主機(jī)的數(shù)據(jù)包

[root@localhost ~]# tcpdump -i eth0 host 10.20.3.25

(4.).獲取主機(jī)10.20.3.25發(fā)送的所有數(shù)據(jù)

[root@localhost ~]#tcpdump -i eth0 src host 10.20.3.25

(5).監(jiān)視所有發(fā)送到主機(jī)10.20.3.25的數(shù)據(jù)包

[root@localhost ~]# tcpdump -i eth0 dst host 10.20.3.25

(6).監(jiān)視指定主機(jī)和端口的數(shù)據(jù)包

[root@localhost ~]# tcpdump tcp port 22 and host 10.20.3.25

(7).監(jiān)視指定網(wǎng)絡(luò)的數(shù)據(jù)包，如本機(jī)與10.20.3網(wǎng)段通信的數(shù)據(jù)包，"-c 10"表示只抓取10個(gè)包

[root@localhost ~]# tcpdump -c 10 net 10.20.3

(8).抓取ping包

[root@localhost ~]# tcpdump -c 5 -nn -i eth0 icmp

(9).解析包數(shù)據(jù)

[root@localhost ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 10:22:22.334383 IP (tos 0x0, ttl 63, id 26834, offset 0, flags [DF], proto TCP (6), length 40)     10.20.3.25.60401 > 10.20.9.131.22: tcp 0         0x0000:  0050 5685 2ba8 0074 9c0f c748 0800 4500  .PV.+..t...H..E.         0x0010:  0028 68d2 4000 3f06 b23a 0a14 0319 0a14  .(h.@.?..:......         0x0020:  0983 ebf1 0016 93e3 6ba8 cd6b d1ce 5010  ........k..k..P.         0x0030:  f6b4 0d8e 0000 0000 0000 0000            ............ 10:22:22.376759 IP (tos 0x0, ttl 63, id 26835, offset 0, flags [DF], proto TCP (6), length 40)     10.20.3.25.60401 > 10.20.9.131.22: tcp 0         0x0000:  0050 5685 2ba8 0074 9c0f c748 0800 4500  .PV.+..t...H..E.         0x0010:  0028 68d3 4000 3f06 b239 0a14 0319 0a14  .(h.@.?..9......         0x0020:  0983 ebf1 0016 93e3 6ba8 cd6b d392 5010  ........k..k..P.         0x0030:  faf0 078e 0000 0000 0000 0000            ............ 2 packets captured 2 packets received by filter 0 packets dropped by kernel [root@test-core-services-03 ~]#

(10).tcpdump抓取HTTP包

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854  0x4745 為"GET"前兩個(gè)字母"GE",0x4854 為"HTTP"前兩個(gè)字母"HT"。

tcpdump常用選項(xiàng):

它的命令格式為：

tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]         [ -s snaplen ] [ -w file ] [ expression ]  抓包選項(xiàng)： -c：指定要抓取的包數(shù)量。注意，是最終要獲取這么多個(gè)包。例如，指定"-c 10"將獲取10個(gè)包，但可能已經(jīng)處理了100個(gè)包，只不過(guò)只有10個(gè)包是滿足條件的包。 -i interface：指定tcpdump需要監(jiān)聽(tīng)的接口。若未指定該選項(xiàng)，將從系統(tǒng)接口列表中搜尋編號(hào)最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump -i lo)，             ：一旦找到第一個(gè)符合條件的接口，搜尋馬上結(jié)束?？梢允褂?#39;any'關(guān)鍵字表示所有網(wǎng)絡(luò)接口。 -n：對(duì)地址以數(shù)字方式顯式，否則顯式為主機(jī)名，也就是說(shuō)-n選項(xiàng)不做主機(jī)名解析。 -nn：除了-n的作用外，還把端口顯示為數(shù)值，否則顯示端口服務(wù)名。 -N：不打印出host的域名部分。例如tcpdump將會(huì)打印'nic'而不是'nic.ddn.mil'。 -P：指定要抓取的包是流入還是流出的包?？梢越o定的值為"in"、"out"和"inout"，默認(rèn)為"inout"。 -s len：設(shè)置tcpdump的數(shù)據(jù)包抓取長(zhǎng)度為len，如果不設(shè)置默認(rèn)將會(huì)是65535字節(jié)。對(duì)于要抓取的數(shù)據(jù)包較大時(shí)，長(zhǎng)度設(shè)置不夠可能會(huì)產(chǎn)生包截?cái)?，若出現(xiàn)包截?cái)啵?      ：輸出行中會(huì)出現(xiàn)"[|proto]"的標(biāo)志(proto實(shí)際會(huì)顯示為協(xié)議名)。但是抓取len越長(zhǎng)，包的處理時(shí)間越長(zhǎng)，并且會(huì)減少tcpdump可緩存的數(shù)據(jù)包的數(shù)量，       ：從而會(huì)導(dǎo)致數(shù)據(jù)包的丟失，所以在能抓取我們想要的包的前提下，抓取長(zhǎng)度越小越好。  輸出選項(xiàng)： -e：輸出的每行中都將包括數(shù)據(jù)鏈路層頭部信息，例如源MAC和目標(biāo)MAC。 -q：快速打印輸出。即打印很少的協(xié)議相關(guān)信息，從而輸出行都比較簡(jiǎn)短。 -X：輸出包的頭部數(shù)據(jù)，會(huì)以16進(jìn)制和ASCII兩種方式同時(shí)輸出。 -XX：輸出包的頭部數(shù)據(jù)，會(huì)以16進(jìn)制和ASCII兩種方式同時(shí)輸出，更詳細(xì)。 -v：當(dāng)分析和打印的時(shí)候，產(chǎn)生詳細(xì)的輸出。 -vv：產(chǎn)生比-v更詳細(xì)的輸出。 -vvv：產(chǎn)生比-vv更詳細(xì)的輸出。  其他功能性選項(xiàng)： -D：列出可用于抓包的接口。將會(huì)列出接口的數(shù)值編號(hào)和接口名，它們都可以用于"-i"后。 -F：從文件中讀取抓包的表達(dá)式。若使用該選項(xiàng)，則命令行中給定的其他表達(dá)式都將失效。 -w：將抓包數(shù)據(jù)輸出到文件中而不是標(biāo)準(zhǔn)輸出。可以同時(shí)配合"-G time"選項(xiàng)使得輸出文件每time秒就自動(dòng)切換到另一個(gè)文件。可通過(guò)"-r"選項(xiàng)載入這些文件以進(jìn)行分析和打印。 -r：從給定的數(shù)據(jù)包文件中讀取數(shù)據(jù)。使用"-"表示從標(biāo)準(zhǔn)輸入中讀取。