尊龙凯时

Linux 网络抓包剖析工具

泉源：尊龙凯时滤油机网责任编辑：恩小氏时间：2024年9月19日 0

一、tcpdump

1、作用

tcpdump 指令可列出经由指定网络界面的数据包文件头，可以将网络中传送的数据包的 “头” 完全截获下来提供剖析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not 等逻辑语句来资助你摘取有用信息。

由于它需要将网络接口设置为混杂模式，通俗用户不可正常执行，但具备 root 权限的用户可以直接执行它来获取网络上的信息

其他抓包工具

wireshark具有图形化和下令行两种版本，可以对 tcpdump 抓的包举行剖析，其主要功效就是剖析数据包。

ngrep它将抓到的包数据以文本形式直接显示出来，适用于包数据包括文本的[抓包]剖析 (如 HTTP、MySQL)

2、下令选项

tcpdump [选项] [协议] [数据流偏向] [规模]

-a 将网络地点和广播地点转酿成名字

-A 以 ASCII 名堂打印出所有分组，并将链路层的头最小化

-b 数据链路层上选择协议，包括 ip/arp/rarp/ipx 都在这一层

-c 指定收取数据包的次数，即在收到指定命目的数据包退却出 tcpdump

-d 将匹配信息包的代码以人们能够明确的汇编名堂输出

-dd 将匹配信息包的代码以 c 语言程序段的名堂输出

-ddd 将匹配信息包的代码以十进制的形式输出

-D 打印系统中所有可以监控的网络接口

-e 在输出行打印出数据链路层的头部信息

-f 将外部的 Internet 地点以数字的形式打印出来，即不显示主机名

-F 从指定的文件中读取表达式，忽略其他的表达式

-i 指定监听网络接口

-l 使标准输出变为缓冲形式，可以数据导出到文件

-L 列出网络接口已知的数据链路

-n 不把网络地点转换为名字

-N 不输出主机名中的域名部分，例如 www.www.blockadm.com 只输出 www

-nn 不举行端口名称的转换

-P 不将网络接口设置为混杂模式

-q 快速输出，即只输出较少的协议信息

-r 从指定的文件中读取数据，一样平常是 – w 生涯的文件

-w 将捕获到的信息生涯到文件中，且不剖析和打印在屏幕

-s 从每个组中读取在最先的 snaplen 个字节，而不是默认的 68 个字节

-S 将 tcp 的序列号以绝对值形式输出，而不是相对值

-T 将监听到的包直接剖析为指定的类型的报文，常见的类型有 rpc（远程历程挪用）和 snmp（简朴网络治理协议）

-t 在输出的每一行不打印时间戳

-tt 在每一行中输出非名堂化的时间戳

-ttt 输出本行和前面以后之间的时间差

-tttt 在每一行中输出 data 处置惩罚的默认名堂的时间戳

-u 输出未解码的 NFS 句柄

-v 输出稍微详细的信息，例如在 ip 包中可以包括 ttl 和效劳类型的信息

-vv 输出信托的保报文信息

3、tcpdump 表达式

关于数据类型的要害字

包括 host、port、net：

host 192.168.100.1 体现一台主机，net 192.168.100.0 体现一个网络网段，port 80 指明端口号为 80，在这里若是没有指明数据类型，那么默认就是 host

牛逼�。〗铀交畋乇傅� N 个开源项目！赶忙珍藏

登录后复制

数据传输偏向的要害字

包括 src、dst、dst or src、dst and src，这些要害字指明晰传输的偏向，好比 src 192.168.100.1 说明数据包源地点是 192.168.100.1。dst net 192.168.100.0 指明目的网络地点是 192.168.100.0，默认是监控主机对主机的 src 和 dst，即默认监听本机和目的主机的所有数据

协议要害字

包括 ip、arp、rarp、udp

其他要害字

运算类型：or、and、not、！

辅助功效型：gateway、less、broadcast、greater

4、tcpdump 捕获方法

tcpdump [协议类型] [源或目的] [主机名称或 IP] [or/and/not/! 条件组合] [源或目的] [主机名或 IP] [or/and/not/! 条件组合] [端口] [端口号] …… [or/and/not/! 条件组合] [条件]

> tcpdump  ip dst 192.168.10.1 and src 192.168.10.10 and port 80 and host  !www.www.blockadm.com

登录后复制

tcpdump

默认监听在第一块网卡，监听所有经由此网卡的数据包

> tcpdump  -i  ens33

登录后复制

监听指定网卡 ens33 的所有传输数据包

> tcpdump -i ens33 host 192.168.100.10

登录后复制

捕获主机 192.168.100.10 经由网卡 ens33 的所有数据包（也可以是主机名，但要求可以剖析出 IP 地点）

第一列：报文的时间

第二列：网络协议 IP

第三列：发送方的 ip 地点、端口号、域名，上图显示的是本机的域名，可通过 / etc/hosts 审查本机域名

第四列：箭头 >，体现数据流向

第五列：吸收方的 ip 地点、端口号、域名，

第六列：冒号

第七列：数据包内容，报文头的摘要信息，有 ttl、报文类型、标识值、序列、包的巨细等信息

> tcpdump host 192.168.130.151 and  192.168.130.152or192.168.130.153192.168.130.152or192.168.130.153

登录后复制

捕获主机 192.168.56.209 和主机 192.168.56.210 或 192.168.56.211 的所有通讯数据包

> tcpdump ip host node9 and not www.www.blockadm.com

登录后复制

捕获主机 node9 与其他主机之间（不包括 www.www.blockadm.com）通讯的 ip 数据包

> tcpdump ip host node9 and ! www.www.blockadm.com

登录后复制

捕获 node9 与其他所有主机的通讯数据包（不包括 www.www.blockadm.com）

> tcpdump -i ens33 src node10

登录后复制

捕获源主机 node10 发送的所有的经由 ens33 网卡的所有数据包

> tcpdump -i ens33 dst host www.www.blockadm.com

登录后复制

捕获所有发送到主机 www.www.blockadm.com 的数据包

监听主机 192.168.56.1 和 192.168.56.210 之间 ip 协议的 80 端口的且扫除 www.www.blockadm.com 通讯的所有数据包：

> tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! www.blockadm.com

登录后复制

也可以写成 tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host not www.www.blockadm.com，即 not 和！都是相同的取反的意思

> tcpdump arp

登录后复制

监控指定主机的通讯数据包与 1.9.1 方法相同

> tcpdump tcp port 22 and host 192.168.56.210

登录后复制

捕获主机 192.168.56.210 吸收和发出的 tcp 协议的 ssh 的数据包

tcpdump udp port 53

监听本机 udp 的 53 端口的数据包，udp 是 dns 协议的端口，这也是一个 dns 域名剖析的完整历程

5、常用的过滤条件

tcpdump 可以支持逻辑运算符

and: 与运算，所有的条件都需要知足，可用 “and”和 “&&” 体现

or：或运行，只要有一个条件知足就可以，可用 “or” 和“|”体现

not：取反，即取反条件，可以用 “not” 和“！”体现

> tcpdump icmp and src 192.168.100.10 -i ens33 -n

登录后复制

过滤 icmp 报文并且源 IP 是 192.168.100.10

多条件名堂

在使用多个过滤条件举行组适时，有可能需要用到括号，而括号在 shell 中是特殊符号，又需要使用引号将其包括。用括号的主要作用是逻辑运算符之间保存优先级，!>and > or, 为例条件能够准确以是需要对一些须要的组合括号括起来，而括号的意思相当于加减运算一样，括起来的内容作为一个整体举行逻辑运算。

过滤源地点是 192.168.100.1 并且目的地点是 192.168.20.20 的数据包或者 ARP 协议的包。另外，搜索公众号Linux就该这样学后台回复“Linux”，获取一份惊喜礼包。

Linux 网络抓包剖析工具

> tcpdump **src** host 192.168.10.10 -i ens33 -n -c 5

登录后复制

过滤源 IP 地点是 192.168.10.10 的包

Linux 网络抓包剖析工具

> tcpdump **dst** host 192.168.10.10 -i ens33 -n -c 5

登录后复制

过滤目的 IP 地点是 192.168.10.10 的包

Linux 网络抓包剖析工具

基于端口举行过滤

> tcpdump port 22 -i ens33 -n -c 5  
> 过滤端口号为 22 即 ssh 协议的

登录后复制
Linux 网络抓包剖析工具

>  tcpdump portrange 22-433 -i ens33 -n -c 8

登录后复制

过滤端口号 22-433 内的数据包

Linux 网络抓包剖析工具

二、wireshark

1、什么是 wireshark

Wireshark 是一个网络封包剖析软件。网络封包剖析软件的功效是捕获网络数据包，并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡举行数据报文交流

2、装置 wireshark

Linux 中有两个版本的 wireshark，一个是 wireshark，这个版本是无图形化界面，基本下令是”tshark“。

一个是 wireshark-gnome（界面版本），这个版本只能装置在支持 GUI 功效的 Linux 的版本中。

> yum -y install wireshark // 装置无图形化版本  
> yum -y install wireshark-gnome // 装置图形化版本

登录后复制
Linux 网络抓包剖析工具

注:这里的通过 yum 举行装置，需要提前做好 epel 源（即红帽操作系统特殊拓展包），装上了 EPEL 之后，就相当于添加了一个第三方源。官方的 rpm repository 提供的 rpm 包也不敷富厚，许多时间需要自己编译那太辛勤了，而 EPEL 可以解决官方 yum 源数据包不敷富厚的情形。

装置epel源

>  yum -y install epel-release

登录后复制
Linux 网络抓包剖析工具

3、tshark 下令

tshark 是 wireshark 的下令行工具  
     tshark 选项 参数  
    -i：指定捕获的网卡接口，不设置默认第一个非环回口接口  
    -D：显示所有可用的网络接口列表  
    -f：指定条件表达式，与 tcpdump 相同  
    -s：设置每个抓包的巨细，默认 65535，多于这个巨细的数据将不会不会被截取。  
    -c：捕获指定命目的数据包退却出  
    -w：后接文件名，将抓包的效果输出到. pcap 文件中，可以借助其他网络剖析工具举行分              析，也可以使用重定向 > 把解码后的输出效果以 txt 的名堂输出。  
    -p：设置网络接口以非混淆模式事情，即只体贴和本机有关的流量  
    -r：后接文件路径，用于剖析坚持好的网络包文件，好比 tcpdump 的输出文件  
    -n：榨取所有地点名字剖析，即榨取域名剖析, 默认是允许所有  
   -N：指定对某一层的地点名字剖析，若是 - n 和 - N 同时保存，则 - n 将被忽略，若是两者都不写，则会默认翻开所有地点名字剖析  
         m：代表数据链路层  
         n：代表网络层  
         t：代表传输层  
    -V：设置将解码效果的细节输出，不然解码效果仅显示一个 packet 一行的 summary  
    -t：设置效果的时间名堂  
         ad：体现带日期的绝对时间  
         a：体现不带日期的绝对时间  
         r：体现从第一个包到现在的相对时间  
         d：体现两个相邻包之间的增量时间

登录后复制

tshark -f "icmp" -i ens33 -V -c 1

登录后复制

过滤 icmp 报文，并睁开详细信息。另外，搜索公众号编程手艺圈后台回复“1024”，获取一份惊喜礼包。

tshark -f "arp" -i ens33

登录后复制

过滤 arp 报文

Linux 网络抓包剖析工具

4、图形化界面

Linux 网络抓包剖析工具

Linux 网络抓包剖析工具

Linux 网络抓包剖析工具

三、Tcpdump 和 wireshark 适用

Tcpdump 剖析报文信息没有 wireshark 详细，以是可以通过 Tcpdump 捕获数据并输出，再通过 wireshark 举行剖析，输出文件名堂为. pcap 或者其他

Linux 网络抓包剖析工具

在虚拟机上通过 wireshark 读取

Linux 网络抓包剖析工具

使用 ip.addr == [ip 地点号] 可以过滤掉无关 ip

Linux 网络抓包剖析工具

图形读取

Linux 网络抓包剖析工具

用 wireshark 直接翻开审查

总结

tcpdump 和 wireshark 两种单以抓包的功效来看，是相似的，两者的下令行的选项也是有相同，可是 tcpdump 对数据包剖析的能力不是很好，同时现在许多 Linux 内置装置了 tcpdump 这个工具，以是我们可以通过 tcpdump 把数据包抓出并存放到我们自界说的文件(.pcap)中，再通过把文件取出用 wireshark 举行剖析排障

以上就是Linux 网络抓包剖析工具的详细内容，更多请关注本网内其它相关文章！

免责说明：以上展示内容泉源于相助媒体、企业机构、网友提供或网络网络整理，版权争议与本站无关，文章涉及看法与看法不代表尊龙凯时滤油机网官方态度，请读者仅做参考。本文接待转载，转载请说明来由。若您以为本文侵占了您的版权信息，或您发明该内容有任何涉及有违公德、冒犯执法等违法信息，请您连忙联系尊龙凯时实时修正或删除。

上一篇：最全Linux下令大全，建议珍藏�。。�

下一篇：109个适用 Shell 剧本实例，代码清晰拿来就能用！

联系尊龙凯时

18523999891

可微信在线咨询

事情时间：周一至周五，9:30-18:30，节沐日休息

QR code

【网站地图】【sitemap】