一般情况下linux系统会自带tcpdump工具,如果系统没有安装,直接用命令安装就行了。

安装命令:yum install -ytcpdump
OK.png
查看安装版本命令:tcpdump --help
W.png
查看网卡命令:
4.png
知道了网卡,就可以使用tcpdump工具针对服务器上的网卡监控、过滤网络数据。

tcpdump的选项

  • -a —— 将网络地址和广播地址转变成名字
  • -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出
  • -dd —— 将匹配信息包的代码以c语言程序段的格式给出
  • -ddd —— 将匹配信息包的代码以十进制的形式给出
  • -e —— 在输出行打印出数据链路层的头部信息
  • -f —— 将外部的Internet地址以数字的形式打印出来
  • -l —— 使标准输出变为缓冲行形式
  • -n —— 不把网络地址转换成名字
  • -t —— 在输出的每一行不打印时间戳
  • -v —— 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
  • -vv —— 输出详细的报文信息
  • -c —— 在收到指定的包的数目后,tcpdump就会停止
  • -F —— 从指定的文件中读取表达式,忽略其它的表达式
  • -i —— 指定监听的网络接口
  • -r —— 从指定的文件中读取包(这些包一般通过-w选项产生)
  • -w —— 直接将包写入文件中,并不分析和打印出来
  • -T —— 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议)

tcpdump常用命令:

抓取所有经过 eth0,目的或源地址是 192.168.29.162 的网络数据

命令:tcpdump -n -i eth0 host 192.168.29.162

源地址

命令:tcpdump -i eth1 src host 192.168.29.162

目的地址

命令:tcpdump -i eth1 dst host 192.168.29.162

抓取当前服务器eth0网卡端口8080的网络数据

命令:tcpdump -n -i eth0 port 8080

抓取mysql执行的sql语句

命令:tcpdump -i eth1 -s 0 -l -w - dst port3306 | strings

抓取mysql通讯的网络包(cap用wireshark打开)

命令:tcpdump -n -nn -tttt -i eth0 -s 65535'port 3306' -w 20160505mysql.cap

抓取SMTP 数据

命令:tcpdump -i eth1 'tcp[tcpflags] &tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'

抓取HTTP GET数据,"GET "的十六进制是 47455420

命令:tcpdump -i eth1'tcp[(tcp[12]>>2):4] = 0x47455420'

抓取SSH返回,"SSH-"的十六进制是 0x5353482D

命令:tcpdump -i eth1'tcp[(tcp[12]>>2):4] = 0x5353482D'

实时抓取端口号8080的GET包,然后写入GET.log

命令:tcpdump -i eth0 '((port 8080) and(tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

抓取指定SYN个数,-c 参数指定抓多少个包。

命令:time tcpdump -nn -i eth0 'tcp[tcpflags]= tcp-syn' -c 10