Linux tcpdump抓包转Wireshark 分析

简介

tcpdump 是Linux系统下的一个强大的命令，可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，本文将展示如何使用 tcpdump 抓包，以及如何用 tcpdump 和 wireshark 分析网络流量

tcpdump指令介绍

语法

tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
               [ -Q|-P in|out|inout ]
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
               [ expression ]

命令行参数解析

• -A 以ASCII格式打印出所有分组，并将链路层的头最小化。
• -c 在收到指定的数量的分组后，tcpdump就会停止。
• -C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size
• 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size
• 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。
• -d 将匹配信息包的代码以人们能够理解的汇编格式给出。
• -dd 将匹配信息包的代码以c语言程序段的格式给出。
• -ddd 将匹配信息包的代码以十进制的形式给出。
• -D 打印出系统中所有可以用tcpdump截包的网络接口。
• -e 在输出行打印出数据链路层的头部信息。
• -E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。
• -f 将外部的Internet地址以数字的形式打印出来。
• -F 从指定的文件中读取表达式，忽略命令行中给出的表达式。
• -i 指定监听的网络接口。
• -l 使标准输出变为缓冲行形式。
• -L 列出网络接口的已知数据链路。
• -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。
• -M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。
• -n 不把网络地址转换成名字。
• -N 不输出主机名中的域名部分。例如，link.linux265.com 只输出link。
• -t 在输出的每一行不打印时间戳。
• -O 不运行分组分组匹配（packet-matching）代码优化程序。
• -P 不将网络接口设置成混杂模式。
• -q 快速输出。只输出较少的协议信息。
• -r 从指定的文件中读取包(这些包一般通过-w选项产生)。
• -S 将tcp的序列号以绝对值形式输出，而不是相对值。
• -s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。
• -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。
• -t 不在每一行中输出时间戳。
• -tt 在每一行中输出非格式化的时间戳。
• -ttt 输出本行和前面一行之间的时间差。
• -tttt 在每一行中输出由date处理的默认格式的时间戳。
• -u 输出未解码的NFS句柄。
• -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。
• -vv 输出详细的报文信息。
• -w 直接将分组写入文件中，而不是不分析并打印出来。
• -x 以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.
• -xx 以16进制数形式显示每一个报文（包含链路层包头）。
• -X 以16进制和ASCII码形式显示每个报文（去掉链路层报头）。
• -XX 以16进制和ASCII吗形式显示每个报文（包含链路层报头）。
• -y 设置tcpdump 捕获数据链路层协议类型
• -Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID

常用选项参数

-c：收到指定的数据包数目后，就停止进行抓取；
 
-w：把数据包数据写入指定的文件。
 
-e：输出链路层头部信息；
 
-i：指定抓取的网卡，默认是0号网络接口,any表示所有接口
 
-nn：不解析IP地址和端口号的名称；
 
-tttt：在每一行中输出由date处理的默认格式的时间戳；
 
-v：详细显示指令执行过程；
 
-vv：更详细显示指令执行过程；
 
-x：用十六进制字码列出数据包资料；

tcpdump 命令使用示例

linux系统下执行tcpdump命令需要root账号或者具备sudo权限的账号，否则执行tcpdump命令说，系统会提示tcpdump: no suitable device found。

在下面的例子中，-i eth0 参数表示只抓取 eth0 接口数据包，不加-i eth0 是表示抓取所有的接口包括 lo。

01、抓取所有网络包，并在terminal中显示抓取的结果，将包以十六进制的形式显示。

tcpdump

02、抓取所有的网络包，并存到 result.cap 文件中。

tcpdump -w result.pcap

03、抓取所有的经过eth0网卡的网络包，并存到result.cap 文件中。

tcpdump -i eth0 -w result.pcap

04、抓取源地址是192.168.1.100的包，并将结果保存到 result.cap 文件中。

tcpdump src host 192.168.1.100 -w result.pcap

05、抓取地址包含是192.168.1.100的包，并将结果保存到 result.cap 文件中。

tcpdump host 192.168.1.100 -w result.pcap

06、抓取目的地址包含是192.168.1.100的包，并将结果保存到 result.cap 文件中。

tcpdump dest host 192.168.1.100 -w result.pcap

07、抓取主机地址为 192.168.1.100 的数据包

tcpdump -i eth0 -vnn host 192.168.1.100

08、抓取包含192.168.1.0/24网段的数据包

tcpdump -i eth0 -vnn net 192.168.1.0/24

09、抓取网卡eth0上所有包含端口22的数据包

tcpdump -i eth0 -vnn port 22

10、抓取指定协议格式的数据包，协议格式可以是「udp,icmp,arp,ip」中的任何一种,例如以下命令：

tcpdump udp  -i eth0 -vnn

11、抓取经过 eth0 网卡的源 ip 是 192.168.1.100 数据包，src参数表示源。

tcpdump -i eth0 -vnn src host 192.168.1.100

12、抓取经过 eth0 网卡目的 ip 是 192.168.1.100 数据包，dst参数表示目的。

tcpdump -i eth0 -vnn dst host 192.168.1.100

13、抓取源端口是22的数据包

tcpdump -i eth0 -vnn src port 22

14、抓取源ip是 192.168.1.100 且目的ip端口是22的数据包

tcpdump -i eth0 -vnn src host 192.168.1.100 and dst port 22

15、抓取源ip``192.168.1.100``22

tcpdump -i eth0 -vnn src host 192.168.1.100 or port 22

16、抓取源ip``192.168.1.100``22

tcpdump -i eth0 -vnn src host 192.168.1.100 and not port 22

17、抓取源ip是192.168.1.100且目的端口是22，或源ip是192.168.1.102且目的端口是80的数据包。

tcpdump -i eth0 -vnn ( src host 192.168.1.100 and dst port 22 ) or ( src host 192.168.1.102 and dst port 80 )

18、把抓取的数据包记录存到/tmp/result文件中，当抓取100个数据包后就退出程序。

tcpdump --i eth0 -vnn -w /tmp/result -c 100

19、从/tmp/result记录中读取tcp协议的数据包

tcpdump -i eth0  tcp  -vnn -r /tmp/result

20、想要截获所有192.168.1.100的主机收到的和发出的所有的数据包：

tcpdump host 192.168.1.100

21、如果想要获取主机192.168.1.100除了和主机192.168.1.101之外所有主机通信的ip包，使用命令：

tcpdump ip host 192.168.1.100 and ! 192.168.1.101

22、如果想要获取主机 192.168.1.100 接收或发出的 telnet 包，使用如下命令：

tcpdump tcp port 23 host 192.168.1.100

Wireshark 分析

说了这么多，你应该也发现了，tcpdump 虽然功能强大，但是输出的格式并不直观。

所以，在工作中 tcpdump 只是用来抓取数据包，不用来分析数据包，而是把 tcpdump 抓取的数据包保存成 pcap 后缀的文件，接着用 Wireshark 工具进行数据包分析。

Wireshark 除了可以抓包外，还提供了可视化分析网络包的图形页面，同时，还内置了一系列的汇总分析工具。

比如，拿上面的 ping 例子来说，我们可以使用下面的命令，把抓取的数据包保存到 ping.pcap 文件

tcpdump -c 10 host 39.156.66.10 -w ping.pcap

接着把 ping.pcap 文件拖到电脑，再用 Wireshark 打开它。打开后，你就可以看到下面这个界面：

是吧？在 Wireshark 的页面里，可以更加直观的分析数据包，不仅展示各个网络包的头部信息，还会用不同的颜色来区分不同的协议，由于这次抓包只有 ICMP 协议，所以只有紫色的条目。

接着，在网络包列表中选择某一个网络包后，在其下面的网络包详情中，可以更清楚的看到，这个网络包在协议栈各层的详细信息。