Linux下的抓包工具使用介绍

应用层

传输层

网络层

数据链路层

物理层

1）tcpdump（传输／网络层）

tcpdump -i eth0

tcpdump -i eth0 -vnn

-v：显示包含有TTL，TOS值等等更详细的信息

-n：不要做IP解析为主机名

-nn：不做名字解析和端口解析

更有针对性的抓包：

针对IP，网段，端口，协议

tcpdump -i eth0 -vnn host 192.168.0.154		--主机地址里边只要包含地址有：192.168.0.154
tcpdump -i eth0 -vnn net 192.168.0.0/24		--抓取一个网段数据包
tcpdump -i eth0 -vnn port 22 
tcpdump -i eth0 -vnn  udp
tcpdump -i eth0 -vnn icmp
tcpdump -i eth0 -vnn arp
tcpdump -i eth0 -vnn ip

tcpdump -i eth0 -vnn src host 192.168.0.154
tcpdump -i eth0 -vnn dst host 192.168.0.154
tcpdump -i eth0 -vnn src port 22
tcpdump -i eth0 -vnn src host 192.168.0.253 and dst port 22
                 
tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22
tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22 

2）wireshark

wireshark（windows sniffer）

抓取网络数据包并进行逐层分解的协议分析软件

yum -y install wireshark-gnome wireshark

抓捉包操作：

１、在图形界面下执行wireshark &

２、指定抓包的网卡

３、执行数据包的抓取/或者指定过滤规则抓包

４、查看抓包的信息

3）iptraf

IPTraf 是一个基于控制台的网络监视工具，主要用于收集 TCP 连接包和字节计数、接口统计和活动指示、TCP/UDP 交通分析、以及 LAN 站点包和字节计数之类的数据。

IPTraf 的功能包括：

1.一个显示 TCP 标志信息、包和字节计数、ICMP 细节、OSPF 包类型、以及超大 IP包警告的 IP 通信监视器

2.显示 IP、TCP、UDP、ICMP、非 IP 及其它 IP 包计数，IP 查验值错误，界面接口活动及包大小计数的接口统计

3.一个为公用 TCP 和 UDP 程序端口显示进入和出去的包计数的 TCP 和 UDP 服务监视器

4.一个发现活跃主机并显示它们的活动统计的 LAN 统计模块

5.TCP、UDP 和其它协议显示过滤器(因而您可以只查看您想看的通信数据)

6.记录日志

7.对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持

8.对 Linux内核的内建原始套接字界面的利用，因而它能够在类型广泛的被支持的网卡上使用

安装：

yum -y install iptraf

使用：

1)按IP数据连接查看eth0网卡中的数据通信情况

iptraf -i eth0

2)按不同网络接口查看系统中的总体数据通信情况

iptraf -g

3)按TCP、UDP协议分别查看数据通信情况

iptraf s eth0

4)按数据包大小查看eth0网卡中的数据通信情况

iptraf z eth0

5)查看eth0网卡中各类网络通信数据的详细统计信息，并写入到日志文件

iptraf -d eth0 -L /var/log/iptraf/traflog.eth0