linux tcpdump - tcpdump抓包

【基本介绍】
tcpdump用来抓取数据包的进行分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。


【基本使用】



1. tcpdump的选项介绍

        -a 　　　将网络地址和广播地址转变成名字；
　　　-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
　　　-dd 　　 将匹配信息包的代码以c语言程序段的格式给出；
　　　-ddd 　　将匹配信息包的代码以十进制的形式给出；
　　　-e 　　　在输出行打印出数据链路层的头部信息；
　　　-f 　　　将外部的Internet地址以数字的形式打印出来；
　　　-l 　　　使标准输出变为缓冲行形式；
　　　-n 　　　不把网络地址转换成名字；
　　　-t 　　　在输出的每一行不打印时间戳；
　　　-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
　　　-vv 　　 输出详细的报文信息；
　　　-c 　　　在收到指定的包的数目后，tcpdump就会停止；
　　　-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
　　　-i 　　　指定监听的网络接口；
　　　-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
　　　-w 　　　直接将包写入文件中，并不分析和打印出来；
　　　-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

2. tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。

    第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23指明端口号是23。如果没有指定类型，缺省的类型是host.http://anheng.com.cn/news/24/586.html

    第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

http://anheng.com.cn/news/24/586.html    第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

例子：
    A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
　　#tcpdump host 210.27.48.1

　　B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：(在命令行中使用括号时，一定要添加'\')
　　#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

　　C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

　　D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
　　#tcpdump tcp port 23 host 210.27.48.1

　　E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
　　# tcpdump udp port 123

　　F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：
　　#tcpdump -i eth0 src host hostname

　　G 下面的命令可以监视所有送到主机hostname的数据包：
　　#tcpdump -i eth0 dst host hostname

　　H 我们还可以监视通过指定网关的数据包：
　　#tcpdump -i eth0 gateway Gatewayname

　　I 如果你还想监视编址到指定端口的TCP或UDP数据包，那么执行以下命令：
　　#tcpdump -i eth0 host hostname and port 80

　　J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

　　K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：
　　#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

　　L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

　　M 如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
　　#tcpdump tcp port 23 host 210.27.48.1


【参考】
http://www.cnblogs.com/yc_sunniwell/archive/2010/07/05/1771563.html