橘子味的心
标题:Linux shell tcpdump 命令

Linux shell tcpdump 命令用于截取网络传输数据。

tcpdump 命令可列出经过指定网络界面的数据包文件头,

权限

Linux 只有系统管理员(root) 可使用该命令

安装 tcpdump

CentOS

yum install tcpdump

tcpdump 命令语法格式

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

选项说明

-a
尝试将网络和广播地址转换成名称。
-c<数据包数目>
收到指定的数据包数目后,就停止进行倾倒操作。
-d
把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd
把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd
把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e
在每列倾倒资料上显示连接层级的文件头。
-f
用数字显示网际网络地址。
-F<表达文件>
指定内含表达方式的文件。
-i<网络界面>
使用指定的网络截面送出数据包。
-l
使用标准输出列的缓冲区。
-n
不把主机的网络地址转换成名字。
-N
不列出域名。
-O
不将数据包编码最佳化。
-p
不让网络界面进入混杂模式。
-q
快速输出,仅列出少数的传输协议信息。
-r<数据包文件>
从指定的文件读取数据包数据。
-s<数据包大小>
设置每个数据包的大小。
-S
用绝对而非相对数值列出TCP关联数。
-t
在每列倾倒资料上不显示时间戳记。
-tt
在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型>
强制将表达方式所指定的数据包转译成设置的数据包类型。
-v
详细显示指令执行过程。
-vv
更详细显示指令执行过程。
-x
用十六进制字码列出数据包资料。
-w<数据包文件>
把数据包数据写入指定的文件。

范例

范例 1 : 显示 TCP 包信息

可以使用 CTRL + C 键停止查看

[root@localhost ~] tcpdump
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
15:59:03.147237 IP 192.168.0.100.63938 > ss3.baidu.com.https: Flags [.], ack 2225550637, win 8191, length 0
15:59:03.147275 IP 192.168.0.100.63936 > ss3.baidu.com.https: Flags [.], ack 847992966, win 8191, length 0
15:59:03.147293 IP 192.168.0.100.63935 > ss3.baidu.com.https: Flags [.], ack 1911535549, win 8191, length 0
15:59:03.147309 IP 192.168.0.100.63934 > ss3.baidu.com.https: Flags [.], ack 344694440, win 8191, length 0
15:59:03.147326 IP 192.168.0.100.63932 > ss3.baidu.com.https: Flags [.], ack 835399939, win 8191, length 0
15:59:03.147345 IP 192.168.0.100.63917 > ss3.baidu.com.https: Flags [.], ack 1285793708, win 8191, length 0
15:59:03.147362 IP 192.168.0.100.63916 > ss3.baidu.com.https: Flags [.], ack 3689279037, win 8191, length 0
15:59:03.147442 IP 192.168.0.100.63906 > ss3.bdstatic.com.https: Flags [.], ack 1143328400, win 8191, length 0
15:59:03.147451 IP 192.168.0.100.63902 > ss3.baidu.com.https: Flags [.], ack 3888417184, win 8191, length 0
15:59:03.147458 IP 192.168.0.100.63900 > ss3.baidu.com.https: Flags [.], ack 1788666849, win 8191, length 0
15:59:03.147464 IP 192.168.0.100.63899 > ss3.baidu.com.https: Flags [.], ack 1048628424, win 8191, length 0
15:59:03.159930 IP 192.168.0.100.50168 > 192.168.0.1.domain: 49093+ PTR? 33.232.27.117.in-addr.arpa. (44)
15:59:03.162843 IP 192.168.0.1.domain > 192.168.0.100.50168: 49093- 1/0/0 PTR ss3.baidu.com. (71)
15:59:03.165137 IP 192.168.0.100.64187 > 192.168.0.1.domain: 43305+ PTR? 32.232.27.117.in-addr.arpa. (44)
15:59:03.166981 IP 192.168.0.1.domain > 192.168.0.100.64187: 43305- 1/0/0 PTR ss3.bdstatic.com. (74)
15:59:03.168857 IP 192.168.0.100.57874 > 192.168.0.1.domain: 22302+ PTR? 1.0.168.192.in-addr.arpa. (42)
15:59:03.175854 IP 192.168.0.1.domain > 192.168.0.100.57874: 22302 NXDomain* 0/1/0 (97)
                           # 使用 CTRL+C 键停滞截取
17 packets captured
17 packets received by filter
0 packets dropped by kernel

范例 2 : 显示指定数量包

[root@localhost ~]# tcpdump -c 20
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
16:01:54.697128 IP 192.168.0.100.63898 > sp2.baidu.com.https: Flags [F.], seq 3772476688, ack 706884430, win 8192, length 0
16:01:54.699473 IP 192.168.0.100.52637 > 192.168.0.1.domain: 33645+ PTR? 38.177.215.14.in-addr.arpa. (44)
16:01:54.702037 IP 192.168.0.1.domain > 192.168.0.100.52637: 33645- 1/0/0 PTR sp2.baidu.com. (71)
16:01:55.059621 IP 192.168.0.104 > 224.0.0.252: igmp v2 report 224.0.0.252
16:01:55.060462 IP 192.168.0.100.60801 > 192.168.0.1.domain: 39409+ PTR? 104.0.168.192.in-addr.arpa. (44)
16:01:55.066798 IP 192.168.0.1.domain > 192.168.0.100.60801: 39409 NXDomain* 0/1/0 (99)
16:01:55.068021 IP 192.168.0.100.49476 > 192.168.0.1.domain: 23192+ PTR? 252.0.0.224.in-addr.arpa. (42)
16:01:55.076004 IP 192.168.0.1.domain > 192.168.0.100.49476: 23192 NXDomain* 0/1/0 (99)
16:01:55.572104 IP 192.168.0.104 > 239.255.255.250: igmp v2 report 239.255.255.250
16:01:55.572116 IP ans.oobesaas.adobe.com.https > 192.168.0.100.63851: Flags [P.], seq 2099433628:2099434278, ack 3121166937, win 129, options [nop,nop,TS val 210966678 ecr 753496474], length 650
10 packets captured
19 packets received by filter
0 packets dropped by kernel

范例 3 : 精简显示

[root@localhost]# tcpdump -c 5 -q
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
16:03:12.452768 IP 192.168.0.100.64007 > sp2.baidu.com.https: tcp 0
16:03:12.512161 IP 192.168.0.100.64006 > ss3.baidu.com.https: tcp 0
16:03:12.512264 IP 192.168.0.100.63988 > ss3.baidu.com.https: tcp 0
16:03:12.512305 IP 192.168.0.100.63976 > ss3.baidu.com.https: tcp 0
16:03:12.512323 IP 192.168.0.100.63965 > ss3.baidu.com.https: tcp 0
5 packets captured
5 packets received by filter
0 packets dropped by kernel

范例 4 : 转换克阅读格式

[root@localhost]# tcpdump -d    
(000) ret   #96

转换成十进制格式

[root@localhost]# tcpdump -ddd
1
6 0 0 96

返回上一级

目录

分类