tcpdump是信息安全行业最好的网络分析工具.docVIP

tcpdump是信息安全行业最好的网络分析工具，希望全面理解tcp/ip的人必须要很好的掌握它。很多人喜欢用更高层的分析工具如Wireshark，但我认为这是不对的。 对tcp/ip要理解贯通而不是死记硬背，全面的理解协议可以让你排查问题的水平远远超出一般的分析员，但要再更加精通协议的话唯一的方式就是不断的去接触它。 通过人来分析协议比应用程序更自然，且能提高对协议的理解，所以我建议用tcpdump。 选项 下面是一些选项(有例子)，对你使用tcpdump有很大的帮助。这些选项很容易被忘记或与其他工具混淆，所以希望这篇文章能作为你的手册(我就是拿它当手册用的)。 根据正在观察的内容来给tcpdump命令加选项 首先加一个-n,不解析域名，总是显示IP。 第二个是-X,以16进制和ascii格式显示包。 最后是-S,显示绝对的,而不是相对的TCP序列号(有利于发现异常)。 用tcpdump的好处是可以与数据包进行人工交互。 tcpdump默认只抓取一个包的前68或96个字节，如果要查看更多内容，需要加-s number选项，下面是我最常用的选项: -i any : 监听所有接口， -n : 不解析主机名 -nn : 不解析主机名和端口名 -X : 以16进制和ascii格式显示包 -XX : 和-X一样，但会显示以太网头 -v, -vv, -vvv : 获取包含信息量更多的包 -c : 获取指定数量的包，达到该数量后tcpdump停止 -S : 显示绝对序列号 -e : 获取以太网头 -q : 显示少量的协议信息 -E : 通过密钥来解密IPSEC交互 -s : 设置snaplength(snaplength是抓取的字节数) tcpdump 4.0已经将默认的snaplength从68字节改成96字节，可以返回更多的信息，但仍然不是全部。 一些基本用法 现在我根据想得到的交互种类，来采用不同的选项组合，如下所示: 1.基本信息 // 用很少的选项查看简要信息 tcpdump -nS 2.基本信息(非常冗长) // 查看大量交互，很冗长且没有名词解释 tcpdump -nnvvS 3.交互的深入观察 // 为减小负载增加-X选项,但不会抓取包的更多信息 tcpdump -nnvvXS 4.整包浏览 //s增加snaplength，抓取整个包 tcpdump -nnvvXSs 1514 这里用下图所示选项抓了两个ICMP包(ping和pong)，注意一下我们对每一个包能了解多少。 表达式 表达式可以使你过滤掉各种类型的交互来准确找出你想要的。掌握表达式并且学习将它们创造性的结合起来能使你真正发挥出tcpdump的强大。有三种主要的表达式:type,dir,和proto。 Type选项包括host,net和port。dir选项指明传输方向，包括src,dst,src或dst,src和dst。这些你必须要确保非常熟悉: - host // 根据ip地址查询交互(不用-n也能根据主机名查询交互) # tcpdump host 1.2.3.4 - src,dst // 找出指定源地址或目的地址的交互 # tcpdump src 2.3.4.5 # tcpdump dst 3.4.5.6 - net // 根据网络号抓取整个网络 # tcpdump net 1.2.3.0/24 - proto // 工作在tcp,udp,和icmp。注意你不用必须输入proto。 # tcpdump icmp - port // 查看经过指定端口的交互 # tcpdump port 3389 - src,dst port // 找出指定源端口或目的端口的交互 # tcpdump src port 1025 # tcpdump dst port 389 - src/dst, port, protocol // 将三个联合在一起 # tcpdump src port 1025 and tcp # tcpdump udp and src port 53 你也可以用选项来找出多个端口而不用一一指定，也可以仅查看大于或小于某一字节大小的包。 - Port Ranges // 查看经过范围内端口的交互 tcpdump portrange 21-23 - Packet Size Filter // 查看大于或小于某一字节大小的包 tcpdump less 32 tcpdump greater 128 也可以用符号来代替 tcpdump 32 tcpdump = 128 写到一个文件 tcpdump用-w选项可以将抓到的内容存入文件，再用-r选项读回来，这个功能非常好，可以抓取原始交互之后再用其他工具运行它。 以这种方式抓取到的交互会存成tcpdump格式的文件，现在网络