linux用什么命令抓包 linux如何抓包分析数据

    在Linux中输入命令man tcpdump给出的定义如下所示：

是不是感觉很懵？我们用通俗、形象、学术的表达方式来全方位描述tcpdump:

常用选项如下所示：

1、第一个抓包示例

-i : 指定用来抓包的网络接口，这个参数在服务器有多个网卡的时候非常有效

-nn : 不转换协议和端口号，当tcpdump遇到协议号或端口号，不需要将这些数字转换为对应的协议名称或端口名称，如22端口SSH端口，我们希望显示22，而非SSH

-X : 将协议头和包内容原原本本的显示出来,tcpdump会同时以16进制和ASCII的形式进行显示，在协议分析时非常好用。

'port 22' : 告诉tcpdump要有选择的显示所抓到的包，在该示例中，只显示源端口或目的端口是22的数据包，其他的数据包则不显示。

-c : 用来指定抓包的个数，示例设置的个数为1，则代表仅抓取一个包之后就退出不再抓包了。

2、-e 增加数据链路层的头部信息

    通过两个命令的输出对比，可以看到增加-e选项后，输出的结果中增加MAC地址信息。而且在输出内容中会有 oui Unknown ，OUI即Organizationally unique identifier(组织唯一标识符)，在任何一块网卡中烧录的6字节MAC地址中，前3个字节体现了OUI，其表明了网卡的制造组织，通常情况下，该标识符是唯一的。在本例中，由于没有识别出网卡的制造商，因此显示为Unknown。

3、-l 将输出变为行缓冲模式

    -l的作用是将tcpdump的输出行为变为 行缓冲 方式，这样可以保证tcpdump遇到换行符，就立即将缓冲的内容输出到标准输出(stdout)，方便利用管道或重定向方式进行后续处理，而不会造成延迟。

    在Linux的标准I/O中提供了 全缓冲 、 行缓冲 、 无缓冲 三种缓冲方式。标准错误是不带缓冲的，而终端设备常为行缓冲，其他默认则为全缓冲。

    在该例中，将tcpdump输出的内容通过管道提取第5列，可以用来查看详细的连接信息。而如果不加 -l 选项时，则只有当缓冲区全部占满时，tcpdump才会将缓冲区中的内容输出，这样就有可能导致输出不连续的，如果强行结束，则会影响下一行的完整性。

4、-t 输出不加时间戳

    在增加选项 -t 选项后，时间23:48:03.193526就消失了。tcpdump默认情况下是按微秒来计时，因此最一个时间精确到了第6位。

5、 -v 显示详细信息

    在增加 -v 选项后，会在输出的内容中增加 tos 、 ttl 、 id 、 offset 、 协议编号 、 总长度 等，如需要理解这些信息，就需要了解TCP/IP协议中的头的具体定义了。

6、-F 指定过滤表达式所在的文件

    在第一个示例中，命令行增加了 'port 22' ，而这一项就叫 过滤条件 ，如果设置了过滤条件，则tcpdump只抓取满足过滤条件的数据包。如需要设置较为复杂的过滤条件或复用过滤条件时，这时可以将过滤条件保存为文件，然后通过-F加载该过滤文件。

7、 -w 将原始数据包信息保存到文件中

    当我们查看保存的文件时，出现的是乱码。则代表无法直接查看，很有可能是二进制文件。那么怎么查看保存的文件了？请看下一个示例。

7、 -r 从文件中读取原始数据包

    通过-w和-r选项即可实现抓包的录制回放功能。

抓包工具：

wireshark

tcpdump

Linux抓包命令tcpdump是一个抓包工具，用于抓取互联网上传输的数据包

tcpdump是一个用于截取网络分组，并输出分组内容的工具。凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具

tcpdump 支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息

#常用选项(oldboy讲解)

-i #监听哪一个网卡 -i eth0

-n #不把ip解析成主机名

-nn #不把端口解析成应用层协议

-c #指定抓包的数量

-v #输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

-vv #输出详细的报文信息。

#实例

1、默认启动

tcpdump -vv #普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

2、过滤主机

tcpdump -i eth1 host 192.168.1.1 #抓取所有经过eth1，目的或源地址是192.168.1.1的网络数据

tcpdump -i eth1 src host 192.168.1.1 #指定源地址，192.168.1.1

tcpdump -i eth1 dst host 192.168.1.1 #指定目的地址，192.168.1.1

3、过滤端口

tcpdump -i eth1 port 80 #抓取所有经过eth1，目的或源端口是80的网络数据

tcpdump -i eth1 src port 80 #指定源端口

tcpdump -i eth1 dst port 80 #指定目的端口

4、协议过滤

tcpdump -i eth1 arp

tcpdump -i eth1 ip

tcpdump -i eth1 tcp

tcpdump -i eth1 udp

tcpdump -i eth1 icmp

tcpdump -i eth1 -p icmp

#抓tcp某端口的数据包

tcpdump -i eth0 tcp port 21 -nn

5、常用表达式

非 : ! or "not" (去掉双引号)

且 : or "and"

或 : || or "or"

#抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数

tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

#抓取所有经过eth1，目标MAC地址是00:01:02:03:04:05的ICMP数据

tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

#抓取所有经过eth1，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据

tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] 扫描目标...

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的操作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。

  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。