簡(jiǎn)單的tcpdump抓包使用總結：抓取指定ip、指定網(wǎng)卡、指定端口的包

1.今天由于需要抓包研究網(wǎng)絡(luò )問(wèn)題，所以研究了一下抓取指定ip、指定網(wǎng)卡、指定端口的包并且輸入到文件中

2 tcpdump與Wireshark介紹

在網(wǎng)絡(luò )問(wèn)題的調試中，tcpdump應該說(shuō)是一個(gè)必不可少的工具，和大部分linux下優(yōu)秀工具一樣，它的特點(diǎn)就是簡(jiǎn)單而強大。它是基于Unix系統的命令行式的數據包****工具，可以抓取流動(dòng)在網(wǎng)卡上的數據包。

默認情況下，tcpdump不會(huì )抓取本機內部通訊的報文。根據網(wǎng)絡(luò )協(xié)議棧的規定，對于報文，即使是目的地是本機，也需要經(jīng)過(guò)本機的網(wǎng)絡(luò )協(xié)議層，所以本機通訊肯定是通過(guò)API進(jìn)入了內核，并且完成了路由選擇?！颈热绫緳C的TCP通信，也必須要socket通信的基本要素：src ip port dst ip port】

如果要使用tcpdump抓取其他主機MAC地址的數據包，必須開(kāi)啟網(wǎng)卡混雜模式，所謂混雜模式，用最簡(jiǎn)單的語(yǔ)言就是讓網(wǎng)卡抓取任何經(jīng)過(guò)它的數據包，不管這個(gè)數據包是不是發(fā)給它或者是它發(fā)出的。一般而言，Unix不會(huì )讓普通用戶(hù)設置混雜模式，因為這樣可以看到別人的信息，比如telnet的用戶(hù)名和密碼，這樣會(huì )引起一些安全上的問(wèn)題，所以只有root用戶(hù)可以開(kāi)啟混雜模式，開(kāi)啟混雜模式的命令是：ifconfig en0 promisc, en0是你要打開(kāi)混雜模式的網(wǎng)卡。

Linux抓包原理：

Linux抓包是通過(guò)注冊一種虛擬的底層網(wǎng)絡(luò )協(xié)議來(lái)完成對網(wǎng)絡(luò )報文(準確的說(shuō)是網(wǎng)絡(luò )設備)消息的處理權。當網(wǎng)卡接收到一個(gè)網(wǎng)絡(luò )報文之后，它會(huì )遍歷系統中所有已經(jīng)注冊的網(wǎng)絡(luò )協(xié)議，例如以太網(wǎng)協(xié)議、x25協(xié)議處理模塊來(lái)嘗試進(jìn)行報文的解析處理，這一點(diǎn)和一些文件系統的掛載相似，就是讓系統中所有的已經(jīng)注冊的文件系統來(lái)進(jìn)行嘗試掛載，如果哪一個(gè)認為自己可以處理，那么就完成掛載。

當抓包模塊把自己偽裝成一個(gè)網(wǎng)絡(luò )協(xié)議的時(shí)候，系統在收到報文的時(shí)候就會(huì )給這個(gè)偽協(xié)議一次機會(huì )，讓它來(lái)對網(wǎng)卡收到的報文進(jìn)行一次處理，此時(shí)該模塊就會(huì )趁機對報文進(jìn)行窺探，也就是把這個(gè)報文完完整整的復制一份，假裝是自己接收到的報文，匯報給抓包模塊。

Wireshark是一個(gè)網(wǎng)絡(luò )協(xié)議檢測工具，支持Windows平臺、Unix平臺、Mac平臺，一般只在圖形界面平臺下使用Wireshark，如果是Linux的話(huà)，直接使用tcpdump了，因為一般而言L(fǎng)inux都自帶的tcpdump，或者用tcpdump抓包以后用Wireshark打開(kāi)分析。

在Mac平臺下，Wireshark通過(guò)WinPcap進(jìn)行抓包，封裝的很好，使用起來(lái)很方便，可以很容易的制定抓包過(guò)濾器或者顯示過(guò)濾器，具體簡(jiǎn)單使用下面會(huì )介紹。Wireshark是一個(gè)免費的工具，只要google一下就能很容易找到下載的地方。

所以，tcpdump是用來(lái)抓取數據非常方便，Wireshark則是用于分析抓取到的數據比較方便。

3 tcpdump使用

3.1 語(yǔ)法

類(lèi)型的關(guān)鍵字

host(缺省類(lèi)型): 指明一臺主機，如：host 210.27.48.2

net: 指明一個(gè)網(wǎng)絡(luò )地址，如：net 202.0.0.0

port: 指明端口號，如：port 23

確定方向的關(guān)鍵字

src: src 210.27.48.2, IP包源地址是210.27.48.2

dst: dst net 202.0.0.0, 目標網(wǎng)絡(luò )地址是202.0.0.0

dst or src(缺省值)

dst and src

協(xié)議的關(guān)鍵字：缺省值是監聽(tīng)所有協(xié)議的信息包

fddi

ip

arp

rarp

tcp

udp

其他關(guān)鍵字

gateway

broadcast

less

greater

常用表達式：多條件時(shí)可以用括號，但是要用轉義

非 : ! or “not” (去掉雙引號)

且 : && or “and”

或 : || or “or”

例如我本次抓取指定ip、指定網(wǎng)卡、指定端口的包。語(yǔ)句如下：

tcpdump -i eth3 tcp port 5236 and host 172.16.24.13 -w dm.cap

tcpdump命令：

-i 指定網(wǎng)卡，本次指定eth3

port指定端口

host指定ip

-w dm.cap抓取到dm.cap文件中。

————————————————

原文鏈接：https://blog.csdn.net/DHCliaozheng/article/details/105969016