Tcpdump相关参数:修订间差异

来自三线的随记
无编辑摘要
无编辑摘要
 
第71行: 第71行:


==== 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据 ====
==== 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据 ====
<nowiki>#</nowiki> tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
<nowiki># tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'</nowiki>


==== 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据 ====
==== 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据 ====
<nowiki>#</nowiki> tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
<nowiki># tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'</nowiki>


==== 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据 ====
==== 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据 ====
<nowiki>#</nowiki> tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
<nowiki># tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'</nowiki>


==== 只抓 SYN 包 ====
==== 只抓 SYN 包 ====
<nowiki>#</nowiki> tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
<nowiki># tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'</nowiki>


==== 抓 SYN, ACK ====
==== 抓 SYN, ACK ====
<nowiki>#</nowiki> tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
<nowiki># tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' </nowiki>
 
==== 结合tcp会话状态过滤报文(在wireshark中过滤使用) ====
参考: https://juejin.cn/post/7108685813424390152
tcp.completeness


==== 抓 SMTP 数据 ====
==== 抓 SMTP 数据 ====
第93行: 第97行:
"GET "的十六进制是 47455420
"GET "的十六进制是 47455420


<nowiki>#</nowiki> tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
<nowiki># tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'</nowiki>


==== 抓 SSH 返回 ====
==== 抓 SSH 返回 ====
<nowiki>#</nowiki> tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
<nowiki># tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'</nowiki>


"SSH-"的十六进制是 0x5353482D
"SSH-"的十六进制是 0x5353482D
第102行: 第106行:
抓老版本的 SSH 返回信息,如"SSH-1.99.."
抓老版本的 SSH 返回信息,如"SSH-1.99.."


<nowiki>#</nowiki> tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'   
<nowiki># tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'  </nowiki>


==== 抓 DNS 请求数据 ====
==== 抓 DNS 请求数据 ====
<nowiki>#</nowiki> tcpdump -i eth1 udp dst port 53
<nowiki># tcpdump -i eth1 udp dst port 53</nowiki>


-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是
-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是
第111行: 第115行:
抓的太多,于是可以用-c 参数指定抓多少个包。
抓的太多,于是可以用-c 参数指定抓多少个包。


<nowiki>#</nowiki> time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
<nowiki># time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null </nowiki>


上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。
上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。

2024年8月29日 (四) 01:34的最新版本

常用过滤参数

过滤主机

抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据

# tcpdump -i eth1 host 192.168.1.1

源地址

# tcpdump -i eth1 src host 192.168.1.1

目的地址

# tcpdump -i eth1 dst host 192.168.1.1

过滤端口

- 抓取所有经过 eth1,目的或源端口是 25 的网络数据

# tcpdump -i eth1 port 25

源端口

# tcpdump -i eth1 src port 25

目的端口

# tcpdump -i eth1 dst port 25网络过滤

过滤网络(CIDR)

# tcpdump -i eth1 net 192.168

源网络

# tcpdump -i eth1 src net 192.168

目的网络

# tcpdump -i eth1 dst net 192.168

协议过滤

# tcpdump -i eth1 arp

# tcpdump -i eth1 ip

# tcpdump -i eth1 tcp

# tcpdump -i eth1 udp

# tcpdump -i eth1 icmp

vxlan

vni: VXLAN在VXLAN帧头中引入了类似VLAN ID的网络标识,称为VXLAN网络标识VNI(VXLAN Network ID)

# 抓取所有vxlan流量
tcpdump -i eth0 -nnvv "udp[8:2]=0x0800 & 0x0800
# 抓取vni 299976的所有流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF'
# arp流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0806 & 0x0806'
# ip流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800'
# 抓取icmp流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[39:1] = 0x01 & 0x01'
# 过滤ip源地址 172.16.7.223(0xac1007df)
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[42:4] = 0xac1007df'
# 过滤ip目的地址 172.16.7.219(0xac1007db)
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[46:4] = 0xac1007db'

常用组合表达式

非 : ! or "not" (去掉双引号)

且 : && or "and"

或 : || or "or"

抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' 

结合tcp会话状态过滤报文(在wireshark中过滤使用)

参考: https://juejin.cn/post/7108685813424390152

tcp.completeness

抓 SMTP 数据

抓取数据区开始为"MAIL"的包,"MAIL"的十六进制为 0x4d41494c

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓 HTTP GET 数据

"GET "的十六进制是 47455420

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

抓 SSH 返回

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

"SSH-"的十六进制是 0x5353482D

抓老版本的 SSH 返回信息,如"SSH-1.99.."

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'  

抓 DNS 请求数据

# tcpdump -i eth1 udp dst port 53

-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是

抓的太多,于是可以用-c 参数指定抓多少个包。

# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null 

上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。

实时抓取端口号8000的GET包,然后写入GET.log

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log


参考:https://blog.csdn.net/nanyun2010/article/details/23445223