命令介绍tcpdump命令是类Unix/Linux环境下的抓包工具。tcpdump使用命令行过滤和抓取接口的数据包。如果不带任何选项使用tcpdump,默认会抓取第一个网络接口,只有当tcpdump进程终止时才会停止抓包。[root@CentOS7-1~]#tcpdump-bash:tcpdump:commandnotfound[root@CentOS7-1~]#yuminstalltcpdump-ysyntaxformat[root@CentOS7-1~]#tcpdump--helpcpdumpversion4.9.2libpcap版本1.5.3OpenSSL1.0.2k-fips2017年1月26日用法:tcpdump[-aAbdDefhHIJKlLnNOpqStuUvxX#][-B大小][-c计数][-C文件大小][-E算法:秘密][]-F文件秒数][-iinterface][-jtstamptype][-Msecret][--number][-Q|-Pin|out|inout][-rfile][-ssnaplen][--time-stamp-precision精度][--immediate-mode][-Ttype][--version][-Vfile][-wfile][-Wfilecount][-ydatalinktype][-zpostrotate-command][-Zuser][表达式]optiondescriptionCaptureoption-c#指定要捕获的数据包个数-iinterface#指定要监听的接口-n#显式地址以数字表示-n#端口显示为一个值-N#不要打印出host的域名部分-P#指定抓包是流入包还是流出包-slen#设置抓包的数据包长度为len,默认为65535字节输出选项-e#输出每行的数据链路层包头信息-q#快速打印输出-X#输出包头数据-XX#输出包头数据-v#详细输出-vv#比-v更详细的输出-vvv#比-vv其他选项更详细的输出-D#查询可以抓包的接口-F#From读取文件中抓包的表达式-w#将抓包数据输出到文件中-r#从指定数据包文件中读取数据推荐给你:值得收藏!Linux系统常用命令速查手册所以常用的就这几个选项:抑制,使用-v或-vv在ens33上进行完整协议解码侦听,链路类型EN10MB(以太网),捕获大小262144字节08:43:32.649405IPCentOS7-1.ssh>192.168.1.93.62148:,seq1603116601:1603116813,ack87129926,win273,length21208:43:32.650284IPCentOS7-1.54879>public1.alidns.com.domain:63951+PTR?93.1.168.3.rpa43:32.679205IPpublic1.alidns.com.domain>CentOS7-1.54879:63951NXDomain0/1/0(120)08:43:32.680996IPCentOS7-1.50467>public1.alidns.com.domain:7677+0.1PTR?168.192.in-addr.arpa.(44)08:43:32.693832IP192.168.1.93.62148>CentOS7-1.ssh:Flags[.],ack212,win4101,length008:43:32.708977IPnspublic1.有效的.com.domain>CentOS7-1.50467:7677NXDomain0/1/0(121)08:43:32.709897IPCentOS7-1.54341>public1.alidns.com.domain:22823+PTR?5.5.5.223.in-addr.arpa。(40)08:43:32.710391IPCentOS7-1.ssh>192.168.1.93.62148:Flags[P.],seq212:392,ack1,win273,length18008:43:32.731500IPpublic1.alidns.com.domain>CentOS7-1.54341:228231/0/0PTRpublic1.alidns.com。(72)08:43:32.733069IPCentOS7-1.ssh>192.168.1.93.62148:Flags[P.],seq392:1260,ack1,win273,length86808:43:32.733632IP192.168.1.6283.9483.>CentOS7-1.ssh:Flags[.],ack1260,win4106,长度008:43:32.733936IPCentOS7-1.ssh>192.168.1.93.62148:Flags[P.],seq1260:1520,ack1,win273,长度26008:43:32.734278IPCentOS7-1.ssh>192.168.1.93.62148:Flags[P.],seq1520:1684,ack1,win273,长度16408:43:32.734619IP8312.9.62148>CentOS7-1.ssh:Flags[.],ack1684,win4104,长度0提取Ping数据包[root@CentOS7-1~]#tcpdump-c5-nn-iens33icmptcpdump:详细输出被抑制,使用-v或-vv获得完整保护OCOL解码在ENS33,Link-TypeEN10MB(以太网),捕获尺寸262144BYTES08:53:52.652906IP192.168.1.199>192.168.1.1.1.100>192.168.1.199:ICMPEcho回复,ID1368,SEQ1,长度6408:53:53.659034IP192.168.1.199>192.168.1.1.100:ICMPECHO请求>192.168.1.199:ICMP回声回复,ID1368,SEQ2,长度6408:53:54.667539IP192.168.1.199>192.168.1.1.1.100:ICMP回声请求,ID1368,长度645个包装件,seq3,seq3,seq3,seq3,seq3,seq3,seq3,seqcapture7packetscatpercapture7packetspacketscapture7packetscapture7packetspacketscapture7packetscapture7bykernel分析数据包[root@CentOS7-1~]#tcpdump-c2-q-XX-vvv-nn-iens33tcpdstport22tcpdump:listeningonens33,link-typeEN10MB(Ethernet),capturesize262144bytes08:55:43.606727IP(tos0x0,ttl64,id27235,偏移0,标志[DF],protoTCP(6),长度40)192.168.1.93.62148>192.168.1.100.22:tcp00x00002925626ff875a47df4ec08004500..)%bo.u.}....E.0x0010:00286a63400040064c5bc0a8015dc0a8.(jc@.@.L[...]..0x0020:0164f2c400160531cb7e5f9f94795010.d.....1.~_..yP.0x0030:1005641a0000000000000000..d...08:55:43.651422IP(tos0x0,TTL64,ID27236,Offset0,FLAGS[DF],ProtoTCP(6),LENGTH40)192.168.1.93.62148>192.168.1.100.22:TCP00x0000:000C2925626FF875A47DF4EC08004500..)%bo.u.}....E.0x0010:00286a64400040064c5ac0a8015dc0a8.(jd@.@.LZ...]..0x0020:0164f2c400160531cb7e5f9f964d.5010.....1.~_..MP.0x0030:100a62410000000000000000..bA.....2捕获的数据包3过滤器接收的数据包0内核丢弃的数据包每天学习一个Linux命令(70):dig每天学习一个Linux命令(71):traceroute
