Tcpdump的使用简介

1. TCPDUMP的使用
李子
2011/04

2. 常用选项
• -w 写到文件，-r 从文件读取 通过表达式来过虑
• -c 指定多少包之后中止
• -F 从文件中读取表达式
• -i 多个网卡时，可以用于指定什么网卡
• -l 输出时行缓冲
• -n 不会将ip地址转成hostname，也就是不会进行dns查询
• -nn 不会将已知的协议转换成名称
• -s length 表明每个包的需要记录下来的大小，一般设置为0表示
全记录
• -v 输出包的详细信息，比如ttl，长度等

3. 常用选项
• -n 演示：
– sudo tcpdump -n -l | less

4. 常用选项
• -nn 演示：
– sudo tcpdump -nn -l | less

5. 表达式
• 三种限定方式进行过滤
– type : host net port portrange
• 比如: host foo, net 10.0.0.0
– dir: 传输方向，src dst and or
– proto: 协议类型，ether, fddi, tr, wlan, ip,
ip6, arp, rarp, decnet, tcp and udp.
• 其它可用
– less length: 包的长度要小于length
– greater length: 包的长度要大于length

6. 表达式
• 组合子表达式
– 通过or[||]、and[&&]与not[!]
– 有括号，需要转义
• tcpdump host helios and ( hot or ace )
• tcpdump tcp src 10.11.11.11?

7. Tcp输出分析
• 格式
– src > dst: flags data-seqno ack window urgent
options
– Flags are some combination of S (SYN), F (FIN), P
(PUSH), R (RST), W (ECNCWR) or E (ECN-Echo), or
a single ‘.’ (no flags).
– data-seqno 发送的数据序列
– Ack 下一个数据序列的起始
– Window 窗口大小

8. 示例
• Tcp 80端口中的数据
$ tcpdump tcp port 80 –s 0 –l | less

9. Wireshark分析
• $ tcpdump tcp port 80 –w a.pcap