linux中如何使用tcpdump查看原始数据包

共计 2518 个字符，预计需要花费 7 分钟才能阅读完成。

这篇文章给大家分享的是有关 linux 中如何使用 tcpdump 查看原始数据包的内容。丸趣 TV 小编觉得挺实用的，因此分享给大家做个参考，一起跟随丸趣 TV 小编过来看看吧。

尽管 Snort 之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色，但有时必须要查看原始数据。为此，我们最好的工具是“tcpdump”。

使用 tcpdump 的最基本方法是简单地发出以下命令：

tcpdump

您可以使用 - v 选项获得更多详细信息，而 -vv 可以获取更多信息。

有用的选项

假设您已登录到要管理的远程计算机。如果您不带任何选项运行“tcpdump”，则输出将被来自您的 SSH 连接的数据包淹没。为避免这种情况，只需从输出中消除端口 22：

tcpdump not port 22

您可以使用许多不同的端口来执行此操作：

tcpdump not port 143 and not port 25 and not port 22

如果要进行相反的操作，即仅监视某个端口（这对于调试网络应用程序非常有用），则可以执行以下操作：

tcpdump port 143

您还可以从网络上的特定主机获取数据：

tcpdump host hal9000

如果您的计算机具有多个网络接口，则还可以指定要收听的网络接口：

tcpdump -i eth2

您还可以指定协议：

tcpdump udp

您可以在 / etc / protocols 中找到协议列表。

保存输出以备后用

在某些情况下，您可能希望将输出重定向到文件，以便以后可以详细研究它或使用其他程序来解析输出。在以下示例中，您仍然可以在将输出保存到文件时观看输出：

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`

在上面的示例中，我们可以使用日期和时间来标识每个转储。在处理一天中特定时间出现的问题时，这可能会派上用场。

tcpdump还可以选择将其输出转储为二进制格式，以便以后读取。要创建一个二进制文件：

tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M`

稍后，您可以让 tcpdump 使用以下命令读取文件

tcpdump -r tcpdump_raw_YYYMMDD-H.M

您也可以使用 ethereal 程序打开原始转储并解释它。

tcpdump为我们提供了有关往返于网络的所有数据包的信息。

将 Ethereal 与 tcpdump 一起使用 Ethereal

Ethereal 是一种也可以用来捕获网络数据包的工具。安装后，您可以打开您制作的原始转储文件。

查看正在发生的事情变得相当容易。您可以看到源 IP 和目标 IP 以及它是什么类型的数据包。这很容易，然后即可对您可能遇到的网络问题进行故障排除并分析可疑行为。只是为了增加一则轶事，当我编写本课并解释自己的转储时，我在个人工作站上看到了一些奇怪的活动。我几乎每隔固定时间就查询世界上不同 IP 的机器上的端口 32772。我为端口 32772 运行了一个特定的转储，如下所示：

tcpdump port 32772 -w dump_32772

读取原始输出

如您所见，即使从 tcpdump 读取所谓的“人类可读”输出也可能有点神秘。看下面的示例，我只是从转储中选出一个随机数据包：

17:26:22.924493 IP www.linux.org.www   test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648  nop,nop,timestamp 326501459 24374272

我们所拥有的是对 https://www.linux.org/ 的 Web 服务器请求。时间戳记过后，您会在主机名（即端口 80）的末尾注意到.www。这将被发送到发出请求的主机 test.linux.org 的端口 34365。“P”代表 TCP“oush”功能。这意味着应该立即发送数据。在 2845：3739（894）之后的数字中，2845 标记第一个数据包的八位位组的编号。数字 3739 是数据包发送的最后一个字节的数字加 1。数字 894 是发送的数据包的长度。表示“ack 1624”的部分是“acknowledge”的 TCP 术语 - 表示该数据包已被接受，下一个预期的数据包编号为 1624。之后，我们看到“win 9648”发送主机正在等待窗口大小为 9648 个八位位组的数据包。这之后是时间戳。

现在，如果您认为难以解释，则使用 - x 选项，它将在十六进制输出中包含数据包内容。

18:12:45.149977 IP www.linux.org.www   test.linux.org.34536: . 1:1449(1448) ack 487 win 6432  nop,nop,timestamp 329284215 27156244  0x0000: 4500 05dc 6a81 4000 4006 493b c0a8 0006 E...j.@.@.I;.... 0x0010: c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af .....P.....G.3.. 0x0020: 8010 1920 b4d9 0000 0101 080a 13a0 7a77 ..............zw 0x0030: 019e 5f14 4854 5450 2f31 2e31 2032 3030 .._.HTTP/1.1.200 0x0040: 204f 4b0d 0a44 6174 653a 2054 6875 2c20 .OK..Date:.Thu,. 0x0050: 3135

我们可以从输出中得知这是一个 HTTP 请求。至于其余的，它不是人类可读的，但是我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是，即使我们无法完全解释此数据包的状况，也可以将其发送给可能的人。最终，这是未经任何过滤通过网络传输的原始数据。

感谢各位的阅读！关于“linux 中如何使用 tcpdump 查看原始数据包”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！