Linux tcpdump抓包命令

1.tcpdump抓包命令

-c  指定抓取包的数量，即最后显示的数量
-i  指定tcpdump监听的端口。未指定，选择系统中最小的以配置端口。
     -i any:监听所有网络端口    -i lo:监听lookback接口。
 
-nn 对监听地址以数字方式呈现，且对端口也以数字方式呈现。如果不指定 ，地址以主机名方式呈现，端口以服务名方式呈现
-P  指定要抓取的包是流入还是流出 （in out inout[默认]）
-s  设置tcpdump的数据包抓取长度，默认为65535字节。
-e  输出的每行都包含数据链路层的头部信息。
-D  列出所有可以用于抓包的表达式。
-X  显示协议头和包的全部内容。
-F  从文件中读取抓包的表达式。

2. 使用方法，十分钟抓一次

tcpdump -i eth0  -s0 -G 600  -w %Y_%m%d_%H%M_%S.pcap 

tcpdump是对网络上的数据包进行截获的包分析工具，它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来去掉无用的信息。

2.1 监视指定主机的数据包

tcpdump host ：截获该IP的主机收到的和发出的所有的数据包
tcpdump host and ：截获两个IP对应主机之间的通信

2.2 监视指定端口的数据包

tcpdump port <端口号>：截获本机80端口的数据包

2.3 抓包分析握手过程

抓包方法：首先使用tcpdump命令截获本机与某远程主机的数据包，然后打开某远程主机对应的网站，这里用我的域名www.fonxian.cn来做试验。

ping www.baidu.com

得到域名对应的ip： 81.15.19.12

ifconfg

得到本机内网ip：104.128.10.244

-S 参数的目的是获得ack的绝对值，不加该参数，第三次握手的ack为相对值1

sudo tcpdump -S host 192.168.0.108 and 131.101.100.11

得到下图

其中 

1 S 表示是SYN 标记 客户端正准备发起一个请求
2 客户端发送的seq=3481431827
3 表示服务器接收到客户端的请求 发给客户端 ack=34814318278 同时发送SYN=421177755
4 表示客户端接受到服务器的同意连接的请求 发送确认信息 ack=421177756
5 P 表示数据传输状态
6 F 表示连接开始断开的状态
7 表示客户端主动发起断开连接的请求 seq=3481432002, ack=421180537
8 服务端发起确认请求 ack=3481432003
9 表示服务端发起断开连接的请求 seq=421180537, ack=3481432003
10 表示客户端收到服务端发送的断开连接的请求 发送确认信息 ack=421180538