linux－2.4 如何安装 tcpdump

安装过程参照以下步骤：

1、打开网址：www.tcpdump.org/ 下载 libpcap-1.0.0.tar.gz (512.0KB) 软件包，通过命令 tar zxvf libpcap-1.0.0.tar.gz 解压文件，并将其放入自定义的安装目录。

2、打开网址：flex.sourceforge.net/ 下载 flex-2.5.35.tar.gz (1.40MB) 软件包，通过 tar zxvf flex-2.5.35.tar.gz 解压文件，并将其放入上述自定义的安装目录中。

　 注：如果没有编译安装此文件，在编译安装libpcap时，就会出现 “configure: error: Your operating system's lex is insufficient to compile libpcap.”的错误提示。

3、打开网址：ftp.gnu.org/gnu/bison/ 下载 bison-2.4.1.tar.gz (1.9MB) 软件包，通过 tar zxvf bison-2.4.1.tar.gz 解压文件，并将其放入上述自定义的安装目录中。

　 注：如果没有编译安装此文件，在编译安装libpcap时，就会出现 "configure: WARNING: don't have both flex and bisonreverting to lex/yacc checking for capable lex... insufficient" 的错误提示。

4、打开网址：ftp.gnu.org/gnu/m4/ 下载 m4-1.4.13.tar.gz (1.2MB)软件包，通过 tar zxvf m4-1.4.13.tar.gz 解压文件，并将其放入上述自定义的安装目录中。

　 注：如果没有编译安装此文件，在编译安装bison-2.4.1时，就会出现 “configure: error: GNU M4 1.4 is required”的错误提示。

5、而后依次进入目录m4-1.4.13，bison-2.4.1，flex-2.5.35，libpcap-1.0.0 并执行以下命令：

(sudo) ./configure

(sudo) make

(sudo) make install

    在Linux中输入命令man tcpdump给出的定义如下所示：

是不是感觉很懵？我们用通俗、形象、学术的表达方式来全方位描述tcpdump:

常用选项如下所示：

1、第一个抓包示例

-i : 指定用来抓包的网络接口，这个参数在服务器有多个网卡的时候非常有效

-nn : 不转换协议和端口号，当tcpdump遇到协议号或端口号，不需要将这些数字转换为对应的协议名称或端口名称，如22端口SSH端口，我们希望显示22，而非SSH

-X : 将协议头和包内容原原本本的显示出来,tcpdump会同时以16进制和ASCII的形式进行显示，在协议分析时非常好用。

'port 22' : 告诉tcpdump要有选择的显示所抓到的包，在该示例中，只显示源端口或目的端口是22的数据包，其他的数据包则不显示。

-c : 用来指定抓包的个数，示例设置的个数为1，则代表仅抓取一个包之后就退出不再抓包了。

2、-e 增加数据链路层的头部信息

    通过两个命令的输出对比，可以看到增加-e选项后，输出的结果中增加MAC地址信息。而且在输出内容中会有 oui Unknown ，OUI即Organizationally unique identifier(组织唯一标识符)，在任何一块网卡中烧录的6字节MAC地址中，前3个字节体现了OUI，其表明了网卡的制造组织，通常情况下，该标识符是唯一的。在本例中，由于没有识别出网卡的制造商，因此显示为Unknown。

3、-l 将输出变为行缓冲模式

    -l的作用是将tcpdump的输出行为变为 行缓冲 方式，这样可以保证tcpdump遇到换行符，就立即将缓冲的内容输出到标准输出(stdout)，方便利用管道或重定向方式进行后续处理，而不会造成延迟。

    在Linux的标准I/O中提供了 全缓冲 、 行缓冲 、 无缓冲 三种缓冲方式。标准错误是不带缓冲的，而终端设备常为行缓冲，其他默认则为全缓冲。

    在该例中，将tcpdump输出的内容通过管道提取第5列，可以用来查看详细的连接信息。而如果不加 -l 选项时，则只有当缓冲区全部占满时，tcpdump才会将缓冲区中的内容输出，这样就有可能导致输出不连续的，如果强行结束，则会影响下一行的完整性。

4、-t 输出不加时间戳

    在增加选项 -t 选项后，时间23:48:03.193526就消失了。tcpdump默认情况下是按微秒来计时，因此最一个时间精确到了第6位。

5、 -v 显示详细信息

    在增加 -v 选项后，会在输出的内容中增加 tos 、 ttl 、 id 、 offset 、 协议编号 、 总长度 等，如需要理解这些信息，就需要了解TCP/IP协议中的头的具体定义了。

6、-F 指定过滤表达式所在的文件

    在第一个示例中，命令行增加了 'port 22' ，而这一项就叫 过滤条件 ，如果设置了过滤条件，则tcpdump只抓取满足过滤条件的数据包。如需要设置较为复杂的过滤条件或复用过滤条件时，这时可以将过滤条件保存为文件，然后通过-F加载该过滤文件。

7、 -w 将原始数据包信息保存到文件中

    当我们查看保存的文件时，出现的是乱码。则代表无法直接查看，很有可能是二进制文件。那么怎么查看保存的文件了？请看下一个示例。

7、 -r 从文件中读取原始数据包

    通过-w和-r选项即可实现抓包的录制回放功能。

------------------------------------tcpdump--------------------------------

协议报文分析器：

sniffer: 商业工具

tcpdump, wireshark(GUI), tshark(CLI)

tcpdump [options] 过滤条件

获取报文的条件：

ip src host 172.16.100.1

tcp src or dst port 21

udp dst port 53

tcp src or dst port 21 AND src host 172.16.100.1

tcp port 21 AND host 172.16.100.1

tcpdump的语法：

tcpdump [options] [Protocol] [Direction] [Host(s)] [Value] [Logical Operations] [Other expression]

Protocol(协议):

Values(取值): ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

If no protocol is specified, all the protocols are used.

Direction(流向):

Values(取值): src, dst, src and dst, src or dst

If no source or destination is specified, the "src or dst" keywords are applied. (默认是src or dst)

For example, "host 10.2.2.2" is equivalent to "src or dst host 10.2.2.2".

Host(s)(主机):

Values(替代关键字): net, port, host, portrange.

If no host(s) is specified, the "host" keyword is used. 默认如果此段没有指定关键字，默认即host。

For example, "src 10.1.1.1" is equivalent to "src host 10.1.1.1".

Logical Operations:

(1) and

and or &&

(2) or

or or ||

(3) except

not or !

常用选项：

-i any : 指定在哪个网卡进行抓包

-n : 不反解主机名

-nn : 不反解主机名与端口号

-X : 以16进制格式与ASCII格式显示报文

-XX : 除了显示X的内容还显示以太网首部

-v, -vv, -vvv : 显示更详细的信息

-c # : Only get x number of packets and then stop.

-s : Define the snaplength (size) of the capture in bytes. Use -s0 to get everything, unless you are intentionally capturing less.

-S : Print absolute sequence numbers.

-e : Get the ethernet header as well.

-q : Show less protocol information.

-E : Decrypt IPSEC traffic by providing an encryption key.

-A ：Display Captured Packets in ASCII

-w /path/to/some_file : Capture the packets and write into a file

-r /path/from/some_file : Reading the packets from a saved file

-tttt : Capture packets with proper readable timestamp

eg:

tcpdump -i eth0 -X -nn -vv tcp port 100

可以在报文上面看一下有无user与pass的信息.

tcpdump -i eth0 -X -nn -vv tcp port 110 and ip src 192.168.10.1

ip host 172.16.100.1

ip src host 172.16.100.1

ip dst host 172.16.100.1

ip src and dst host 172.16.100.1

---