Tcpdump on Rickyhttps://linzeyan.github.io/zh-tw/categories/tcpdump/Recent content in Tcpdump on RickyHugo -- gohugo.iozh-twThu, 05 May 2022 13:39:10 +0800Tcpdump 使用总结https://linzeyan.github.io/zh-tw/posts/2022/20220505-tcpdump/Thu, 05 May 2022 13:39:10 +0800https://linzeyan.github.io/zh-tw/posts/2022/20220505-tcpdump/<ul> <li><a href="https://markrepo.github.io/commands/2018/06/23/tcpdump/" target="_blank" rel="noopener">Tcpdump 使用总结</a></li> </ul> <h2 id="命令使用">命令使用</h2> <p>tcpdump 采用命令行方式,它的命令格式为:</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>tcpdump <span style="color:#f92672">[</span> -AdDeflLnNOpqRStuUvxX <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -c count <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -C file_size <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -F file <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -i interface <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -m module <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -M secret <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -r file <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -s snaplen <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -T type <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -w file <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -W filecount <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -E spi@ipaddr algo:secret, ... <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> -y datalinktype <span style="color:#f92672">]</span> <span style="color:#f92672">[</span> -Z user <span style="color:#f92672">]</span> </span></span><span style="display:flex;"><span> <span style="color:#f92672">[</span> expression <span style="color:#f92672">]</span> </span></span></code></pre></div><h3 id="tcpdump-的简单选项介绍">tcpdump 的简单选项介绍</h3> <ul> <li><code>-E spi@ipaddr algo:secret , ...</code>,可通过<code>spi@ipaddr algo:secret</code> 来解密 IPsec ESP 包。secret 为用于 ESP 的密钥,使用 ASCII 字符串方式表达。 如果以 <code>0x</code> 开头,该密钥将以 16 进制方式读入。 除了以上的语法格式(指<code>spi@ipaddr algo:secret</code>), 还可以在后面添加一个语法输入文件名字供 tcpdump 使用(即把 spi@ipaddr algo:secret, … 中…换成一个语法文件名)。 在接收到第一个 ESP 包时会打开此文件, 所以最好此时把赋予 tcpdump 的一些特权取消(可理解为,这样防范之后,当该文件为恶意编写时,不至于造成过大损害)。</li> <li><code>-T type</code> 强制 tcpdump 按 type 指定的协议所描述的包结构来分析收到的数据包。 目前已知的 type 可取的协议为: <ul> <li><code>aodv</code> (Ad-hoc On-demand Distance Vector protocol, 按需距离向量路由协议,在 Ad hoc(点对点模式)网络中使用),</li> <li><code>cnfp</code> (Cisco NetFlow protocol)</li> <li><code>rpc</code>(Remote Procedure Call)</li> <li><code>rtp</code> (Real-Time Applications protocol)</li> <li><code>rtcp</code> (Real-Time Applications con-trol protocol)</li> <li><code>snmp</code> (Simple Network Management Protocol)</li> <li><code>tftp</code> (Trivial File Transfer Protocol, 碎文件协议)</li> <li><code>vat</code> (Visual Audio Tool, 可用于在 internet 上进行电视电话会议的应用层协议)</li> <li><code>wb</code> (distributed White Board, 可用于网络会议的应用层协议)</li> </ul> </li> </ul> <h3 id="实用命令实例">实用命令实例</h3> <p><strong>截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信</strong></p>