Linuxtcpdump抓包

　　今天聊聊抓包吧，毕竟也是需要用到的。其实mantcpdump已经很全面了。我这里仅仅简单举例。今天不谈其他的抓包工具比如tsharkorwireshark
　　复习的原因，客户反馈有rst情况，那就抓包吧直接tcpdump
　　放后台抓包命令如下：
　　tcpdumpianytcp〔tcpflags〕tcprst！0wabc。pcap
　　读取文件tcpdumprabc。pcaptcpdumprabc。pcapreadingfromPCAPNGfileabc。pcap18：03：26。075862IP192。168。31。239。49152192。168。31。92。63655：Flags〔R〕，seq2304773203，win0，length018：03：44。493833IPtsa01s09inf10。1e100。net。https192。168。31。92。64055：Flags〔R〕，seq4293862520，win0，length018：03：45。010709IPtsa01s09inf10。1e100。net。https192。168。31。92。64056：Flags〔R〕，seq3606198384，win0，length018：04：03。281209IPtsa01s09inf10。1e100。net。https192。168。31。92。64054：Flags〔R〕，seq3764652670，win0，length018：04：04。477276IPtsa01s09inf10。1e100。net。https192。168。31。92。64057：Flags〔R〕，seq3262442809，win0，length018：04：15。102509IPtsa01s09inf10。1e100。net。https192。168。31。92。64064：Flags〔R〕，seq4156919088，win0，length018：04：15。164990IPtsa01s09inf10。1e100。net。https192。168。31。92。64065：Flags〔R〕，seq4137319441，win0，length018：04：22。431280IPtsa01s09inf10。1e100。net。https192。168。31。92。64062：Flags〔R〕，seq136333647，win0，length018：04：23。556760IPtsa01s09inf10。1e100。net。https192。168。31。92。64063：Flags〔R〕，seq3908194171，win0，length0
　　tcpdumprabc。pcaptcp〔tcpflags〕（tcprst）！0
　　tcpdumptcp〔tcpflags〕（tcpsyntcpfin）！0andnotsrcanddstnetlocalnet
　　tcpdumptcp〔tcpflags〕（tcprst）！0
　　tcpdumpianytcp〔tcpflags〕tcprst！0
　　一些帮助
　　CapturingTCPpacketswithparticularflagcombinations（SYNACK，URGACK，etc。）
　　Thereare8bitsinthecontrolbitssectionoftheTCPheader：
　　CWRECEURGACKPSHRSTSYNFIN
　　Someoffsetsandfieldvaluesmaybeexpressedasnamesratherthanasnumericvalues。Forexampletcp〔13〕maybereplacedwithtcp〔tcpflags〕。
　　ThefollowingTCPflagfieldvaluesarealsoavailable：tcpfin，tcpsyn，tcprst，tcppush，tcpact，tcpurg。
　　Thiscanbedemonstratedas：
　　tcpdumpixl0tcp〔tcpflags〕tcppush！0
　　tcpdumpD命令列出可以抓包的网络接口
　　特殊接口any可用于抓取所有活动的网络接口的数据包
　　D
　　listinterfaces
　　tcpdumpipktap，lo0，en
　　Aninterfaceargumentofallorpktap，allcanbeusedtocapturepacketsfromallinterfaces，includingloopbackandtunnel
　　interfaces。
　　c选项可以用于限制tcpdump抓包的数量
　　nn选项显示端口号如果想要抓域名不要使用这个【通常在网络故障排查中，使用IP地址和端口号更便于分析问题；用n选项显示IP地址，nn选项显示端口号】
　　使用w选项来保存数据包而不是在屏幕上显示出抓取的数据包，后缀名pcap表示文件是抓取的数据包格式
　　wfile将原始数据包写入文件，而不是解析并打印出来。以后可以使用r选项打印它们。如果文件为，则使用标准输出。
　　r选项参数来阅读该文件中的报文内容
　　host参数只抓取和特定主机相关的数据包
　　可以根据服务类型或者端口号来筛选数据包。例如，抓取和HTTPS服务器相关的数据包
　　dst就是按目的IP主机名来筛选数据包
　　用多条件组合来筛选数据包，使用and以及or逻辑操作符来创建过滤规则
　　tcpdump提供了两个选项可以查看数据包内容，X以十六进制打印出数据报文内容，A打印数据报文的ASCII值
　　【Printeachpacket（minusitslinklevelheader）inASCII。Handyforcapturingwebpages。】
　　tcpdumphost180。97。125。228andport443A
　　tcpdumpianyport443
　　tcpdumpXXien0vvport80andhostweibo。com
　　XXWhenparsingandprinting，inadditiontoprintingtheheadersofeachpacket，printthedataofeachpacket，includingitslinklevel
　　header，inhexandASCII。
　　XX在解析和打印时，除了打印每个数据包的标题外，还应以十六进制和ASCII打印每个数据包的数据，包括其链路级标题。
　　用我的mac抓arp包
　　sudotcpdumplnarparp2。txt
　　抓组播地址：
　　virtualrouterid51
　　组播ID，通过224。0。0。18可以监听到现在已经存在的VRRPID，最好不要跟现有ID冲突
　　多播，也称为组播，将局域网中同一业务类型的主机进行了逻辑上的分组，进行数据收发的时候其数据仅仅在同一分组中进行，其他的主机没有加入此分组不能收发对应的数据。
　　多播的地址是特定的，D类地址用于多播。D类IP地址就是多播IP地址，即224。0。0。0到239。255。255。255之间的IP地址，并被划分为局部连续多播地址，预留多播地址和管理权限多播地址3类tcpdumpieth0host224。0。0。18wtmpvridtcpdumprtmpvridgrepvridawkF，｛print3｝sortuniqcsudotcpdumprtmpvridgrepvridawkF，｛print3｝sortuniqcreadingfromfiletmpvrid，linktypeEN10MB（Ethernet）tcpdump：pcaploop：truncateddumpfile；triedtoread60capturedbytes，onlygot1281vrid5180vrid52
　　用快捷键CTRLad来暂时断开当前会话。
　　离开screen
　　完成终止一个会话可以使用CtrlAK或exit命令结束。
　　保留会话但关闭窗口可以使用CtrlAd命令，这样下次你可以连接此会话。
　　listorls。Donothing，justlistourSockDir
　　rootlocalhost〕screenlist
　　Thereisascreenon：
　　27014。pts0。localhost（Attached）
　　1SocketinvarrunscreenSroot。
　　screenls
　　Thereisascreenon：
　　10287。pts3。abintel（Attached）这个状态就是被占用了需要踢掉那个用户
　　1SocketintmpuscreensSlxu。
　　当你挂起screen，下次想连上screen的时候，有时候会出现screensession的状态为Attached而怎么连也连不上的情况。下面给出解决方法。
　　列出状态为Attached的sessionid。
　　screenls
　　screenDrsessionid
　　解释：Dr先踢掉前一用户，再登陆。就OK了
　　如果要看下完整的Flags如下
　　tcpdumphost180。97。125。228andport44317：06：58。797568IP192。168。31。92。62721180。97。125。228。https：Flags〔S〕，seq968089709，win65535，options〔mss1460，nop，wscale6，nop，nop，TSval1066549044ecr0，sackOK，eol〕，length017：06：58。847999IP180。97。125。228。https192。168。31。92。62721：Flags〔S。〕，seq3917924754，ack968089710，win5808，options〔mss1440，nop，nop，sackOK，nop，wscale12〕，length017：06：58。849561IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack1，win4096，length017：06：58。855931IP192。168。31。92。62721180。97。125。228。https：Flags〔P。〕，seq1：229，ack1，win4096，length22817：06：58。921399IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，ack229，win123，length017：06：58。921446IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，seq1：1441，ack229，win123，length144017：06：58。921447IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，seq1441：2881，ack229，win123，length144017：06：58。921447IP180。97。125。228。https192。168。31。92。62721：Flags〔P。〕，seq2881：4062，ack229，win123，length118117：06：58。923339IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack4062，win4032，length017：06：58。924448IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack4062，win4096，length017：06：58。925903IP192。168。31。92。62721180。97。125。228。https：Flags〔P。〕，seq229：355，ack4062，win4096，length12617：06：59。018505IP180。97。125。228。https192。168。31。92。62721：Flags〔P。〕，seq4062：4113，ack355，win123，length5117：06：59。020313IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack4113，win4095，length017：06：59。020507IP192。168。31。92。62721180。97。125。228。https：Flags〔P。〕，seq355：485，ack4113，win4096，length13017：06：59。134003IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，ack485，win131，length017：06：59。212294IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，seq4113：5553，ack485，win131，length144017：06：59。212295IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，seq5553：6993，ack485，win131，length144017：06：59。212296IP180。97。125。228。https192。168。31。92。62721：Flags〔P。〕，seq6993：7068，ack485，win131，length7517：06：59。212296IP180。97。125。228。https192。168。31。92。62721：Flags〔P。〕，seq7068：7102，ack485，win131，length3417：06：59。216453IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack7102，win4049，length017：06：59。216695IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack7102，win4096，length017：06：59。216777IP192。168。31。92。62721180。97。125。228。https：Flags〔P。〕，seq485：516，ack7102，win4096，length3117：06：59。217763IP192。168。31。92。62721180。97。125。228。https：Flags〔F。〕，seq516，ack7102，win4096，length017：06：59。298151IP180。97。125。228。https192。168。31。92。62721：Flags〔。〕，ack516，win131，length017：06：59。298151IP180。97。125。228。https192。168。31。92。62721：Flags〔F。〕，seq7102，ack517，win131，length017：06：59。304531IP192。168。31。92。62721180。97。125。228。https：Flags〔。〕，ack7103，win4096，length0