Linux系统如何抓包

在linux系统中，自带网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。   

命令：tcpdump - dump traffic on a network

1 不指定任何参数

tcpdump

2 监听特定网卡

3. 监听特定主机

例子：监听本机跟主机192.168.113.251之间往来的通信包。

备注：出、入的包都会被监听。

4. 特定来源、目标地址的通信

特定来源

特定目标地址

如果不指定src跟dst，那么来源 或者目标 是hostname的通信都会被监听

下图为监听源为192.168.113.251的报文，可以看到有SNMP的消息。

5. 特定端口

6. 监听TCP/UDP

服务器上不同服务分别用了TCP、UDP作为传输层，假如只想监听TCP的数据包

7. 来源主机+端口+TCP

监听来自主机192.168.113.251在端口22上的TCP数据包

8. 监听特定主机之间的通信

192.168.113.251除了和192.168.113.252之外的主机之间的通信

9. 稍微详细点的例子

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth0 : 只抓经过接口eth0的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.113.0/24 : 数据包的源网络地址为192.168.113.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

将其下载到电脑中，可用wireshark软件进行分析。

为了分析在iMC平台上服务器与被管理设备的SNMP交互过程，命令如下：

tcpdump -i eth0 -s 0 -c 100 host 192.168.113.251 -w ./myh1.cap

用wireshark软件打开进行分析