Tcpdump使用(未完待续)

一、linux 安装tcpdump

1. 使用yum 直接安装tcpdump

yum install tcpdump

• 查询已经安装的tcpdump
  rpm -qa| grep tcpdump
• 查询已经安装的tcpdump版本

$ tcpdump --version
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips  26 Jan 2017

2.使用源码安装tcpdump

Tcpdump是开源工具，其本身需要链接libpcap库还需要flex、bison、m4等支持

#安装flex
yum install flex
#安装bison
yum -y install bison
#下载tcpdump包
wget tcpdump地址
#下载libpcap包
wget libpcap地址
#解压包
tar -xvzf <libpcap包名>
tar -xvzf <tcpdump包名>
#注意顺序
cd <libpcap的目录下>
./configure
sudo make install
cd <tcpdump目录下>
./configure
sudo make install

安装过程中遇见问题
⚠️./configure提示没有GCC编译器环境

# ./configure
checking build system type... x86_64-pc-linux-gnu
checking host system type... x86_64-pc-linux-gnu
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: in `/root/tcpdump-4.9.3':
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details

解决方法
yum -y install gcc
⚠️ 安装过程中，一定要先安装libpcap

二、使用tcpdum进行抓包

抓包

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

1. tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

1. -i eth1 : 只抓经过接口eth1的包
2. -t : 不显示时间戳
3. -s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
4. -c 100 : 只抓取100个数据包
5. dst port ! 22 : 不抓取目标端口是22的数据包
6. src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
7. -w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

参考资料
Tcpdump的官方网址：https://www.tcpdump.org/
备注：后续再继续补充。。。