tcpdump permission denied问题解决

Linux抓包工具tcpdump详细使用方法

时间：2013-09-13 21:36:15    来源：服务器之家    投稿：root

tcpdump是一个Sniffer工具，实际上就是一个网络上的抓包工具，同时还可以对抓到的包进行分析。一般系统都默认安装。

tcpdump命令说明：
tcpdump采用命令行方式，它的命令格式为：
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]

tcpdump的选项介绍:
-a 　　　将网络地址和广播地址转变成名字；
-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　　将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　　　将匹配信息包的代码以十进制的形式给出；
-e 　　　在输出行打印出数据链路层的头部信息；
-f 　　　将外部的Internet地址以数字的形式打印出来；
-l 　　　使标准输出变为缓冲行形式；
-n 　　　不把网络地址转换成名字；
-t 　　　在输出的每一行不打印时间戳；
-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 　　　输出详细的报文信息；
-c 　　　在收到指定的包的数目后，tcpdump就会停止；
-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
-i 　　　指定监听的网络接口；
-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 　　　直接将包写入文件中，并不分析和打印出来；
-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 调用）和snmp（简单　　　　　　　网络管理协议；）
      -s      设置抓包大小限制，默认抓包大小限制在96个BYTE（包括以太网帧）。修改参数为：-s 0。0 则忽略包的大小限制，按包的长度实际长度抓取。
    例：tcpdump -vv tcp port 5270 -c 100 -s 1500 -w /opt/sniffer.pack

ubuntu下tcpdump报错：Permission denied
在ubuntu10.10下执行脚本，当使用了tcpdump进行抓包的时候，报了下面的错误；
sudo tcpdump -w test1.log
tcpdump: test1.log: Permission denied
开始以为是用户权限的问题，后来换用root账户还是不行，经搜索，是AppArmor的问题。

解决方案如下：
先查看当前的tcpdump的模式：
grep tcpdump /sys/kernel/security/apparmor/profiles
/usr/sbin/tcpdump (enforce)
上面显示是enforce模式，所以有这个问题，把它改成complain模式：
aa-complain /usr/sbin/tcpdump                        ------ This will change it to complain
再次使用tcpdump 并写文件的时候就没问题了。
想在转换成enforce模式时：
aa-enforce /usr/sbin/tcpdump             ----- This will renable the AppArmor profile for tcpdump

【注】 通过命令aa-complain或aa-enforce可以切换profile文件的状态。这需要先安装对应的utils工具: sudo apt-get install apparmor-utils 

转载请注明原文地址：http://www.server110.com/linux/201309/1360.html