tcpdump工具用法
tcpdump使用技巧
一般情況下,非HTTP協議的網路分析,在伺服器端用tcpdump比較多,在客戶端用wireshark比較多,兩個抓包軟體的語法是一樣的。
一、基本語法
1.1、過濾主機
- 抓取所有經過eth1,目的或源地址是192.168.1.1的網路資料
tcpdump -i eth1 host 192.168.1.1
- 指定源地址
tcpdump -i eth1 src host 192.168.1.1
- 指定目的地址
tcpdump -i eth1 dst host 192.168.1.1
1.2、過濾埠
- 抓取所有經過eth1,目的或源埠是25的網路資料
tcpdump -i eth1 port 25
- 指定源埠
tcpdump -i eth1 src port 25
- 指定目的埠
tcpdump -i eth1 dst port 25
1.3、網路過濾
tcpdump -i eth1 net 192.168 tcpdump -i eth1 src net 192.168 tcpdump -i eth1 dst net 192.168
1.4、協議過濾
tcpdump -i eth1 arp tcpdump -i eth1 ip tcpdump -i eth1 tcp tcpdump -i eth1 udp tcpdump -i eth1 icmp
1.5、常用表示式
非 : ! or "not" (去掉雙引號)
且 : && or "and"
或 : || or "or"
- 抓取所有經過eth1,目的地址是192.168.1.254或192.168.1.200埠是80的TCP資料
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
- 抓取所有經過eth1,目標MAC地址是00:01:02:03:04:05的ICMP資料
tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有經過eth1,目的網路是192.168,但目的主機不是192.168.1.200的TCP資料
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
二、高階包頭過濾
首先了解如何從包頭過濾資訊
proto[x:y] : 過濾從x位元組開始的y位元組數。比如ip[2:2]過濾出3、4位元組(第一位元組從0開始排)
proto[x:y] & z = 0 : proto[x:y]和z的與操作為0
proto[x:y] & z !=0 : proto[x:y]和z的與操作不為0
proto[x:y] & z = z : proto[x:y]和z的與操作為z
proto[x:y] = z : proto[x:y]等於z
操作符 : >, <, >=, <=, =, !=
2.1、IP頭
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding | <-- optional
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| DATA ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
本文只針對IPv4。
2.2、IP選項設定了嗎?
“一般”的IP頭是20位元組,但IP頭有選項設定,不能直接從偏移21位元組處讀取資料。IP頭有個長度欄位可以知道頭長度是否大於20位元組。
+-+-+-+-+-+-+-+-+
|Version| IHL |
+-+-+-+-+-+-+-+-+
通常第一個位元組的二進位制值是:01000101,分成兩個部分:
0100 = 4 表示IP版本 0101 = 5 表示IP頭32 bit的塊數,5 x 32 bits = 160 bits or 20 bytes
如果第一位元組第二部分的值大於5,那麼表示頭有IP選項。
下面介紹兩種過濾方法(第一種方法比較操蛋,可忽略):
a. 比較第一位元組的值是否大於01000101,這可以判斷IPv4帶IP選項的資料和IPv6的資料。
01000101十進位制等於69,計算方法如下(小提示:用計算器更方便)
0 : 0 \
1 : 2^6 = 64 \ 第一部分 (IP版本)
0 : 0 /
0 : 0 /
-
0 : 0 \
1 : 2^2 = 4 \ 第二部分 (頭長度)
0 : 0 /
1 : 2^0 = 1 /
64 + 4 + 1 = 69
如果設定了IP選項,那麼第一自己是01000110(十進位制70),過濾規則:
tcpdump -i eth1 'ip[0] > 69'
IPv6的資料也會匹配,看看第二種方法。
b. 位操作
0100 0101 : 第一位元組的二進位制
0000 1111 : 與操作
<=========
0000 0101 : 結果
正確的過濾方法
tcpdump -i eth1 'ip[0] & 15 > 5'
或者
tcpdump -i eth1 'ip[0] & 0x0f > 5'
2.3、分片標記
當傳送端的MTU大於到目的路徑鏈路上的MTU時就會被分片,這段話有點拗口,權威的請參考《TCP/IP詳解》。唉,32借我的書沒還,只能湊合寫,大家記得看書啊。
分片資訊在IP頭的第七和第八位元組:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Bit 0: 保留,必須是0
Bit 1: (DF) 0 = 可能分片, 1 = 不分片
Bit 2: (MF) 0 = 最後的分片, 1 = 還有分片
Fragment Offset欄位只有在分片的時候才使用。
要抓帶DF位標記的不分片的包,第七位元組的值應該是:
01000000 = 64
tcpdump -i eth1 'ip[6] = 64'
2.4、抓分片包
- 匹配MF,分片包
tcpdump -i eth1 'ip[6] = 32'
最後分片包的開始3位是0,但是有Fragment Offset欄位。
- 匹配分片和最後分片
tcpdump -i eth1 '((ip[6:2] > 0) and (not ip[6] = 64))'
測試分片可以用下面的命令:
ping -M want -s 3000 192.168.1.1
2.5、匹配小TTL
TTL欄位在第九位元組,並且正好是完整的一個位元組,TTL最大值是255,二進位制為11111111。
可以用下面的命令驗證一下:
$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
+-+-+-+-+-+-+-+-+
| Time to Live |
+-+-+-+-+-+-+-+-+
- 在閘道器可以用下面的命令看看網路中誰在使用traceroute
tcpdump -i eth1 'ip[8] < 5'
2.6、抓大於X位元組的包
- 大於600位元組
tcpdump -i eth1 'ip[2:2] > 600'
2.7、更多的IP過濾
首先還是需要知道TCP基本結構,再次推薦《TCP/IP詳解》,卷一就夠看的了,避免走火入魔。
- TCP頭
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data | |C|E|U|A|P|R|S|F| |
| Offset| Res. |W|C|R|C|S|S|Y|I| Window |
| | |R|E|G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- 抓取源埠大於1024的TCP資料包
tcpdump -i eth1 'tcp[0:2] > 1024'
- 匹配TCP資料包的特殊標記
TCP標記定義在TCP頭的第十四個位元組
+-+-+-+-+-+-+-+-+
|C|E|U|A|P|R|S|F|
|W|C|R|C|S|S|Y|I|
|R|E|G|K|H|T|N|N|
+-+-+-+-+-+-+-+-+
重複一下TCP三次握手,兩個主機是如何勾搭的:
- 源傳送SYN
- 目標回答SYN, ACK
- 源傳送ACK
沒女朋友的童鞋要學習一下:
1. MM,你的手有空嗎?--
2. 有空,你呢?\~~
3. 我也有空 *_*
失敗的loser是醬紫的:
1. MM,這是你掉的板磚嗎?(SYN)  ̄▽ ̄
2. 不是,找拍啊?(RST-ACK) ˋ﹏ˊ
- 只抓SYN包,第十四位元組是二進位制的00000010,也就是十進位制的2
tcpdump -i eth1 'tcp[13] = 2'
- 抓SYN, ACK (00010010 or 18)
tcpdump -i eth1 'tcp[13] = 18'
- 抓SYN或者SYN-ACK
tcpdump -i eth1 'tcp[13] & 2 = 2'
用到了位操作,就是不管ACK位是啥。
- 抓PSH-ACK
tcpdump -i eth1 'tcp[13] = 24'
- 抓所有包含FIN標記的包(FIN通常和ACK一起,表示幽會完了,回見)
tcpdump -i eth1 'tcp[13] & 1 = 1'
- 抓RST(勾搭沒成功,偉大的greatwall對她認為有敏感資訊的連線發RST包,典型的棒打鴛鴦)
tcpdump -i eth1 'tcp[13] & 4 = 4'
下圖詳細描述了TCP各種狀態的標記,方便分析。
2.8、大叔注
tcpdump考慮了一些數字恐懼症者的需求,提供了部分常用的欄位偏移名字:
icmptype (ICMP型別欄位)
icmpcode (ICMP符號欄位)
tcpflags (TCP標記欄位)
ICMP型別值有:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply
TCP標記值:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
這樣上面按照TCP標記位抓包的就可以寫直觀的表示式了:
- 只抓SYN包
tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓SYN, ACK
tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
2.9、抓SMTP資料
tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取資料區開始為"MAIL"的包,"MAIL"的十六進位制為0x4d41494c。
2.10、抓HTTP GET資料
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六進位制是47455420
2.11、抓SSH返回
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六進位制是0x5353482D
tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'
抓老版本的SSH返回資訊,如"SSH-1.99.."
三、大叔注
如果是為了檢視資料內容,建議用tcpdump -s 0 -w filename把資料包都儲存下來,然後用wireshark的Follow TCP Stream/Follow UDP Stream來檢視整個會話的內容。
-s 0是抓取完整資料包,否則預設只抓68位元組。
另外,用tcpflow也可以方便的獲取TCP會話內容,支援tcpdump的各種表示式。
3.1、UDP頭
0 7 8 15 16 23 24 31
+--------+--------+--------+--------+
| Source | Destination |
| Port | Port |
+--------+--------+--------+--------+
| | |
| Length | Checksum |
+--------+--------+--------+--------+
| |
| DATA ... |
+-----------------------------------+
- 抓DNS請求資料
tcpdump -i eth1 udp dst port 53
3.2、其他
-c引數對於運維人員來說也比較常用,因為流量比較大的伺服器,靠人工CTRL+C還是抓的太多,甚至導致伺服器宕機,於是可以用-c引數指定抓多少個包。
time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令計算抓10000個SYN包花費多少時間,可以判斷訪問量大概是多少。