TCPdump抓包命令詳解
tcpdump是一個用於截取網絡分組,並輸出分組內容的工具。tcpdump憑借強大的功能和靈活的截取策略,使其成為類UNIX系統下用於網絡分析和問題排查的首選工具。
tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對於網絡維護和入侵者都是非常有用的工具。tcpdump存在於基本的Linux系統中,由於它需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。
一、概述
顧名思義,tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
引用
# tcpdump -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:53:21.444591 IP (tos 0x10, ttl 64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266
asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!] 325+ PTR? 244.228.168.192.in-addr.arpa. (46)
11:53:21.446929 IP (tos 0x0, ttl 64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077: 325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)
11:53:21.447408 IP (tos 0x10, ttl 64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266
347 packets captured
1474 packets received by filter
745 packets dropped by kernel
不帶參數的tcpdump會收集網絡中所有的信息包頭,數據量巨大,必須過濾。
二、選項介紹
引用
-A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。
-c 在收到指定的數量的分組後,tcpdump就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然後在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進制的形式給出。
-D 打印出系統中所有可以用tcpdump截包的網絡接口。
-e 在輸出行打印出數據鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數字的形式打印出來。
-F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。
-i 指定監聽的網絡接口。
-l 使標準輸出變為緩沖行形式,可以把數據導出到文件。
-L 列出網絡接口的已知數據鏈路。
-m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。
-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
-b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。
-n 不把網絡地址轉換成名字。
-nn 不進行端口名稱的轉換。
-N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不打印時間戳。
-O 不運行分組分組匹配(packet-matching)代碼優化程序。
-P 不將網絡接口設置成混雜模式。
-q 快速輸出。只輸出較少的協議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。
-T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的默認格式的時間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。
-vv 輸出詳細的報文信息。
-w 直接將分組寫入文件中,而不是不分析並打印出來。
三、tcpdump的表達式介紹
表達式是一個正則表達式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表 達式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網絡上所有的信息包 將會被截獲。
在表達式中一般如下幾種類型的關鍵字:
引用
第一種是關於類型的關鍵字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一臺主機,net 202.0.0.0指明202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host。
第二種是確定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src, 這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0。如果沒有指明 方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less, greater, 還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘, 與運算是’and’,’&&‘;或運算是’or’ ,’||’; 這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。
四、輸出結果介紹
下面我們介紹幾種典型的tcpdump命令的輸出信息
(1) 數據鏈路層頭信息
使用命令:
#tcpdump --e host ICE
ICE 是一臺裝有linux的主機。它的MAC地址是0:90:27:58:AF:1A H219是一臺裝有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一條命令的輸出結果如下所示:
引用
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)
21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0接收該分組, eth0 >表示從網絡接口設備發送分組, 8:0:20:79:5b:46是主機H219的MAC地址, 它表明是從源地址H219發來的分組. 0:90:27:58:af:1a是主機ICE的MAC地址, 表示該分組的目的地址是ICE。 ip 是表明該分組是IP分組,60 是分組的長度, h219.33357 > ICE. telnet 表明該分組是從主機H219的33357端口發往主機ICE的 TELNET(23)端口。 ack 22535 表明對序列號是222535的包進行響應。 win 8760表明發 送窗口的大小是8760。
(2) ARP包的tcpdump輸出信息
使用命令:
#tcpdump arp
得到的輸出結果是:
引用
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該分組,arp表明是ARP請求包, who-has route tell ICE表明是主機ICE請求主機route的MAC地址。 0:90:27:58:af:1a是主機 ICE的MAC地址。
(3) TCP包的輸出信息
用tcpdump捕獲的TCP包的一般輸出信息是:
引用
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP報文中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是報文中的數據 的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明 報文中是否有緊急指針。 Options是選項。
(4) UDP包的輸出信息
用tcpdump捕獲的UDP包的一般輸出信息是:
引用
route.port1 > ICE.port2: udp lenth
UDP十分簡單,上面的輸出行表明從主機route的port1端口發出的一個UDP報文 到主機ICE的port2端口,類型是UDP, 包的長度是lenth。
五、舉例
(1) 想要截獲所有210.27.48.1 的主機收到的和發出的所有的分組:
#tcpdump host 210.27.48.1
(2) 想要截獲主機210.27.48.1 和主機210.27.48.2或210.27.48.3的通信,使用命令(註意:括號前的反斜杠是必須的):
#tcpdump host 210.27.48.1 and 210.27.48.2or210.27.48.3
(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4) 如果想要獲取主機192.168.228.246接收或發出的ssh包,並且不轉換主機名使用如下命令:
#tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
(5) 獲取主機192.168.228.246接收或發出的ssh包,並把mac地址也一同顯示:
# tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
(6) 過濾的是源主機為192.168.0.1與目的網絡為192.168.0.0的報頭:
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
(7) 過濾源主機物理地址為XXX的報頭:
tcpdump ether src 00:50:04:BA:9B and dst……
(為什麽ether src後面沒有host或者net?物理地址當然不可能有網絡嘍)。
(8) 過濾源主機192.168.0.1和目的端口不是telnet的報頭,並導入到tes.t.txt文件中:
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型。
tcpdump采用命令行方式,它的命令格式為:
tcpdump [-nn] [-i 接口] [-w 儲存檔名] [-c 次數] [-Ae]
[-qX] [-r 文件] [所欲捕獲的數據內容]
參數:
-nn,直接以 IP 及 Port Number 顯示,而非主機名與服務名稱。
-i,後面接要「監聽」的網絡接口,例如 eth0, lo, ppp0 等等的接口。
-w,如果你要將監聽所得的數據包數據儲存下來,用這個參數就對了。後面接文件名。
-c,監聽的數據包數,如果沒有這個參數, tcpdump 會持續不斷的監聽,
直到用戶輸入 [ctrl]-c 為止。
-A,數據包的內容以 ASCII 顯示,通常用來捉取 WWW 的網頁數據包資料。
-e,使用資料連接層 (OSI 第二層) 的 MAC 數據包數據來顯示。
-q,僅列出較為簡短的數據包信息,每一行的內容比較精簡。
-X,可以列出十六進制 (hex) 以及 ASCII 的數據包內容,對於監聽數據包內容很有用。
-r,從後面接的文件將數據包數據讀出來。那個「文件」是已經存在的文件,
並且這個「文件」是由 -w 所制作出來的。
所欲捕獲的數據內容:我們可以專門針對某些通信協議或者是 IP 來源進行數據包捕獲。
那就可以簡化輸出的結果,並取得最有用的信息。常見的表示方法有。
‘host foo‘, ‘host 127.0.0.1‘ :針對單臺主機來進行數據包捕獲。
‘net 192.168‘ :針對某個網段來進行數據包的捕獲。
‘src host 127.0.0.1‘ ‘dst net 192.168‘:同時加上來源(src)或目標(dst)限制。
‘tcp port 21‘:還可以針對通信協議檢測,如tcp、udp、arp、ether 等。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,
greater,還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘, 與運算是‘and‘,‘&&‘;或運算 是‘o
r‘ ,‘||‘;
範例一:以 IP 與 Port Number 捉下 eth0 這個網卡上的數據包,持續 3 秒
[root@linux ~]# tcpdump -i eth0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win
9648
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win
9648
<==按下 [ctrl]-c 之後結束
6680 packets captured <==捉取下來的數據包數量
14250 packets received by filter <==由過濾所得的總數據包數量
7512 packets dropped by kernel <==被核心所丟棄的數據包
至於那個在範例一所產生的輸出中,我們可以大概區分為幾個字段,現以範例一當中那行特殊字體行來說明一下:
· 01:33:40.41:這個是此數據包被捕獲的時間,“時:分:秒”的單位。
· IP:通過的通信協議是IP。
· 192.168.1.100.22>:傳送端是192.168.1.100這個IP,而傳送的Port Number為22,那個大於(>)的符號指的是數據包的傳輸方向。
· 192.168.1.11.1190:接收端的IP是192.168.1.11,且該主機開啟port 1190來接收。
· P 116:232(116):這個數據包帶有PUSH的數據傳輸標誌,且傳輸的數據為整體數據的116~232 Byte,所以這個數據包帶有116 Bytes的數據量。
· ack 1 win 9648:ACK與Window size的相關資料。
最簡單的說法,就是該數據包是由192.168.1.100傳到192.168.1.11,通過的port是由22到1190,且帶有116 Bytes的數據量,使用的是PUSH的標記,而不是SYN之類的主動聯機標誌。
接下來,在一個網絡狀態很忙的主機上面,你想要取得某臺主機對你聯機的數據包數據時,使用tcpdump配合管線命令與正則表達式也可以,不過,畢竟不好捕獲。我們可以通過tcpdump的表達式功能,就能夠輕易地將所需要的數據獨立的取出來。在上面的範例一當中,我們僅針對eth0做監聽,所以整個eth0接口上面的數據都會被顯示到屏幕上,但這樣不好分析,可以簡化嗎?例如,只取出port 21的聯機數據包,可以這樣做:
[root@linux ~]# tcpdump -i eth0 -nn port 21 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21:. ack 1 win 65535 01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240:P 1:21(20) ack 1 win 5840 01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21:. ack 21 win 65515 01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21:P 1:17(16) ack 21 win 65515 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840 |
看!這樣就僅取出port 21的信息,如果仔細看的話,你會發現數據包的傳遞都是雙向的,Client端發出請求而Server端則予以響應,所以,當然是有去有回了。而我們也就可以經過這個數據包的流向來了解到數據包運動的過程了。例如:
· 我們先在一個終端機窗口輸入“tcpdump-i lo-nn”的監聽。
· 再另開一個終端機窗口來對本機(127.0.0.1)登錄“ssh localhost”,那麽輸出的結果會是如何?
[root@linux ~]# tcpdump -i lo -nn 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 2 listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes 3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: S 933696132:933696132(0) win 32767 4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 920046702:920046702(0) ack 933696133 win 32767 5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 1 win 8192 6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 1 win 8192 7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 |
代碼顯示的頭兩行是tcpdump的基本說明,然後:
· 第3行顯示的是來自Client端帶有SYN主動聯機的數據包。
· 第4行顯示的是來自Server端,除了響應Client端之外(ACK),還帶有SYN主動聯機的標誌。
· 第5行則顯示Client端響應Server確定聯機建立(ACK)。
· 第6行以後則開始進入數據傳輸的步驟。
從第3~5行的流程來看,熟不熟悉啊?沒錯。那就是3次握手的基礎流程,有趣吧。不過tcpdump之所以被稱為黑客軟件之一遠不止上面介紹的功能。上面介紹的功能可以用來作為我們主機的數據包聯機與傳輸的流程分析,這將有助於我們了解到數據包的運作,同時了解到主機的防火墻設置規則是否有需要修訂的地方。
還有更神奇的用法。當我們使用tcpdump在Router上面監聽明文的傳輸數據時,例如FTP傳輸協議,你覺得會發生什麽問題呢?我們先在主機端執行“tcpdump -i lo port 21 -nn –X”,然後再以FTP登錄本機,並輸入賬號與密碼,結果你就可以發現如下的狀況:
[root@linux ~]# tcpdump -i lo -nn -X ‘port 21‘ 0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!I.\.% 0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<.........g 0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd. 0x0040: 322e 302e 3129 0d0a 2.0.1).. 0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d .........\.%.U!] 0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5.........7 0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai. 0x0040: 0a . 0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f .........\.2.U!. 0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........2‘ 0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw 0x0040: 6f72 6469 7379 6f75 0d0a ordisyou.. |
上面的輸出結果已經被簡化過了,你需要自行在你的輸出結果中搜索相關的字符串才行。從上面輸出結果的特殊字體中,我們可以發現該FTP軟件使用的是 vsFTPd,並且用戶輸入dmtsai這個賬號名稱,且密碼是mypasswordisyou。如果使用的是明文方式來傳輸你的網絡數據呢?
另外你得了解,為了讓網絡接口可以讓tcpdump監聽,所以執行tcpdump時網絡接口會啟動在“混雜模式(promiscuous)”,所以你會在 /var/log/messages裏面看到很多的警告信息,通知你說你的網卡被設置成為混雜模式。別擔心,那是正常的。至於更多的應用,請參考man tcpdump了。
例題:如何使用tcpdump監聽來自eth0適配卡且通信協議為port 22,目標來源為192.168.1.100的數據包資料? 答:tcpdump -i eth0 -nn ‘port 22 and src host 192.168.1.100‘。 |
##############例子2#######################################
普通情況下,直接啟動tcpdump將監視第一個網絡界面上所有流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i參數指定tcpdump監聽的網絡界面,這在計算機具有多個網絡界面時非常有用,
使用-c參數指定要監聽的數據包數量,
使用-w參數指定將監聽到的數據包寫入文件中保存
A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用 括號時,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 為ntp的服務端口
# tcpdump udp port 123
F 系統將只對名為hostname的主機的通信數據包進行監視。主機名可以是本地主機,也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據:
#tcpdump -i eth0 src host hostname
G 下面的命令可以監視所有送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 我們還可以監視通過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你還想監視編址到指定端口的TCP或UDP數據包,那麽執行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中適用 括號時,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,
greater,還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘, 與運算是‘and‘,‘&&‘;或運算 是‘o
r‘ ,‘||‘;
第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包,用dst port;如果我們只希望看到返回80端口的數據包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服務的主機
如果條件很多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混雜模式 系統的日誌將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,然後再使用其他程序進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬盤。
除了過濾語句,還有一個很重要的參數,也就是說,如果這個參數不設置正確,會導致包數據的丟失!
它就是-s 參數,snaplen, 也就是數據包的截取長度,仔細看man就會明白的!默認截取長度為60個字節,但一般ethernet MTU都是1500字節。所以,要抓取大於60字節的包時,使用默認參數就會導致包數據丟失!
只要使用-s 0就可以按包長,截取數據!
- tcpdump -D
- tcpdump -c num -i int -nn -XX -vvv
1.2 tcpdump表達式
表達式用於篩選輸出哪些類型的數據包,如果沒有給定表達式,所有的數據包都將輸出,否則只輸出表達式為true的包。在表達式中出現的shell元字符建議使用單引號包圍。
tcpdump的表達式由一個或多個"單元"組成,每個單元一般包含ID的修飾符和一個ID(數字或名稱)。有三種修飾符:
(1).type:指定ID的類型。
可以給定的值有host/net/port/portrange。例如"host foo","net 128.3","port 20","portrange 6000-6008"。默認的type為host。
(2).dir:指定ID的方向。
可以給定的值包括src/dst/src or dst/src and dst,默認為src or dst。例如,"src foo"表示源主機為foo的數據包,"dst net 128.3"表示目標網絡為128.3的數據包,"src or dst port 22"表示源或目的端口為22的數據包。
(3).proto:通過給定協議限定匹配的數據包類型。
常用的協議有tcp/udp/arp/ip/ether/icmp等,若未給定協議類型,則匹配所有可能的類型。例如"tcp port 21","udp portrange 7000-7009"。
所以,一個基本的表達式單元格式為"proto dir type ID"
除了使用修飾符和ID組成的表達式單元,還有關鍵字表達式單元:gateway,broadcast,less,greater以及算術表達式。
表達式單元之間可以使用操作符" and / && / or / || / not / ! "進行連接,從而組成復雜的條件表達式。如"host foo and not port ftp and not port ftp-data",這表示篩選的數據包要滿足"主機為foo且端口不是ftp(端口21)和ftp-data(端口20)的包",常用端口和名字的對應關系可在linux系統中的/etc/service文件中找到。
另外,同樣的修飾符可省略,如"tcp dst port ftp or ftp-data or domain"與"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意義相同,都表示包的協議為tcp且目的端口為ftp或ftp-data或domain(端口53)。
使用括號"()"可以改變表達式的優先級,但需要註意的是括號會被shell解釋,所以應該使用反斜線"\"轉義為"\(\)",在需要的時候,還需要包圍在引號中。
1.3 tcpdump示例
(1).默認啟動
tcpdump
默認情況下,直接啟動tcpdump將監視第一個網絡接口(非lo口)上所有流通的數據包。這樣抓取的結果會非常多,滾動非常快。
(2).監視指定網絡接口的數據包
tcpdump -i eth1
如果不指定網卡,默認tcpdump只會監視第一個網絡接口,如eth0。
(3).監視指定主機的數據包,例如所有進入或離開longshuai的數據包
tcpdump host longshuai
(4).打印helios<-->hot或helios<-->ace之間通信的數據包
tcpdump host helios and \( hot or ace \)
(5).打印ace與任何其他主機之間通信的IP數據包,但不包括與helios之間的數據包
tcpdump ip host ace and not helios
(6).截獲主機hostname發送的所有數據
tcpdump src host hostname
(7).監視所有發送到主機hostname的數據包
tcpdump dst host hostname
(8).監視指定主機和端口的數據包
tcpdump tcp port 22 and host hostname
(9).對本機的udp 123端口進行監視(123為ntp的服務端口)
tcpdump udp port 123
(10).監視指定網絡的數據包,如本機與192.168網段通信的數據包,"-c 10"表示只抓取10個包
tcpdump -c 10 net 192.168
(11).打印所有通過網關snup的ftp數據包(註意,表達式被單引號括起來了,這可以防止shell對其中的括號進行錯誤解析)
shell> tcpdump ‘gateway snup and (port ftp or ftp-data)‘
(12).抓取ping包
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:11:23.273638 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 10, length 64 12:11:23.273666 IP 192.168.100.62 > 192.168.100.70: ICMP echo reply, id 16422, seq 10, length 64 12:11:24.356915 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 11, length 64 12:11:24.356936 IP 192.168.100.62 > 192.168.100.70: ICMP echo reply, id 16422, seq 11, length 64 12:11:25.440887 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16422, seq 12, length 64 5 packets captured 6 packets received by filter 0 packets dropped by kernel
如果明確要抓取主機為192.168.100.70對本機的ping,則使用and操作符。
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:09:29.957132 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 1, length 64 12:09:31.041035 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 2, length 64 12:09:32.124562 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 3, length 64 12:09:33.208514 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 4, length 64 12:09:34.292222 IP 192.168.100.70 > 192.168.100.62: ICMP echo request, id 16166, seq 5, length 64 5 packets captured 5 packets received by filter 0 packets dropped by kernel
註意不能直接寫icmp src 192.168.100.70,因為icmp協議不支持直接應用host這個type。
(13).抓取到本機22端口包
[root@server2 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:06:57.574293 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 535528834, win 2053, length 0 12:06:57.629125 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 193, win 2052, length 0 12:06:57.684688 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 385, win 2051, length 0 12:06:57.738977 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 577, win 2050, length 0 12:06:57.794305 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 769, win 2050, length 0 12:06:57.848720 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 961, win 2049, length 0 12:06:57.904057 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1153, win 2048, length 0 12:06:57.958477 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1345, win 2047, length 0 12:06:58.014338 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1537, win 2053, length 0 12:06:58.069361 IP 192.168.100.1.5788 > 192.168.100.62.22: Flags [.], ack 1729, win 2052, length 0 10 packets captured 10 packets received by filter 0 packets dropped by kernel
(14).解析包數據
[root@server2 ~]# tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 22 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:15:54.788812 IP (tos 0x0, ttl 64, id 19303, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.1.5788 > 192.168.100.62.22: tcp 0 0x0000: 000c 2908 9234 0050 56c0 0008 0800 4500 ..)..4.PV.....E. 0x0010: 0028 4b67 4000 4006 a5d8 c0a8 6401 c0a8 .(Kg@[email protected]... 0x0020: 643e 169c 0016 2426 5fd6 1fec 2b62 5010 d>....$&_...+bP. 0x0030: 0803 7844 0000 0000 0000 0000 ..xD........ 12:15:54.842641 IP (tos 0x0, ttl 64, id 19304, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.1.5788 > 192.168.100.62.22: tcp 0 0x0000: 000c 2908 9234 0050 56c0 0008 0800 4500 ..)..4.PV.....E. 0x0010: 0028 4b68 4000 4006 a5d7 c0a8 6401 c0a8 .(Kh@[email protected]... 0x0020: 643e 169c 0016 2426 5fd6 1fec 2d62 5010 d>....$&_...-bP. 0x0030: 0801 7646 0000 0000 0000 0000 ..vF........ 2 packets captured 2 packets received by filter 0 packets dropped by kernel
總的來說,tcpdump對基本的數據包抓取方法還是較簡單的。只要掌握有限的幾個選項(-nn -XX -vvv -i -c -q),再組合表達式即可。
TCPdump抓包命令詳解