嵌入式裝置上使用tcpdump方法
在實際應用中開發中,嵌入式裝置使用網路通訊時,經常不好分析資料,通常只能使用串列埠列印和依耐伺服器端使用抓包工具獲取網路資料,使開發工作有不同程度的受到阻礙,這裡簡單的介紹一下如何使用tcpdump工具在嵌入式裝置上抓包。
移植:
下載資源tcpdump,libpcap,可到官網上:http://www.tcpdump.org/ 下載,我這裡下載的版本如下:
tcpdump-4.7.4.tar.gz
libpcap-1.7.4.tar.gz
也可以到我的csdn中下載:
http://download.csdn.net/detail/yuanbinquan/9556572
http://download.csdn.net/detail/yuanbinquan/9556592
交叉編譯tcpdump:
1、交叉編譯libpcap
開啟configure遮蔽5254-5256行
#if test -z "$with_pcap" && test "$cross_compiling" = yes; then
# as_fn_error $? "pcap type not determined when cross-compiling; use --with-pcap=..." "$LINENO" 5
#fi
#./configure --prefix=/home/tcpdump/Demo/ CC=arm-hisiv100nptl-linux-gcc --host=arm-linux
# make
#make install
2、交叉編譯tcpdump
#./configure --prefix=/home/tcpdump/Demo/ CC=arm-hisiv100nptl-linux-gcc --host=arm-linux
#make
#make install
3、將/home/tcpdump/Demo/sbin 下的tcpdump 複製到你的開發上即可執行。
使用
下面就是對抓包工具的的使用簡單介紹如下,直接複製網友的,嘿嘿嘿。。。
1.第一種是關於型別的關鍵字主要包括host,net,port
例如: host host 10.10.10.12,指明host 10.10.10.12是一臺主機,net 202.0.0.0 指明 202.0.0.0是一個網路地址,port 80 指明埠號是80。如果沒有指定型別,預設的型別是host.
[[email protected]_c ~]# tcpdump host 10.10.10.12 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:47:54.338648 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:47:55.339591 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:47:55.460784 IP 10.10.10.17.5540 > 10.10.10.12.scp-config: P 990305450:990305578(128) ack 3936126663 win 10281 <nop,nop,timestamp 128715924 4061149870>
14:47:55.461037 IP 10.10.10.12.scp-config > 10.10.10.17.5540: P 1:134(133) ack 128 win 10285 <nop,nop,timestamp 4061151871 128715924>
14:47:55.461090 IP 10.10.10.17.5540 > 10.10.10.12.scp-config: . ack 134 win 10281 <nop,nop,timestamp 128715924 4061151871>
14:47:56.340551 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:47:56.682367 arp who-has 10.10.10.12 tell 10.10.10.89
14:47:57.341512 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:47:57.461844 IP 10.10.10.17.5540 > 10.10.10.12.scp-config: P 128:256(128) ack 134 win 10281 <nop,nop,timestamp 128717925 40611518
2.第二種是確定傳輸方向的關鍵字主要包括src , dst ,dst or src, dst and src
這些關鍵字指明瞭傳輸的方向,例如:src 10.10.10.12,指明ip包中源地址是10.10.10.12, dst net 202.0.0.0 指明目的網路地址是202.0.0.0。如果沒有指明方向關鍵字,則預設是src or dst關鍵字。
[[email protected]_c ~]# tcpdump src 10.10.10.12 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:50:48.504155 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:50:49.132905 IP 10.10.10.12.21002 > 10.10.10.17.20742: P 1000890141:1000890152(11) ack 1991025729 win 2998
14:50:49.134210 IP 10.10.10.12.21002 > 10.10.10.17.20742: P 11:862(851) ack 209 win 3108
14:50:49.135543 IP 10.10.10.12.21002 > 10.10.10.17.20742: P 862:873(11) ack 230 win 3108
14:50:49.504790 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
14:50:49.548064 IP 10.10.10.12.scp-config > 10.10.10.17.5540: P 3936138234:3936138367(133) ack 990316714 win 10285 <nop,nop,timestamp 4061325974 128890011>
14:50:50.505743 IP 10.10.10.12 > 224.0.0.18: VRRPv2, Advertisement, vrid 51, prio 90, authtype simple, intvl 1s, length 20
3.第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等型別。
Fddi指明是在FDDI(分散式光纖資料介面網路)上的特定的網路協議,實際上它是"ether"的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議,則tcpdump將會監聽所有協議的資訊包。
[[email protected]_c ~]# tcpdump tcp port 80 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:48:51.852424 IP 10.10.10.12.20278 > 10.10.10.17.http: S 1416876662:1416876662(0) win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 4>
14:48:51.852447 IP 10.10.10.17.http > 10.10.10.12.20278: S 1206855618:1206855618(0) ack 1416876663 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 4>
14:48:51.852568 IP 10.10.10.12.20278 > 10.10.10.17.http: . ack 1 win 913
14:48:51.852590 IP 10.10.10.12.20278 > 10.10.10.17.http: R 1:1(0) ack 1 win 913
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是'not ' ,'! ',與運算是'and','&&';或運算 是'or','││';這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來說明。普通情況下,直接啟動tcpdump將監視第一個網路介面上所有流過的資料包。
[[email protected]_c ~]# tcpdump src 10.10.10.12 and dst 10.10.10.17 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:51:45.867526 IP 10.10.10.12.20336 > 10.10.10.17.http: S 492616728:492616728(0) win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 4>
14:51:45.867663 IP 10.10.10.12.20336 > 10.10.10.17.http:
A. tcpdump –i eth0 –c 10
使用-i引數指定tcpdump監聽的網路介面,這在計算機具有多個網路介面時非常有用,
使用-c引數指定要監聽的資料包數量,
使用-w引數指定將監聽到的資料包寫入檔案中儲存
B.想要截獲主機172.16.14.107和主機172.16.14.27或172.16.14.99的通訊,使用命令:(在命令列中使用括號時,一定要用’/’
tcpdump host 172.16.14.107 and / (172.16.14.27or172.16.14.99 /)
C.如果想要獲取主機172.16.14.107除了和主機172.16.14.27之外所有主機通訊的ip包,使用命令:
tcpdump ip host 172.16.14.107 and ! 172.16.14.27
D.如果想要獲取主機172.16.14.107接收或發出的telnet包,使用如下命令:
tcpdump tcp port 23 host 172.16.14.107
E.對本機的udp 123 埠進行監視 (123 為ntp的服務埠)
tcpdump udp port 123
F.系統將只對名為hostname的主機的通訊資料包進行監視。主機名可以是本地主機,也可以是網路上的任何一臺計算機。下面的命令可以讀取主機hostname傳送的所有資料:
tcpdump -i eth0 src host hostname
G.下面的命令可以監視所有送到主機hostname的資料包:
tcpdump -i eth0 dst host hostname
#src表示源,即傳送
#dst表示目的地,即接收
H.我們還可以監視通過指定閘道器的資料包:
tcpdump -i eth0 gateway Gatewayname
I.如果你還想監視編址到指定埠的TCP或UDP資料包,那麼執行以下命令:
tcpdump -i eth0 host hostname and port 80
J.如果想要獲取主機172.16.14.107接收或發出的telnet包,使用如下命令:
tcpdump tcp port 23 host 172.16.14.107
K. 如果我們只需要列出送到80埠的資料包,用dst port 80;如果我們只希望看到返回80埠的資料包,用src port 80。
tcpdump –i eth0 host hostname and dst port 80 目的埠是80
或者
tcpdump –i eth0 host hostname and src port 80 源埠是80
80埠一般是提供http的服務的主機
tcpdump輸出格式
總的的輸出格式為:系統時間 來源主機.埠 > 目標主機.埠 資料包引數
如果要用wireshark分析資料:
tcpdump -i eth0 -c 100 -s 0 -w /home/data.pcap
直接使用wireshark /home/data.pcap即可 分析結果如下圖
---------------------
作者:yuanbinquan
來源:CSDN
原文:https://blog.csdn.net/yuanbinquan/article/details/51735138
版權宣告:本文為博主原創文章,轉載請附上博文連結!