tcpdump,埠映象 過濾 DNS流量 協議。traffic 。dump
tcpdump監聽資料
為了看清楚DNS通訊的過程,下面我們將從主機1:192.168.0.141上執行host命令以查詢主機www.jd.com對應的IP地址,並使用tcpdump抓取這一過程中LAN上傳輸的乙太網幀。
具體的操作過程如下:
# tcpdump -i eth0 -nt -s 500 port domain
然後在新開一個命令列視窗,另外一個終端中輸入下面的命令:
#host-t A www.jd.com
下圖是host-t A www.jd.com輸出的資料:
下圖是tcpdump監聽到的資料:
這一次執行tcpdump抓包時,我們使用“port domain”來過濾資料包,表示只抓取使用domain(域名)服務的資料包,即DNS查詢和應答報文。
IP 192.168.0.141.53511 > 192.168.0.1.53: 65362+ A? www.jd.com. (28)
IP 192.168.0.1.53 > 192.168.0.141.53511: 65362 2/0/0 CNAME www.jdcdn.com., A 14.152.71.1 (68)
這兩個資料包開始的“IP”指出,它們後面的內容描述的是IP資料報。tcpdump以“IP地址.埠號”的形式來描述通訊的某一端;以“>”表示資料傳輸的方向,“>”前面是源端,後面是目的端。可見,第一個資料包是測試主機1(IP地址是192.168.0.141)向其首選DNS伺服器(IP地址是192.168.0.1.53)傳送的DNS查詢報文(目標埠53是DNS服務使用的埠),第二個資料包是伺服器反饋的DNS應答報文。
第一個資料包中,數值57428是DNS查詢報文的標識值,因此該值也出現在DNS應答報文中。“+”表示啟用遞迴查詢標誌。“A?”表示使用A型別的查詢方式。“www.baidu.com”則是DNS查詢問題中的查詢名。括號中的數值31是DNS查詢報文的長度(以位元組為單位)。
第二個資料包中,“3/4/4”表示該報文中包含3個應答資源記錄、4個授權資源記錄和4個額外資訊記錄。“CNAME www.a.shifen.com.,A 119.75.218.77,A 119.75.217.56”則表示3個應答資源記錄的內容。其中CNAME表示緊隨其後的記錄是機器的別名,A表示緊隨其後的記錄是IP地址。該應答報文的長度為226位元組。
注意 我們抓包的時候沒有開啟tcpdump的-X選項(或者-x選項)。如果使用-X選項,我們將能看到DNS報文的每一個位元組,也就能明白上面31位元組的查詢報文和226位元組的應答報文的具體含義。限於篇幅,這裡不再討論,讀者不妨自己分析。
==
tcpdump -i em2 tcp port 38090 -w 013.cap
tcpdump -v port $myport 獲取經過具體某個埠的資料包;
==
tcpdump非常實用的抓包例項
基本語法
========過濾主機
--------
- 抓取所有經過 eth1,目的或源地址是 192.168.1.1 的網路資料
# tcpdump -i eth1 host 192.168.1.1
- 源地址
# tcpdump -i eth1 src host 192.168.1.1
- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1
過濾埠
--------
- 抓取所有經過 eth1,目的或源埠是 25 的網路資料
# tcpdump -i eth1 port 25
- 源埠
# tcpdump -i eth1 src port 25
- 目的埠
# tcpdump -i eth1 dst port 25網路過濾
--------
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
協議過濾
--------
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
常用表示式
----------
非 : ! or "not" (去掉雙引號)
且 : && or "and"
或 : || or "or"
- 抓取所有經過 eth1,目的地址是 192.168.1.254 或 192.168.1.200 埠是 80 的 TCP 資料
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host
192.168.1.200)))'
- 抓取所有經過 eth1,目標 MAC 地址是 00:01:02:03:04:05 的 ICMP 資料
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有經過 eth1,目的網路是 192.168,但目的主機不是 192.168.1.200 的 TCP 資料
# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
- 只抓 SYN 包
# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓 SYN, ACK
# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
抓 SMTP 資料
----------
# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取資料區開始為"MAIL"的包,"MAIL"的十六進位制為 0x4d41494c。
抓 HTTP GET 資料
--------------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六進位制是 47455420
抓 SSH 返回
---------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六進位制是 0x5353482D
# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]
= 0x312E)'抓老版本的 SSH 返回資訊,如"SSH-1.99.."
- 抓 DNS 請求資料
# tcpdump -i eth1 udp dst port 53
其他
----
-c 引數對於運維人員來說也比較常用,因為流量比較大的伺服器,靠人工 CTRL+C 還是
抓的太多,於是可以用-c 引數指定抓多少個包。
# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令計算抓 10000 個 SYN 包花費多少時間,可以判斷訪問量大概是多少。
實時抓取埠號8000的GET包,然後寫入GET.log
tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log
==
tcpdump是抓取網路包進行網路分析排錯的重要工具,那麼有哪些比較實用的命令引數呢?
===
tcpdump 與wireshark
Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現:在 Linux 裡抓包,然後在Windows 裡分析包。
使用tcpdump抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。
==
tcpdump,就是:dump the traffic on a network, 在網路上傾倒流量
對網路上的資料包進行截獲的包分析工具。
==
traffic 有交通,運輸的意思。 但是在IT裡 應該是它的另一個意思,就是 流量,通訊量。
==