1. tcpdump简介及安装
Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。
$ yum install -y tcpdump
2. tcpdump命令格式
tcpdump是个命令行方式的网络嗅探器。他通过使用命令选项来过滤网卡截获的数据包,假如不进行过滤,过多数量的包会使网络管理员很难理清头绪。
2.1 tcpdump选项
通过tcpdump --help或者man tcpdump或者info tcpdump查看tcpdump帮助说明文档,tcpdump的命令格式如下:
$ tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ --number ] [ -Q in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --immediate-mode ] [ --version ]
[ expression ]
- 抓包选项
-c:在捕获指定个数的数据包后退出。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。
-i:interface,指定监听的网络接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),一旦找到第一个符合条件的接口,搜寻马上结束。可以使用’any’关键字表示所有网络接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析(DNS查询)。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。(以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务)
-N:不打印出host的域名部分。例如tcpdump将会打印’nic’而不是’nic.ddn.mil’。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”,默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。
- 输出选项
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:输出较周详的信息,例如IP包中的TTL和服务类型信息。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
- 功能性选项
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-F:从指定的文档中读取过滤规则,忽略命令行中指定的其他过滤规则。
-w:将截获的数据包直接写入指定的文档中,不对其进行分析和输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r:从指定的文档中读取数据包(该文档一般通过-w选项产生)。使用"-"表示从标准输入中读取。
- 其他
-a 将网络地址和广播地址转变成容易识别的名字
-d 将已截获的数据包的代码以人容易理解的格式输出;
-dd 将已截获的数据包的代码以C程式的格式输出;
-ddd 将已截获的数据包的代码以十进制格式输出;
-e 输出数据链路层的头部信息;
-f 将internet地址以数字形式输出;
-l 将标准输出变为行缓冲方式;
-t 不输出时间戳;
-T 将截获的数据包直接解释为指定类型的报文,现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。
3. 使用tcpdump抓包实例
$ tcpdump
$ tcpdump -i 网卡
$ tcpdump -nn 数字的方式显示IP和端口。一个n是ip
$ tcpdump -c x 抓包数量,x为数字
$ tcpdump port xx 抓指定端口的包,xx为端口号
$ tcpdump tcp and port xx 指定协议和端口,xx为端口号,and可以省略不写
$ tcpdump host xx.xx.xx.xx 指定来源IP或目标IP的包 xx.xx.xx.xx为IP地址。
$ tcpdump -w xx.txt 把抓的包写入一个文件,xx.txt为文件名
$ tcpdump -s0 -w xx.txt 抓包时防止包截断,s0的0为数字0,抓一个完整的包必须加s0。
$ tcpdump -r xx.txt 用户查看-w抓的包,xx.txt为文件名
-w抓的包实际是包的内容,非简单的流向。如果访问一张图片,用-w可以把这张图片抓出来。只看流向的话,可以使用重定向。
3.1 默认显示 tcpdump
$ tcpdump
默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。
3.2 综合示例
$ ./tcpdump -i eth0 host 192.168.1.70 -w test.pcap
3.3 过滤主机
//抓取所有经过 eth0,目的或源地址是 192.168.1.70 的网络数据
$ tcpdump -i eth0 host 192.168.1.70
//抓取所有经过 eth0,源地址是 192.168.1.70 的网络数据
$ tcpdump -i eth1 src host 192.168.1.70
//抓取所有经过 eth0,目的地址是 192.168.1.70 的网络数据
$ tcpdump -i eth1 dst host 192.168.1.70
3.4 过滤端口
//抓取所有经过 eth0,目的或源端口是 22 的网络数据
$ tcpdump -i eth0 port 22
//抓取所有经过 eth0,源端口是 22 的网络数据
$ tcpdump -i eth1 src port 22
//抓取所有经过 eth0,目的端口是 22 的网络数据
$ tcpdump -i eth1 dst port 22
3.5 过滤协议
$ tcpdump -i eth0 tcp
$ tcpdump -i eth0 udp
$ tcpdump -i eth0 ip
$ tcpdump -i eth0 icmp
$ tcpdump -i eth0 arp
3.6 常用表达式:
在tcpdump的过滤表达式中,各类关键字之间还能够通过布尔运算符来构成组合表达式,以满足实际运用时的需要。
布尔运算符包括取非运算符(not 或!)、和运算符(and或&&)、或运算符(or或||),使用布尔运算符能够将表达式组合起来构成强大的组合条件,从而能够对 Tcpdump的过滤器做进一步细化。
//抓取所有经过 eth0,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
$ tcpdump -i eth0 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
//抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
$ tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
//抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据
$ tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
3.7 保存到指定文件
//实时抓取3721端口,多播地址为228.228.228.228的包,然后写入228.228.228.228.pcap,然后通过Wireshark分析数据
$ tcpdump -i any '(host 228.228.228.228 && port 3721)' -w 228.228.228.228.pcap
//实时抓取端口号8000的GET包,然后写入GET.log
$ tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log
通过组合不同的关键字和表达式,能够实现对任意网卡、协议、地址、端口数据包的过滤
3.8 其他相关命令
//抓取所有网卡的包
$ tcpdump -i any
//ARP过滤,比如从指定的网络接口截获5个ARP数据包,并且不将网络地址转换成主机名
$ tcpdump arp -i eth0 -c 5 -n
//截获在主机“9.185.10.57”和主机“9.185.10.58”或“9.185.10.59”之间传递的数据包
tcpdump host 9.185.10.57 and 9.185.10.58 or 9.185.10.59
//假如想要截获主机“9.185.10.57”和除主机“9.186.10.58”外任何其他主机之间通信的IP数据包,能够使用如下命令
$ tcpdump ip host 9.185.10.57 and ! 9.185.10.58
//抓取回环网口的包:
$ tcpdump -i lo
//防止包截断:
$ tcpdump -s0
//以数字显示主机及端口:
$ tcpdump -n
4. 抓包的格式理解
主要看来源IP和目标IP,这两列。
例如显示报文如下:
16:52:25.923003 IP 10.10.8.3.59557 > 192.168.0.139.22: Flags [.], ack 196, win 16324, length 0
# 16:52:25.923003:时间.毫秒
# IP:IP 10.10.8.3.59557:来源IP.port
# > 192.168.0.139.22:目标IP.port
# Flags [.], ack 196, win 16324, length 0:略