1. tcpdump简介及安装
Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。
|
1 |
$ yum install -y tcpdump |
2. tcpdump命令格式
tcpdump是个命令行方式的网络嗅探器。他通过使用命令选项来过滤网卡截获的数据包,假如不进行过滤,过多数量的包会使网络管理员很难理清头绪。
2.1 tcpdump选项
通过tcpdump --help或者man tcpdump或者info tcpdump查看tcpdump帮助说明文档,tcpdump的命令格式如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
$ tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] [ --number ] [ -Q in|out|inout ] [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ --time-stamp-precision=tstamp_precision ] [ --immediate-mode ] [ --version ] [ expression ] |
- 抓包选项
|
1 2 3 4 5 6 7 |
-c:在捕获指定个数的数据包后退出。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。 -i:interface,指定监听的网络接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),一旦找到第一个符合条件的接口,搜寻马上结束。可以使用’any’关键字表示所有网络接口。 -n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析(DNS查询)。 -nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。(以ip和port的方式显示来源主机和目的主机,而不是用主机名和服务) -N:不打印出host的域名部分。例如tcpdump将会打印’nic’而不是’nic.ddn.mil’。 -P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”,默认为"inout"。 -s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。 |
- 输出选项
|
1 2 3 4 5 6 7 |
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。 -q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。 -X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。 -XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。 -v:输出较周详的信息,例如IP包中的TTL和服务类型信息。 -vv:产生比-v更详细的输出。 -vvv:产生比-vv更详细的输出。 |
- 功能性选项
|
1 2 3 4 |
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。 -F:从指定的文档中读取过滤规则,忽略命令行中指定的其他过滤规则。 -w:将截获的数据包直接写入指定的文档中,不对其进行分析和输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。 -r:从指定的文档中读取数据包(该文档一般通过-w选项产生)。使用"-"表示从标准输入中读取。 |
- 其他
|
1 2 3 4 5 6 7 8 9 |
-a 将网络地址和广播地址转变成容易识别的名字 -d 将已截获的数据包的代码以人容易理解的格式输出; -dd 将已截获的数据包的代码以C程式的格式输出; -ddd 将已截获的数据包的代码以十进制格式输出; -e 输出数据链路层的头部信息; -f 将internet地址以数字形式输出; -l 将标准输出变为行缓冲方式; -t 不输出时间戳; -T 将截获的数据包直接解释为指定类型的报文,现在支持的类型有cnfp、rpc、rtp、snmp、vat和wb。 |
3. 使用tcpdump抓包实例
|
1 2 3 4 5 6 7 8 9 10 11 |
$ tcpdump $ tcpdump -i 网卡 $ tcpdump -nn 数字的方式显示IP和端口。一个n是ip $ tcpdump -c x 抓包数量,x为数字 $ tcpdump port xx 抓指定端口的包,xx为端口号 $ tcpdump tcp and port xx 指定协议和端口,xx为端口号,and可以省略不写 $ tcpdump host xx.xx.xx.xx 指定来源IP或目标IP的包 xx.xx.xx.xx为IP地址。 $ tcpdump -w xx.txt 把抓的包写入一个文件,xx.txt为文件名 $ tcpdump -s0 -w xx.txt 抓包时防止包截断,s0的0为数字0,抓一个完整的包必须加s0。 $ tcpdump -r xx.txt 用户查看-w抓的包,xx.txt为文件名 -w抓的包实际是包的内容,非简单的流向。如果访问一张图片,用-w可以把这张图片抓出来。只看流向的话,可以使用重定向。 |
3.1 默认显示 tcpdump
|
1 |
$ tcpdump |
默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。
3.2 综合示例
|
1 |
$ ./tcpdump -i eth0 host 192.168.1.70 -w test.pcap |
3.3 过滤主机
|
1 2 3 4 5 6 7 8 |
//抓取所有经过 eth0,目的或源地址是 192.168.1.70 的网络数据 $ tcpdump -i eth0 host 192.168.1.70 //抓取所有经过 eth0,源地址是 192.168.1.70 的网络数据 $ tcpdump -i eth1 src host 192.168.1.70 //抓取所有经过 eth0,目的地址是 192.168.1.70 的网络数据 $ tcpdump -i eth1 dst host 192.168.1.70 |
3.4 过滤端口
|
1 2 3 4 5 6 |
//抓取所有经过 eth0,目的或源端口是 22 的网络数据 $ tcpdump -i eth0 port 22 //抓取所有经过 eth0,源端口是 22 的网络数据 $ tcpdump -i eth1 src port 22 //抓取所有经过 eth0,目的端口是 22 的网络数据 $ tcpdump -i eth1 dst port 22 |
3.5 过滤协议
|
1 2 3 4 5 |
$ tcpdump -i eth0 tcp $ tcpdump -i eth0 udp $ tcpdump -i eth0 ip $ tcpdump -i eth0 icmp $ tcpdump -i eth0 arp |
3.6 常用表达式:
在tcpdump的过滤表达式中,各类关键字之间还能够通过布尔运算符来构成组合表达式,以满足实际运用时的需要。
布尔运算符包括取非运算符(not 或!)、和运算符(and或&&)、或运算符(or或||),使用布尔运算符能够将表达式组合起来构成强大的组合条件,从而能够对 Tcpdump的过滤器做进一步细化。
|
1 2 3 4 5 6 |
//抓取所有经过 eth0,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据 $ tcpdump -i eth0 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))' //抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据 $ tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))' //抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据 $ tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))' |
3.7 保存到指定文件
|
1 2 3 4 |
//实时抓取3721端口,多播地址为228.228.228.228的包,然后写入228.228.228.228.pcap,然后通过Wireshark分析数据 $ tcpdump -i any '(host 228.228.228.228 && port 3721)' -w 228.228.228.228.pcap //实时抓取端口号8000的GET包,然后写入GET.log $ tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log |
通过组合不同的关键字和表达式,能够实现对任意网卡、协议、地址、端口数据包的过滤
3.8 其他相关命令
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
//抓取所有网卡的包 $ tcpdump -i any //ARP过滤,比如从指定的网络接口截获5个ARP数据包,并且不将网络地址转换成主机名 $ tcpdump arp -i eth0 -c 5 -n //截获在主机“9.185.10.57”和主机“9.185.10.58”或“9.185.10.59”之间传递的数据包 tcpdump host 9.185.10.57 and 9.185.10.58 or 9.185.10.59 //假如想要截获主机“9.185.10.57”和除主机“9.186.10.58”外任何其他主机之间通信的IP数据包,能够使用如下命令 $ tcpdump ip host 9.185.10.57 and ! 9.185.10.58 //抓取回环网口的包: $ tcpdump -i lo //防止包截断: $ tcpdump -s0 //以数字显示主机及端口: $ tcpdump -n |
4. 抓包的格式理解
主要看来源IP和目标IP,这两列。
例如显示报文如下:
16:52:25.923003 IP 10.10.8.3.59557 > 192.168.0.139.22: Flags [.], ack 196, win 16324, length 0
|
1 2 3 4 |
# 16:52:25.923003:时间.毫秒 # IP:IP 10.10.8.3.59557:来源IP.port # > 192.168.0.139.22:目标IP.port # Flags [.], ack 196, win 16324, length 0:略 |
微信赞赏
支付宝赞赏