芯耀
166
概述
用简单的话来定义 tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
tcpdump 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助你去掉无用的信息。
tcpdump 基于底层 libpcap 库开发,运行需要 root 权限。
一、tcpdump 安装
环境 虚拟机:vmware 15.5.2 os: ubuntu 12.04
安装 tcpdump
sudo?apt-get?install?tcpdump
3. 版本查看
tcpdump?--h
tcpdump version 4.0。
libpcap version 1.1.1 ? ?表示 libpcap 的版本。
二、tcpdump 参数
常用参数选项说明:
| 参数 | 含义 |
|---|---|
| -a | 将网络地址和广播地址转变成名字 |
| -c | 在收到指定的包的数目后,tcpdump 就会停止; |
| -d | 将匹配信息包的代码以人们能够理解的汇编格式给出;以可阅读的格式输出。 |
| -dd | 将匹配信息包的代码以 c 语言程序段的格式给出; |
| -ddd | 将匹配信息包的代码以十进制的形式给出; |
| -e | 在输出行打印出数据链路层的头部信息; |
| -f | 将外部的 Internet 地址以数字的形式打印出来; |
| -l | 使标准输出变为缓冲行形式; |
| -n | 直接显示 IP 地址,不显示名称; |
| -nn | 端口名称显示为数字形式,不显示名称; |
| -t | 在输出的每一行不打印时间戳; |
| -v | 输出一个稍微详细的信息,例如在 ip 包中可以包括 ttl 和服务类型的信息; |
| -vv | 输出详细的报文信息; |
| -F | 从指定的文件中读取表达式,忽略其它的表达式; |
| -i | 指定监听的网络接口; |
| -r | 从指定的文件中读取包(这些包一般通过 -w 选项产生); |
| -w | 直接将包写入文件中,并不分析和打印出来; |
| -T | 将监听到的包直接解释为指定的类型的报文,常见的类型有 rpc (远程过程调用)和 snmp(简单 网络管理协议;) |
三、命令选项使用举例
1. 截获主机收到和发出的所有数据包。
命令:
tcpdump
说明:
tcpdump 截取包默认显示数据包的头部。
普通情况下,直接启动 tcpdump 将监视第一个网络接口上所有流过的数据包。
基础格式:时间 数据包类型 源 IP 端口 / 协议 > 目标 IP 端口 / 协议 协议详细信息
按下 Ctrl+C 会终止 tcpdump 命令。且会在结尾处生成统计信息。
终止 tcpdump
2. 指定抓包数量 -c
指定抓取 2 个数据包。
命令:
tcpdump?-c?2
说明:
最后会自动生成统计信息。
【注意,已经切换到管理员了,虚拟机中要产生数据包,可以另外开一个窗口 ping baidu.com 后面不再提示】
ping baidu.com
3. 将抓包信息写入文件 -w
使用 -w 选项指定记录文件。
命令:
tcpdump?-c?10?-w?tcpdump_test.log
说明:
保存的文件不是文本格式,不能直接查看。tcpdump 保存的文件的格式是几乎所有主流的抓包工具软件都可以读取。所以可以使用更易读的图形界面工具来查看记录文件。
4. 读取记录文件 -r
使用 -r 选项读取文件。
命令:
tcpdump?-r?tcpdump_test.log
![读取记录文件
5. 打印出所有可工作的接口 -D
命令:
tcpdump?-D
其中网卡为 eth0。
6. 指定监控的网卡 -i
命令:
tcpdump?-i?eth0
如果不指定网卡,默认 tcpdump 只会监视第一个网络接口,一般是 eth0。
7. 显示更详细的数据包信息 -v ?-vv
选项 -v,-vv 可以显示更详细的抓包信息。
tcpdump -v
tcpdump -vv
8. 不使用域名反解 -n
使用 -n 后,tcpdump 会直接显示 IP 地址,不会显示域名(与 netstat 命令相似)。
9. 增加抓包时间戳 -tttt 选项
tcpdump 的所有输出打印行中都会默认包含时间戳信息;时间戳信息的显示格式如下
hh:mm:ss.frac?(nt:?小时:分钟:秒 .)
此时间戳的精度与内核时间精度一致, 反映的是内核第一次看到对应数据包的时间;
而数据包从物理线路传递到内核的时间, 以及内核花费在此包上的中断处理时间都没有算进来;
使用 -tttt 选项,抓包结果中将包含抓包日期:
命令:
tcpdump?-tttt
增加抓包时间戳
四、条件过滤
1. 过滤:指定需要抓取的协议
tcpdump 可以只抓某种协议的包,支持指定以下协议:「ip,ip6,arp,tcp,udp,wlan」等。
命令:
tcpdump?udp
tcpdump?icmp
tcpdump?tcp
tcpdump?arp
2. 过滤:指定协议的端口号
使用 port 参数,用于指定端口号。
命令:tcpdump tcp port 80
使用 portrange 参数,用于指定端口范围。
命令:tcpdump tcp portrange 1-1024
3. 过滤:指定源与目标
src 表示源。
dst 表示目标。
命令:
tcpdump src port 8080
tcpdump dst port 80
4. 过滤:指定特定主机的消息包
使用 host 指定需要监听的主机。
命令:
tcpdump?host?192.168.1.113
注意:若使用了 host 参数使用了计算机名或域名。例 tcpdump host shi-pc ,则无法再使用 -n 选项。
5. 过滤:指定数据包大小
使用 greater(大于)与 less(小于)可以指定数据包大小的范围。
「例:只抓取大于 1000 字节的数据包。」
命令:
tcpdump?greater?1000
「例:只抓取小于 10 字节的数据包。」
命令:
tcpdump?less?10
五、 逻辑表达式
使用基本逻辑组合拼装出更精细的过滤条件。
1. 逻辑与
逻辑与关系,使用 and。
命令:
tcpdump?tcp?and?host?192.168.1.112
tcpdump?tcp?and?src?192.168.1.112?and?port?8080
2. 逻辑或
逻辑或关系,使用 or。
命令:
tcpdump?host?192.168.1.112?or?192.168.1.113
3. 逻辑非
逻辑非关系,使用 not,也可以使用 ! 。
若使用 ! 必须与其后面的字符隔开一个空格。
例:当通过 ssh 协议远程使用 tcpdump 时,为了避免 ssh 的数据包的输出,所以一般需要禁止 ssh 数据包的输出。
命令:
tcpdump?not?tcp?port?22
tcpdump?!?tcp?port?22
4. 括号
括号需要使用在引号内,或转意使用。否则会报错。
例:抓取非 22 端口,且主机为 192.168.1.112 和 192.168.1.113 的 TCP 数据包。
命令:
tcpdump?not?tcp?port?22?and?host?192.168.1.112or192.168.1.113
tcpdump?"not?tcp?port?22?and?host?(192.168.1.112?or?192.168.1.113)"
tcpdump?not?tcp?port?22?and?host?"(192.168.1.112?or?192.168.1.113)"
六、其他实例
1. 打印所有进入或离开 sundown 的数据包 .
tcpdump?host?sundown
2. 截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信
tcpdump?host?210.27.48.1?and??(210.27.48.2?or?210.27.48.3?)??
3. 如果想要获取主机 210.27.48.1 除了和主机 210.27.48.2 之外所有主机通信的 ip 包,使用命令:
tcpdump?ip?host?210.27.48.1?and?!?210.27.48.2
4. 监视所有送到主机 hostname 的数据包
tcpdump?-i?eth0?dst?host?hostname
5. 获取主机 210.27.48.1 接收或发出的 telnet 包
23 为 telnet 的端口
tcpdump?tcp?port?23?and?host?210.27.48.1
6. 监视本机的 udp 123 端口
123 为 ntp 的服务端口
tcpdump?udp?port?123?
7. 使用 tcpdump 抓取 HTTP 包
tcpdump??-XvvennSs?0?-i?eth0?tcp[20:2]=0x4745?or?tcp[20:2]=0x4854
- 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。
tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。
显然这不利于分析网络故障,通常的解决办法是先使用带**-w 参数的 tcpdump 截获数据并保存到文件中**,然后再使用其他程序(如 Wireshark)进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
六、查看数据包完整内容
tcpdump 默认不显示数据包的详细内容。
方法一:
使用 -A 参数能以 ASCII 码显示数据包。
例:只抓取 1 个数据包,并显示其内容。
命令:
tcpdump?-c?1?-A
方法二:
使用 -X 参数能 16 进制数与 ASCII 码共同显示数据包。
例:只抓取 1 个数据包,并显示其内容。
命令:
tcpdump?-c?1?-X
七、tcpdump 与 wireshark
Wireshark(以前是 ethereal)是 Windows 下非常简单易用的抓包工具,现在也有 Linux 版本。
通过 Tcpdump 抓取的数据包分析比较麻烦,要想很方便的分析数据包, 我们可以用 Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在 Windows 里分析包。
保存数据包为 wireshark 能识别的文件:
tcpdump?tcp?-i?eth1?-t?-s?0?-c?100?and?dst?port?!?22?and?src?net?192.168.1.0/24?-w?./target.cap
| 参数 | 含义 |
|---|---|
| tcp | ip icmp arp rarp 和 tcp、udp、icmp 这些选项等都要放到第一个参数的位置,用来过滤数据报的类型 |
| -i eth1 | 只抓经过接口 eth1 的包 |
| -t | 不显示时间戳 |
| -s 0 | 抓取数据包时默认抓取长度为 68 字节。加上 -S 0 后可以抓到完整的数据包 |
| -c 100 | 只抓取 100 个数据包 |
| dst port ! 22 | 不抓取目标端口是 22 的数据包 |
| src net 192.168.1.0/24 | 数据包的源网络地址为 192.168.1.0/24 |
| -w ./target.cap | 保存成 cap 文件,方便用 ethereal(即 wireshark)分析 |
