tcpdump命令,即:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。
tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
實用命令實例
默認啟動
tcpdump
普通情況下,直接啟動tcpdump將監視第一個網絡接口上所有流過的數據包。
監視指定網絡接口的數據包
復制代碼代碼如下:
tcpdump -i eth1
如果不指定網卡,默認tcpdump只會監視第一個網絡接口,一般是eth0,下面的例子都沒有指定網絡接口。
監視指定主機的數據包
打印所有進入或離開sundown的數據包.
復制代碼代碼如下:
tcpdump host sundown
也可以指定ip,例如截獲所有210.27.48.1 的主機收到的和發出的所有的數據包
復制代碼代碼如下:
tcpdump host 210.27.48.1
打印helios 與 hot 或者與 ace 之間通信的數據包
復制代碼代碼如下:
tcpdump host helios and \( hot or ace \)
截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信
復制代碼代碼如下:
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
打印ace與任何其他主機之間通信的IP 數據包, 但不包括與helios之間的數據包.
復制代碼代碼如下:
tcpdump ip host ace and not helios
如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:
復制代碼代碼如下:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截獲主機hostname發送的所有數據
復制代碼代碼如下:
tcpdump -i eth0 src host hostname
監視所有送到主機hostname的數據包
復制代碼代碼如下:
tcpdump -i eth0 dst host hostname
監視指定主機和端口的數據包
如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令
復制代碼代碼如下:
tcpdump tcp port 23 host 210.27.48.1
對本機的udp 123 端口進行監視 123 為ntp的服務端口
復制代碼代碼如下:
tcpdump udp port 123
監視指定網絡的數據包
打印本地主機與Berkeley網絡上的主機之間的所有通信數據包(nt: ucb-ether, 此處可理解為'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達為: 打印網絡地址為ucb-ether的所有數據包)
復制代碼代碼如下:
tcpdump net ucb-ether
打印所有通過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這可以防止shell對其中的括號進行錯誤解析)
復制代碼代碼如下:
tcpdump 'gateway snup and (port ftp or ftp-data)'
打印所有源地址或目標地址是本地主機的IP數據包
(如果本地網絡通過網關連到了另一網絡, 則另一網絡並不能算作本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)
復制代碼代碼如下:
tcpdump ip and not net localnet
監視指定協議的數據包
打印TCP會話中的的開始和結束數據包, 並且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))
復制代碼代碼如下:
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
打印所有源或目的端口是80, 網絡層協議為IPv4, 並且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本的表達式可做練習)
復制代碼代碼如下:
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
(nt: 可理解為, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf代表包中的IHL域, 而此域的單位為32bit, 要換算
成字節數需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit, 換算成比特數為 ((tcp[12]&0xf0) >> 4) << 2,
即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整個ip數據包的長度減去ip頭的長度,再減去
tcp頭的長度不為0, 這就意味著, ip數據包中確實是有數據.對於ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 並且其中表達方式'ip[]'需換成'ip6[]'.)
打印長度超過576字節, 並且網關地址是snup的IP數據包
復制代碼代碼如下:
tcpdump 'gateway snup and ip[2:2] > 576'
打印所有IP層廣播或多播的數據包, 但不是物理以太網層的廣播或多播數據報
復制代碼代碼如下:
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
打印除'echo request'或者'echo reply'類型以外的ICMP數據包( 比如,需要打印所有非ping 程序產生的數據包時可用到此表達式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包通常由ping程序產生))
復制代碼代碼如下:
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
tcpdump 與wireshark
Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現:在 Linux 裡抓包,然後在Windows 裡分析包。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
(2)-i eth1 : 只抓經過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 後可以抓到完整的數據包
(5)-c 100 : 只抓取100個數據包
(6)dst port ! 22 : 不抓取目標端口是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
使用tcpdump抓取HTTP包
復制代碼代碼如下:
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 為"GET"前兩個字母"GE",0x4854 為"HTTP"前兩個字母"HT"。
tcpdump 對截獲的數據並沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,然後再使用其他程序(如Wireshark)進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬盤。
輸出信息含義
首先我們注意一下,基本上tcpdump總的的輸出格式為:系統時間 來源主機.端口 > 目標主機.端口 數據包參數
tcpdump 的輸出格式與協議有關.以下簡要描述了大部分常用的格式及相關例子.
鏈路層頭
對於FDDI網絡, '-e' 使tcpdump打印出指定數據包的'frame control' 域, 源和目的地址, 以及包的長度.(frame control域
控制對包中其他域的解析). 一般的包(比如那些IP datagrams)都是帶有'async'(異步標志)的數據包,並且有取值0到7的優先級;
比如 'async4'就代表此包為異步數據包,並且優先級別為4. 通常認為,這些包們會內含一個 LLC包(邏輯鏈路控制包); 這時,如果此包
不是一個ISO datagram或所謂的SNAP包,其LLC頭部將會被打印(nt:應該是指此包內含的 LLC包的包頭).
對於Token Ring網絡(令牌環網絡), '-e' 使tcpdump打印出指定數據包的'frame control'和'access control'域, 以及源和目的地址,
外加包的長度. 與FDDI網絡類似, 此數據包通常內含LLC數據包. 不管 是否有'-e'選項.對於此網絡上的'source-routed'類型數據包(nt:
意譯為:源地址被追蹤的數據包,具體含義未知,需補充), 其包的源路由信息總會被打印.
對於802.11網絡(WLAN,即wireless local area network), '-e' 使tcpdump打印出指定數據包的'frame control域,
包頭中包含的所有地址, 以及包的長度.與FDDI網絡類似, 此數據包通常內含LLC數據包.
(注意: 以下的描述會假設你熟悉SLIP壓縮算法 (nt:SLIP為Serial Line Internet Protocol.), 這個算法可以在RFC-1144中找到相關的蛛絲馬跡.)
對於SLIP網絡(nt:SLIP links, 可理解為一個網絡, 即通過串行線路建立的連接, 而一個簡單的連接也可看成一個網絡),數據包的'direction indicator'('方向指示標志')("I"表示入, "O"表示出), 類型以及壓縮信息將會被打印. 包類型會被首先打印.
類型分為ip, utcp以及ctcp(nt:未知, 需補充). 對於ip包,連接信息將不被打印(nt:SLIP連接上,ip包的連接信息可能無用或沒有定義.
reconfirm).對於TCP數據包, 連接標識緊接著類型表示被打印. 如果此包被壓縮, 其被編碼過的頭部將被打印.
此時對於特殊的壓縮包,會如下顯示:
*S+n 或者 *SA+n, 其中n代表包的(順序號或(順序號和應答號))增加或減少的數目(nt | rt:S,SA拗口, 需再譯).
對於非特殊的壓縮包,0個或更多的'改變'將會被打印.'改變'被打印時格式如下:
'標志'+/-/=n 包數據的長度 壓縮的頭部長度.
其中'標志'可以取以下值:
U(代表緊急指針), W(指緩沖窗口), A(應答), S(序列號), I(包ID),而增量表達'=n'表示被賦予新的值, +/-表示增加或減少.
比如, 以下顯示了對一個外發壓縮TCP數據包的打印, 這個數據包隱含一個連接標識(connection identifier); 應答號增加了6,順序號增加了49, 包ID號增加了6; 包數據長度為3字節(octect), 壓縮頭部為6字節.(nt:如此看來這應該不是一個特殊的壓縮數據包).
ARP/RARP 數據包
tcpdump對Arp/rarp包的輸出信息中會包含請求類型及該請求對應的參數. 顯示格式簡潔明了. 以下是從主機rtsg到主機csam的'rlogin'
(遠程登錄)過程開始階段的數據包樣例:
復制代碼代碼如下:
arp who-has csam tell rtsg
arp reply csam is-at CSAM
第一行表示:rtsg發送了一個arp數據包(nt:向全網段發送,arp數據包)以詢問csam的以太網地址
Csam(nt:可從下文看出來, 是Csam)以她自己的以太網地址做了回應(在這個例子中, 以太網地址以大寫的名字標識, 而internet
地址(即ip地址)以全部的小寫名字標識).
如果使用tcpdump -n, 可以清晰看到以太網以及ip地址而不是名字標識:
復制代碼代碼如下:
arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4
如果我們使用tcpdump -e, 則可以清晰的看到第一個數據包是全網廣播的, 而第二個數據包是點對點的:
RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM
第一個數據包表明:以arp包的源以太地址是RTSG, 目標地址是全以太網段, type域的值為16進制0806(表示ETHER_ARP(nt:arp包的類型標識)),
包的總長度為64字節.
上一頁12 3 4 下一頁 閱讀全文