Tags: Tcpdump
tcpdump应用概述
通常情况下,直接启动Tcpdump将监听第一个网络接口上的所有流量.
tcpdump中有几种类型的关键字:
第一种:关于类型的关键字,主要有host,net,port.缺省类型是host
第二种:关于传输方向的关键字,主要是src,dst,dst or src,dst and src.缺省是dst or src.
第三种:关于协议的关键字,主要有ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp,udp.缺省情况下监听所有协议的信息包
tcpdump还支持三种逻辑运算符:
与运算:and 或 &&
或运算:or 或 ||
取非运算:not 或 !
tcpdump的常用参数
-A用ASCII的方式打印出所抓到的包
-c 指定要监听包的数量
-e(显示链路层的包头
-F把file的内容作为过滤表达式,忽略命令行上的表达式
-i指定要监听的网络端口,如果不指定接口,tcpdump在系统接口清单中找号码最小的,且已经配置好的接口(loopback除外).
-l行缓冲标准输出,可用于在抓包到文件的同时可以查看所抓的包
如:
tcpdump -l | tee file.log 或
tcpdump -l > file.log & tail -f file.log
-n 不把主机地址翻译成域名,这可以避免DNS的查询
-N 不打印主机名中的域名部分,如主机名nic.ddn.mail,会去掉域名部分,只显示nic.
-p 不把接口置成混杂模式,但接口可能因为其他原因运行在混杂模式下.
-q 快速输出,输出信息要比正常输出要短.
-r 从file中读入数据报文(file由-w选项所产生的),如果file是"-",就读标准输入.
-s 从每个报文中截取snaple字节的数据,而不是缺省的68字节(对于SUN的系统,这个最小值实际上是96字节),68字节适用于IP,ICMP,TCP和UDP,但有可能
截掉域名服务器和NFS报文的协议信息.如果输出时指定截断发生处的协议层名称,tcpdump可以指出那些扑捉量过小的数据包.因为采用更大的范围即增加了
处理报文的时间,又相应的减少了报文的缓冲数量,且可能导致报文丢失.所以你应该把snaplen设的尽量的小.如果设置snaplen为0,则表示要抓取整个长度
的报文.
-S 显示绝对的,而不是相对的TCP序列号
-t 不显示时间戳
-tt 显示未格式化的时间戳
-ttt 在每一行打印一个当前包与前一个包的时间差(毫秒级)
-tttt 在每一行打印一个当前时间
-T 将监听到的包强制解释为指定类型的报文
-v 打印略微详细的信息,如IP报文中的生存周期,服务类型.IP和ICMP的校验报头.
-vv 打印更加详细的信息,如NFS的应答报文,SMB的解码报文
-vvv 打印非常详细的信息,如Telnet的SB…SE选项.当加入-X选项后可以以十六进制打印Telnet的选项
-w 把原始报文保存到file,而不是分析和显示,之后可以用-r选项显示,如果file是"-",就写入到标准输出
-x 去掉链路层报头后,以16进制数形式显示每一个报文.较小的报文和snaplen字节会被显示,
-X 去掉链路层报头后,以16进制数或ASCII形式显示每一个报文,这个选项对分析新的协议很方便.
-XX 以16进制数或ASCII形式显示每一个报文,包括链路层报头.
-y 当抓数据链路类型的包时,设置所抓的包的类型.
tcpdump实例列举
截获所有指定IP主机的数据包.
tcpdump host 192.168.10.2
截获主机192.168.10.1和192.168.10.167 或192.168.10.168之间的通信
tcpdump host 192.168.10.1 and /(192.168.10.167 or 192.168.10.168/)
截获主机192.168.10.1除了和192.168.10.167之外的所有主机的通信的ip包
tcpdump ip host 192.168.10.1 and ! 192.168.10.167
截获主机192.168.10.1接受或发出的telnet包
tcpdump tcp port 23 host 192.168.10.1
监听本机udp的123端口
tcpdump udp port 123
监听所有从192.168.10.1的eth0发出的数据包
tcpdump -i eth0 src host 192.168.10.1
监听所有从192.168.10.1的eth0接收的数据包
tcpdump -i eth0 dst host 192.168.10.1
监听通过指定网关的数据包(注:gateway后面必须是一个主机名,且这个这个主机必须可在网络上找到,可通过添加host文件,dns,nis等实现)
tcpdump -i eth0 gateway gateway_name
监听192.168.10.1上的目的端口是80的数据包
tcpdump -i eth0 host 192.168.10.1 and dst port 80
监听arp广播
tcpdump arp
以最详细的信息记录在eth0上的源端口是80的,包括链路层信息的,完整的数据包的最开始的十个
tcpdump -e -vvv -XXX -S -s 0 -i eth0 -c 10 src port 80
把监听到的信息输入到文件,并不在终端显示
tcpdump -w tcpdump.out
把用-w选项保存的文件在终端显示
tcpdump -r tcpdump.out
注:
一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包,为了接收这些数据包,就必须使用网卡的混杂模式,并绕过标准的TCP/IP堆栈才行。在FreeBSD下,这就需要内核支持伪设备bpfilter。因此,在内核中取消bpfilter支持,就能屏蔽 tcpdump之类的网络分析工具。
并且当网卡被设置为混杂模式时,系统会在控制台和日志文件中留下记录,提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。
Tcpdump 的用法
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网??上的特定的网络协议,实际上它是"ether" 的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,
使用-c参数指定要监听的数据包数量,
使用-w参数指定将监听到的数据包写入文件中保存
A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123
F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
#tcpdump -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包:
#tcpdump -i eth0 dst host hostname
H 我们还可以监视通过指定网关的数据包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'o
r' ,'||';
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服务的主机
如果条件很多的话 要在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混杂模式 系统的日志将会记录
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
除了过滤语句,还有一个很重要的参数,也就是说,如果这个参数不设置正确,会导致包数据的丢失!
它就是-s 参数,snaplen, 也就是数据包的截取长度,仔细看man就会明白的!默认截取长度为60个字节,但一般ethernet MTU都是1500字节。所以,要抓取大于60字节的包时,使用默认参数就会导致包数据丢失!
只要使用-s 0就可以按包长,截取数据!
下面我们介绍几种典型的tcpdump命令的输出信息
A,数据链路层头信息
使用命令
#tcpdump –e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条命令的输出结果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是显示的时间, 847509是ID号,eth0 <表示从网络接口eth0 接受该数据包,eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
B,ARP包的TCPDUMP输出信息
使用命令
#tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。
C,TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.
D,UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP, 包的长度是lenth
扫一扫
12-15
1569
1569
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
