tcpdump 命令使用簡介
簡單介紹
tcpdump 是一款強大的網絡抓包工具,運行在 linux 平台上。熟悉 tcpdump 的使用能夠幫助你分析、調試網絡數據。
要想使用很好地掌握 tcpdump, 必須對網絡報文(TCP/IP 協議)有一定的了解。不過對於簡單的使用來說,只要有網絡基礎概念就行了。
tcpdump 是一個很復雜的命令,想了解它的方方面面非常不易,也不值得推薦,能夠使用它解決日常工作中的問題才是關鍵。
選項
tcpdump 的選項也很多,要想知道所有選項的話,請參考 man tcpdump,下面只記錄 tcpdump 最常用的選項。
需要注意的是,tcpdump 默認只會截取前 96 字節的內容,要想截取所有的報文內容,可以使用 -s number, number 就是你要截取的報文字節數,如果是 0 的話,表示截取報文全部內容。
-n表示不要解析域名,直接顯示 ip。-nn不要解析域名和端口-X同時用 hex 和 ascii 顯示報文的內容。-XX同-X,但同時顯示以太網頭部。-S顯示絕對的序列號(sequence number),而不是相對編號。-i any監聽所有的網卡-v, -vv, -vvv:顯示更多的詳細信息-c number: 截取 number 個報文,然后結束-A: 只使用 ascii 打印報文的全部數據,不要和-X一起使用。截取 http 請求的時候可以用sudo tcpdump -nSA port 80!
簡單使用
1. tcpdump -nS
監聽所有端口,直接顯示 ip 地址。
2. tcpdump -nnvvS
顯示更詳細的數據報文,包括 tos, ttl, checksum 等。
3. tcpdump -nnvvXS
顯示數據報的全部數據信息,用 hex 和 ascii 兩列對比輸出。
下面是抓取 ping 命令的請求和返回的兩個報文,可以看到全部的數據。
➜ ~ sudo tcpdump -nnvXSs 0 -c2 icmp tcpdump: data link type PKTAP tcpdump: listening on pktap, link-type PKTAP (Packet Tap), capture size 65535 bytes 22:58:16.781856 IP (tos 0x0, ttl 64, id 61452, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.106 > 192.168.1.1: ICMP echo request, id 65302, seq 0, length 64 0x0000: 0c72 2c28 b9ac 80e6 5019 4c38 0800 4500 .r,(....P.L8..E. 0x0010: 0054 f00c 0000 4001 06e1 c0a8 016a c0a8 .T....@......j.. 0x0020: 0101 0800 72c9 ff16 0000 5500 5808 000b ....r.....U.X... 0x0030: ee08 0809 0a0b 0c0d 0e0f 1011 1213 1415 ................ 0x0040: 1617 1819 1a1b 1c1d 1e1f 2021 2223 2425 ...........!"#$% 0x0050: 2627 2829 2a2b 2c2d 2e2f 3031 3233 3435 &'()*+,-./012345 0x0060: 3637 67 22:58:17.674304 IP (tos 0x0, ttl 64, id 13972, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.1 > 192.168.1.106: ICMP echo reply, id 65302, seq 0, length 64 0x0000: 80e6 5019 4c38 0c72 2c28 b9ac 0800 4500 ..P.L8.r,(....E. 0x0010: 0054 3694 0000 4001 c059 c0a8 0101 c0a8 .T6...@..Y...... 0x0020: 016a 0000 7ac9 ff16 0000 5500 5808 000b .j..z.....U.X... 0x0030: ee08 0809 0a0b 0c0d 0e0f 1011 1213 1415 ................ 0x0040: 1617 1819 1a1b 1c1d 1e1f 2021 2223 2425 ...........!"#$% 0x0050: 2627 2829 2a2b 2c2d 2e2f 3031 3233 3435 &'()*+,-./012345 0x0060: 3637 67 2 packets captured 5875 packets received by filter 0 packets dropped by kernel
過濾器
機器上的網絡報文數量異常的多,很多時候我們只關系和具體問題有關的數據報(比如訪問某個網站的數據,或者 icmp 超時的報文等等),而這些數據只占到很小的一部分。把所有的數據截取下來,從里面找到想要的信息無疑是一件很費時費力的工作。而 tcpdump 提供了靈活的語法可以精確地截取關心的數據報,簡化分析的工作量。這些選擇數據包的語句就是過濾器(filter)!
過濾器也可以簡單地分為三類:type, dir 和 proto。
Type 讓你區分報文的類型,主要由 host(主機), net(網絡) 和 port(端口) 組成。src 和 dst 也可以用來過濾報文的源地址和目的地址。
host: 過濾某個主機的數據報文
tcpdump host 1.2.3.4
src, dst: 過濾源地址和目的地址
tcpdump src 2.3.4.5 tcpdump dst 3.4.5.6
net: 過濾某個網段的數據,CIDR 模式
tcpdump net 1.2.3.0/24
proto: 過濾某個協議的數據,支持 tcp, udp 和 icmp。使用的時候可以省略 proto 關鍵字。
tcpdump icmp
port: 過濾通過某個端口的數據報
tcpdump port 3389
src/dst, port, protocol: 結合三者
tcpdump src port 1025 and tcp tcpdump udp and src port 53
此外還有指定端口和數據報文范圍的過濾器:
port 范圍
tcpdump portrange 21-23
數據報大小,單位是字節
tcpdump less 32 tcpdump greater 128 tcpdump > 32 tcpdump <= 128
過於過濾器的更多詳細信息,請訪問 tcpdump 官方 map page 的 PCAP-FILTER 部分。
輸出到文件
使用 tcpdump 截取數據報文的時候,默認會打印到屏幕的默認輸出,你會看到按照順序和格式,很多的數據一行行快速閃過,根本來不及看清楚所有的內容。不過,tcpdump 提供了把截取的數據保存到文件的功能,以便后面使用其他圖形工具(比如 wireshark,Snort)來分析。
-w 選項用來把數據報文輸出到文件,比如下面的命令就是把所有 80 端口的數據導入到文件
# sudo tcpdump -w capture_file.pcap port 80
-r 可以讀取文件里的數據報文,顯示到屏幕上。
# tcpdump -nXr capture_file.pcap host web30
NOTE:保存到文件的數據不是屏幕上看到的文件信息,而是包含了額外信息的固定格式 pcap,需要特殊的軟件來查看,使用 vim 或者 cat 命令會出現亂碼。
強大的過濾器
過濾的真正強大之處在於你可以隨意組合它們,而連接它們的邏輯就是常用的 與/AND/&&、 或/OR/|| 和 非/not/!。
源地址是 10.5.2.3,目的端口是 3389 的數據報
tcpdump -nnvS src 10.5.2.3 and dst port 3389
從 192.168 網段到 10 或者 172.16 網段的數據報
tcpdump -nvX src net 192.168.0.0/16 and dat net 10.0.0.0/8 or 172.16.0.0/16
從 Mars 或者 Pluto 發出的數據報,並且目的端口不是 22
tcpdump -vv src mars or pluto and not dat port 22
從上面的例子就可以看出,你可以隨意地組合之前的過濾器來截取自己期望的數據報,最重要的就是知道自己要精確匹配的數據室怎樣的!
對於比較復雜的過濾器表達式,為了邏輯的清晰,可以使用括號。不過默認情況下,tcpdump 把 () 當做特殊的字符,所以必須使用單引號 ' 來消除歧義:
tcpdump -nvv -c 20 'src 10.0.2.4 and (dat port 3389 or 22)'
理解 tcpdump 的輸出
截取數據只是第一步,第二步就是理解這些數據,下面就解釋一下 tcpdump 命令輸出各部分的意義。
21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64) 192.168.1.106.56166 > 124.192.132.54.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 0 21:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44) 124.192.132.54.80 > 192.168.1.106.56166: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 0 21:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40) 192.168.1.106.56166 > 124.192.132.54.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0
最基本也是最重要的信息就是數據報的源地址/端口和目的地址/端口,上面的例子第一條數據報中,源地址 ip 是 192.168.1.106,源端口是 56166,目的地址是 124.192.132.54,目的端口是 80。 > 符號代表數據的方向。
此外,上面的三條數據還是 tcp 協議的三次握手過程,第一條就是 SYN 報文,這個可以通過 Flags [S] 看出。下面是常見的 TCP 報文的 Flags:
[S]: SYN(開始連接)[.]: 沒有 Flag[P]: PSH(推送數據)[F]: FIN (結束連接)[R]: RST(重置連接)
而第二條數據的 [S.] 表示 SYN-ACK,就是 SYN 報文的應答報文。
參考文檔
本文主要參考了下面兩篇文章,算是翻譯和二次創作。