tcpdump抓包指令使用示例

 

tcpdump是一個用於截取網絡分組，並輸出分組內容的工具。

tcpdump憑借強大的功能和靈活的截取策略，使其成為類UNIX系統下用於網絡分析和問題排查的首選工具。tcpdump提供了源代碼，公開了接口，因此具備很強的可擴展性，對於網絡維護和入侵者都是非常有用的工具。tcpdump存在於基本的Linux系統中，由於它需要將網絡界面設置為混雜模式，普通用戶不能正常執行，但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅，而是對網絡上的其他計算機的安全存在威脅。

一、概述
顧名思義，tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

引用

# tcpdump  -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:53:21.444591 IP (tos 0x10, ttl 64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266
asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!] 325+ PTR? 244.228.168.192.in-addr.arpa. (46)
11:53:21.446929 IP (tos 0x0, ttl 64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077: 325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)
11:53:21.447408 IP (tos 0x10, ttl 64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266

347 packets captured
1474 packets received by filter
745 packets dropped by kernel
不帶參數的tcpdump會收集網絡中所有的信息包頭，數據量巨大，必須過濾。

 

二、選項介紹
-A          以ASCII格式打印出所有分組，並將鏈路層的頭最小化。

-c           在收到指定的數量的分組后，tcpdump就會停止。

-C          在將一個原始分組寫入文件之前，檢查文件當前的大小是否超過了參數file_size中指定的大小。如果超過了指定大小，則關閉當前文件，然后在打開一個新的文件。參數file_size的單位是兆字節（是1,000,000字節，而不是1,048,576字節）。
-d          將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd         將匹配信息包的代碼以c語言程序段的格式給出。
-ddd       將匹配信息包的代碼以十進制的形式給出。
-D          打印出系統中所有可以用tcpdump截包的網絡接口。
-e           在輸出行打印出數據鏈路層的頭部信息。
-E          用spi@ipaddr algo:secret解密那些以addr作為地址，並且包含了安全參數索引值spi的IPsec ESP分組。
-f           將外部的Internet地址以數字的形式打印出來。
-F          從指定的文件中讀取表達式，忽略命令行中給出的表達式。
-i           指定監聽的網絡接口。
-l           使標准輸出變為緩沖行形式，可以把數據導出到文件。
-L          列出網絡接口的已知數據鏈路。
-m         從文件module中導入SMI MIB模塊定義。該參數可以被使用多次，以導入多個MIB模塊。
-M         如果tcp報文中存在TCP-MD5選項，則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要（詳情可參考RFC 2385）。
-b          在數據-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。
-n          不把網絡地址轉換成名字(使用IP地址顯示)。
-nn               不進行端口名稱的轉換（使用端號口顯示）。
-N          不輸出主機名中的域名部分。例如，‘nic.ddn.mil‘只輸出’nic‘。
-O          不運行分組分組匹配（packet-matching）代碼優化程序。
-P          不將網絡接口設置成混雜模式（默認是混雜模式）。
-q          快速輸出。只輸出較少的協議信息。
-S           將tcp的序列號以絕對值形式輸出，而不是相對值。
-s           從每個分組中讀取最開始的snaplen個字節，而不是默認的60個字節（即tcpdump截取數據包的長度，設置為0，則自動按照數據包的長度截取）。
-T          將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc（遠程過程調用）和snmp（簡單網絡管理協議；）。
-t            不在每一行中輸出時間戳。
-tt           在每一行中輸出非格式化的時間戳（顯示unix紀元時）
-ttt          輸出本行和前面一行之間的時間差。（顯示每兩次報文之間的時間差）

-tttt         在每一行中輸出由date處理的默認格式的時間戳。（以date默認格式輸出時間）

-u           輸出未解碼的NFS句柄。
-v           輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息。
-vv         輸出詳細的報文信息。

-r            從指定的文件中讀取包(這些包一般通過-w選項產生)。
-w          直接將分組寫入文件中，而不是不分析並打印出來。

三、tcpdump的表達式介紹
表達式是一個正則表達式，tcpdump利用它作為過濾報文的條件，如果一個報文滿足表達式的條件，則這個報文將會被捕獲。如果沒有給出任何條件，則網絡上所有的信息包將會被截獲。
在表達式中一般如下幾種類型的關鍵字：
引用
第一種是關於類型的關鍵字，主要包括：host，net，port

例如：
host 210.27.48.2           指明 210.27.48.2是一台主機，
net 202.0.0.0                 指明202.0.0.0是一個網絡地址，
port 23                           指明端口號是23。
如果沒有指定類型，缺省的類型是host。

第二種是確定傳輸方向的關鍵字，主要包括：src，dst，dst or src，dst and src

這些關鍵字指明了傳輸的方向。

舉例說明：

src 210.27.48.2                    指明ip包中源地址是 210.27.48.2，
dst net 202.0.0.0                  指明目的網絡地址是202.0.0.0。

如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。

第三種是協議的關鍵字，主要包括：fddi，ip，arp，rarp，tcp，udp等類型

Fddi指明是在FDDI(分布式光纖數據接口網絡)上的特定的網絡協議，實際上它是”ether”的別名，fddi和ether 具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。 其他的幾個關鍵字就是指明了監聽的包的協議內容。

如果沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。

 

第四種是其他關鍵字，除了這三種類型的關鍵字之外，其他重要的關鍵字如下：

gateway，broadcast，less，greater，

還有三種邏輯運算：

取非運算是：‘not '，'! ‘

與運算是：’and’，’&&'

或運算是：’or’，’||’；

這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。

 

四、輸出結果介紹
下面我們介紹幾種典型的tcpdump命令的輸出信息
(1) 數據鏈路層頭信息（會將mac地址打印出來）
使用命令：
#tcpdump  -e  host ICE
ICE 是一台裝有linux的主機。它的MAC地址是0：90：27：58：AF：1A H219是一台裝有Solaris的SUN工作站。它的MAC地址是8：0：20：79：5B：46；上一條命令的輸出結果如下所示：
引用
21:50:12.847509  eth0 <  8:0:20:79:5b:46  0:90:27:58:af:1a  ip  60:  h219.33357 > ICE.telnet 0:0(0)  ack 22535  win 8760 (DF)
21：50：12是顯示的時間，

847509是ID號，

eth0 <表示從網絡接口eth0接收該分組，

eth0 >表示從網絡接口設備發送分組，

8:0:20:79:5b:46是主機H219的MAC地址，它表明是從源地址H219發來的分組，

0:90:27:58:af:1a是主機ICE的MAC地址，表示該分組的目的地址是ICE，

ip 是表明該分組是IP分組，

60 是分組的長度，

h219.33357 > ICE. telnet表明該分組是從主機H219的33357端口發往主機ICE的 TELNET(23)端口。

ack 22535 表明對序列號是222535的包進行響應。

win 8760表明發送窗口的大小是8760。
(2) ARP包的tcpdump輸出信息
使用命令：
#tcpdump  arp
得到的輸出結果是：
引用
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是時間戳，

802509是ID號，

eth0 >表明從主機發出該分組，

arp表明是ARP請求包，

who-has route tell ICE表明是主機ICE請求主機route的MAC地址。

0:90:27:58:af:1a是主機ICE的MAC地址。
(3) TCP包的輸出信息(重點)
用tcpdump捕獲的TCP包的一般輸出信息是：
格式：
時間.ID  src > dst: flags  data-seqno  ack  window  urgent  options
src > dst:表明從源地址到目的地址，

flags是TCP報文中的標志信息：S是SYN標志，F(FIN)，P(PUSH)，R(RST)，"."(沒有標記);

data-seqno是報文中的數據的順序號，

ack是下次期望的順序號，

window是接收緩存的窗口大小，

urgent表明報文中是否有緊急指針。

Options是選項。

(4) UDP包的輸出信息（重點）
用tcpdump捕獲的UDP包的一般輸出信息是：
格式：
route.port1 > ICE.port2: udp length
UDP十分簡單，上面的輸出行表明從主機route的port1端口發出的一個UDP報文到主機ICE的port2端口，類型是UDP，包的長度是length。

 

五、舉例
(1) 想要截獲所有210.27.48.1的主機收到的和發出的所有的分組：
#tcpdump  host  210.27.48.1
(2) 想要截獲主機210.27.48.1和主機210.27.48.2或210.27.48.3的通信，使用命令（注意：括號前的反斜杠是必須的）：
#tcpdump  host   210.27.48.1  and  210.27.48.2  or  210.27.48.3
(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump  ip  host 210.27.48.1 and ! 210.27.48.2
(4) 如果想要獲取主機192.168.228.246接收或發出的ssh包，並且不轉換主機名使用如下命令：
#tcpdump  -nnn  src host 192.168.228.246  and  port 22  and  tcp
(5) 獲取主機192.168.228.246接收或發出的ssh包，並把mac地址（-e）也一同顯示：
# tcpdump -e  src  host  192.168.228.246  and  port 22  and tcp  -nnn
(6) 過濾的是源主機為192.168.0.1與目的網絡為192.168.0.0的報頭：
tcpdump  src host 192.168.0.1  and  dst net 192.168.0.0/24
(7) 過濾源主機物理地址為XXX的報頭：
tcpdump  ether  src 00:50:04:BA:9B  and  dst……
（為什么ether src后面沒有host或者net？物理地址當然不可能有網絡）。
(8) 過濾源主機192.168.0.1和目的端口不是telnet的報頭，並導入到tes.t.txt文件中：
tcpdump  src host 192.168.0.1  and  dst port not telnet  -l > test.txt

范例一：以 IP 與 Port Number 捉下 eth0 這個網卡上的數據包，持續3秒
[root@linux ~]# tcpdump  -i eth0   -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 9648
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648
<==按下 [ctrl]-c 之后結束
6680 packets captured                                <==捉取下來的數據包數量
14250 packets received by filter                  <==由過濾所得的總數據包數量
7512 packets dropped by kernel                  <==被核心所丟棄的數據包
至於那個在范例一所產生的輸出中，我們可以大概區分為幾個字段，現以范例一當中那行特殊字體行來說明一下：

· 01:33:40.41：這個是此數據包被捕獲的時間，“時:分:秒”的單位。

· IP：通過的通信協議是IP。

· 192.168.1.100.22>：傳送端是192.168.1.100這個IP，而傳送的Port Number為22，那個大於（>）的符號指的是數據包的傳輸方向。

· 192.168.1.11.1190：接收端的IP是192.168.1.11，且該主機開啟port 1190來接收。

· P 116:232(116)：這個數據包帶有PUSH的數據傳輸標志，且傳輸的數據為整體數據的116~232 Byte，所以這個數據包帶有116 Bytes的數據量。

ack 1 win 9648：ACK與Window size的相關資料。

最簡單的說法，就是該數據包是由192.168.1.100傳到192.168.1.11，通過的port是由22到1190，且帶有116 Bytes的數據量，使用的是PUSH的標記，而不是SYN之類的主動聯機標志。

接下來，在一個網絡狀態很忙的主機上面，你想要取得某台主機對你聯機的數據包數據時，使用tcpdump配合管線命令與正則表達式也可以，不過，畢竟不好捕獲。我們可以通過tcpdump的表達式功能，就能夠輕易地將所需要的數據獨立的取出來。

在上面的范例一當中，我們僅針對eth0做監聽，所以整個eth0接口上面的數據都會被顯示到屏幕上，但這樣不好分析，可以簡化嗎？

例如，只取出port 21的聯機數據包，可以這樣做：

[root@linux ~]# tcpdump  -i eth0  -nn  port 21

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21:. ack 1 win 65535

01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240:P 1:21(20) ack 1 win 5840

01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21:. ack 21 win 65515

01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21:P 1:17(16) ack 21 win 65515

01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840

01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840

這樣就僅取出port 21的信息，如果仔細看的話，你會發現數據包的傳遞都是雙向的，Client端發出請求而Server端則予以響應，所以，當然是有去有回了。而我們也就可以經過這個數據包的流向來了解到數據包運動的過程了。

例如：

· 我們先在一個終端機窗口輸入“tcpdump  -i lo  -nn”的監聽。

· 再另開一個終端機窗口來對本機（127.0.0.1）登錄“ssh localhost”，那么輸出的結果會是如何？

[root@linux ~]# tcpdump -i lo -nn

 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

 2 listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes

 3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: S 933696132:933696132(0)  win 32767

 4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 920046702:920046702(0) ack 933696133 win 32767

 5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 1 win 8192

 6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 1 win 8192

  

 7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192

代碼顯示的頭兩行是tcpdump的基本說明，然后：

· 第3行顯示的是來自Client端帶有SYN主動聯機的數據包。
· 第4行顯示的是來自Server端，除了響應Client端之外（ACK），還帶有SYN主動聯機的標志。
· 第5行則顯示Client端響應Server確定聯機建立（ACK）。
· 第6行以后則開始進入數據傳輸的步驟。

從第3~5行的流程來看，熟不熟悉啊？沒錯。實際就是tcp的3次握手的流程。

不過tcpdump之所以被稱為黑客軟件之一遠不止上面介紹的功能。

上面介紹的功能可以用來作為我們主機的數據包聯機與傳輸的流程分析，這將有助於我們了解到數據包的運作，同時了解到主機的防火牆設置規則是否有需要修訂的地方。

還有更神奇的用法。當我們使用tcpdump在Router上面監聽明文的傳輸數據時，例如FTP傳輸協議，你覺得會發生什么問題呢？我們先在主機端執行“tcpdump  -i lo  port 21  -nn  -X”，然后再以FTP登錄本機，並輸入賬號與密碼，結果你就可以發現如下的狀況：

[root@linux ~]# tcpdump  -i lo  -nn  -X 'port 21'

    0x0000:  4500 0048 2a28 4000 4006 1286 7f00 0001  E..H*(@.@.......

    0x0010:  7f00 0001 0015 80ab 8355 2149 835c d825  .........U!I.\.%

    0x0020:  8018 2000 fe3c 0000 0101 080a 0e2e 0b67  .....<.........g

    0x0030:  0e2e 0b61 3232 3020 2876 7346 5450 6420  ...a220.(vsFTPd.

    0x0040:  322e 302e 3129 0d0a                      2.0.1)..

 

    0x0000:  4510 0041 d34b 4000 4006 6959 7f00 0001  E..A.K@.@.iY....

    0x0010:  7f00 0001 80ab 0015 835c d825 8355 215d  .........\.%.U!]

    0x0020:  8018 2000 fe35 0000 0101 080a 0e2e 1b37  .....5.........7

    0x0030:  0e2e 0b67 5553 4552 2064 6d74 7361 690d  ...gUSER.dmtsai.

    0x0040:  0a                                       .

 

    0x0000:  4510 004a d34f 4000 4006 694c 7f00 0001  E..J.O@.@.iL....

    0x0010:  7f00 0001 80ab 0015 835c d832 8355 217f  .........\.2.U!.

    0x0020:  8018 2000 fe3e 0000 0101 080a 0e2e 3227  .....>........2'

    0x0030:  0e2e 1b38 5041 5353 206d 7970 6173 7377  ...8PASS.mypassw

    0x0040:  6f72 6469 7379 6f75 0d0a                 ordisyou..

上面的輸出結果已經被簡化過了，你需要自行在你的輸出結果中搜索相關的字符串才行。從上面輸出結果的特殊字體中，我們可以發現該FTP軟件使用的是vsFTPd，並且用戶輸入dmtsai這個賬號名稱，且密碼是mypasswordisyou。如果使用的是明文方式來傳輸你的網絡數據呢？

注意：

為了讓網絡接口可以讓tcpdump監聽，所以執行tcpdump時網絡接口會啟動在“混雜模式（promiscuous）”，所以會在 /var/log/messages里面看到很多的警告信息，通知你說你的網卡被設置成為混雜模式。別擔心，那是正常的。至於更多的應用，請參考man tcpdump了。

 

例題：如何使用tcpdump監聽來自eth0適配卡且通信協議為port 22，目標來源為192.168.1.100的數據包資料？

答：tcpdump  -i eth0  -nn  'port 22 and src host 192.168.1.100'。

 

默認情況下，如果不指定監聽的端口，直接啟動tcpdump將監視第一個網絡界面（使用ifconfig列出的第一個接口）上所有流過的數據包。

# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43 0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00

l  使用-i參數指定tcpdump監聽的網絡界面，這在計算機具有多個網絡界面時非常有用，

l  使用-c參數指定要監聽的數據包數量，

l  使用-w參數指定將監聽到的數據包寫入文件中保存

示例：

1、想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpdump  host  210.27.48.1

2、想要截獲主機210.27.48.1和主機210.27.48.2或210.27.48.3的通信，使用命令：（在命令行中適用圓括號時，一定要使用反斜線轉義）
#tcpdump  host 210.27.48.1  and  \(  210.27.48.2 or 210.27.48.3  \)

3、如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump  ip  host 210.27.48.1  and  ! 210.27.48.2

4、如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump  tcp  port 23  host 210.27.48.1

5、對本機的udp 123 端口進行監視 123 為ntp的服務端口
# tcpdump  udp  port 123

6、系統將只對名為hostname的主機的通信數據包進行監視。主機名可以是本地主機，也可以是網絡上的任何一台計算機。下面的命令可以讀取主機hostname發送的所有數據：
#tcpdump  -i eth0  src host hostname

7、下面的命令可以監視所有送到主機hostname的數據包：
#tcpdump  -i eth0  dst host hostname

8、我們還可以監視通過指定網關的數據包：
#tcpdump  -i eth0  gateway Gatewayname

9、如果你還想監視編址到指定端口的TCP或UDP數據包，那么執行以下命令：
#tcpdump  -i eth0  host hostname  and  port 80

10、如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump  ip  host 210.27.48.1  and  ! 210.27.48.2

11、如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump  ip  host 210.27.48.1  and  ! 210.27.48.2

12、如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump  tcp  port 23  host 210.27.48.1

13、如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump  -i eth0  host hostname  and  dst port 80                            #目的端口是80
或
#tcpdump  -i eth0  host hostname  and  src port 80                           #源端口是80

14、如果在ethernet 使用混雜模式系統的日志將會記錄

May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，然后再使用其他程序進行解碼分析。

當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。

除了過濾語句，還有一個很重要的參數，也就是說，如果這個參數不設置正確，會導致包數據的丟失！

它就是-s 參數，snaplen, 也就是數據包的截取長度，仔細看man就會明白的！默認截取長度為60個字節，但一般ethernet MTU都是1500字節。所以，要抓取大於60字節的包時，使用默認參數就會導致包數據丟失！

只要使用-s 0就可以按包長，截取數據！