PS:tcpdump是一個用於截取網絡分組,並輸出分組內容的工具,簡單說就是數據包抓包工具。tcpdump憑借強大的功能和靈活的截取策略,使其成為Linux系統下用於網絡分析和問題排查的首選工具。
tcpdump提供了源代碼,公開了接口,因此具備很強的可擴展性,對於網絡維護和入侵者都是非常有用的工具。tcpdump存在於基本的Linux系統中,由於它需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備root權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。
一、概述
顧名思義,tcpdump可以將網絡中傳送的數據包的“頭”完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
# tcpdump -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:53:21.444591 IP (tos 0x10, ttl 64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266
asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!] 325+ PTR? 244.228.168.192.in-addr.arpa. (46)
11:53:21.446929 IP (tos 0x0, ttl 64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077: 325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)
11:53:21.447408 IP (tos 0x10, ttl 64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266
347 packets captured
1474 packets received by filter
745 packets dropped by kernel
不帶參數的tcpdump會收集網絡中所有的信息包頭,數據量巨大,必須過濾。
二、選項介紹
-A 以ASCII格式打印出所有分組,並將鏈路層的頭最小化。
-c 在收到指定的數量的分組后,tcpdump就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小,則關閉當前文件,然后在打開一個新的文件。參數 file_size 的單位是兆字節(是1,000,000字節,而不是1,048,576字節)。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進制的形式給出。
-D 打印出系統中所有可以用tcpdump截包的網絡接口。
-e 在輸出行打印出數據鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,並且包含了安全參數索引值spi的IPsec ESP分組。
-f 將外部的Internet地址以數字的形式打印出來。
-F 從指定的文件中讀取表達式,忽略命令行中給出的表達式。
-i 指定監聽的網絡接口。
-l 使標准輸出變為緩沖行形式,可以把數據導出到文件。
-L 列出網絡接口的已知數據鏈路。
-m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次,以導入多個MIB模塊。
-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗證碼用於驗證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
-b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。
-n 不把網絡地址轉換成名字。
-nn 不進行端口名稱的轉換。
-N 不輸出主機名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不打印時間戳。
-O 不運行分組分組匹配(packet-matching)代碼優化程序。
-P 不將網絡接口設置成混雜模式。
-q 快速輸出。只輸出較少的協議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個分組中讀取最開始的snaplen個字節,而不是默認的68個字節。
-T 將監聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠程過程調用)和snmp(簡單網絡管理協議;)。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的默認格式的時間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個稍微詳細的信息,例如在ip包中可以包括ttl和服務類型的信息。
-vv 輸出詳細的報文信息。
-w 直接將分組寫入文件中,而不是不分析並打印出來。
三、tcpdump的表達式介紹
表達式是一個正則表達式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表 達式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網絡上所有的信息包 將會被截獲。
在表達式中一般如下幾種類型的關鍵字:
第一種是關於類型的關鍵字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主機,net 202.0.0.0指明202.0.0.0是一個網絡地址,port 23 指明端口號是23。如果沒有指定類型,缺省的類型是host。
第二種是確定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src, 這些關鍵字指明了傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0。如果沒有指明 方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI (分布式光纖數據接口網絡)上的特定的網絡協議,實際上它是”ether”的別名,fddi和ether 具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。 其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議,則tcpdump 將會 監聽所有協議的信息包。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less, greater, 還有三種邏輯運算,取非運算是 ‘not ‘ ‘! ‘, 與運算是’and’,’&&’;或運算是’or’ ,’||’; 這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要。
-----------------------------------------------------------------------------------------------------------------------------------
一般情況下,非HTTP協議的網絡分析,在服務器端用tcpdump比較多,在客戶端用wireshark比較多,兩個抓包軟件的語法是一樣的。
一、基本語法
1.1、過濾主機
- 抓取所有經過eth1,目的或源地址是192.168.1.1的網絡數據
tcpdump -i eth1 host 192.168.1.1
- 指定源地址
tcpdump -i eth1 src host 192.168.1.1
- 指定目的地址
tcpdump -i eth1 dst host 192.168.1.1
1.2、過濾端口
- 抓取所有經過eth1,目的或源端口是25的網絡數據
tcpdump -i eth1 port 25
- 指定源端口
tcpdump -i eth1 src port 25
- 指定目的端口
tcpdump -i eth1 dst port 25
1.3、網絡過濾
tcpdump -i eth1 net 192.168 tcpdump -i eth1 src net 192.168 tcpdump -i eth1 dst net 192.168
1.4、協議過濾
tcpdump -i eth1 arp tcpdump -i eth1 ip tcpdump -i eth1 tcp tcpdump -i eth1 udp tcpdump -i eth1 icmp
1.5、常用表達式
非 : ! or "not" (去掉雙引號) 且 : && or "and" 或 : || or "or"
- 抓取所有經過eth1,目的地址是192.168.1.254或192.168.1.200端口是80的TCP數據
tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
- 抓取所有經過eth1,目標MAC地址是00:01:02:03:04:05的ICMP數據
tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有經過eth1,目的網絡是192.168,但目的主機不是192.168.1.200的TCP數據
tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
二、高級包頭過濾
首先了解如何從包頭過濾信息
proto[x:y] : 過濾從x字節開始的y字節數。比如ip[2:2]過濾出3、4字節(第一字節從0開始排) proto[x:y] & z = 0 : proto[x:y]和z的與操作為0 proto[x:y] & z !=0 : proto[x:y]和z的與操作不為0 proto[x:y] & z = z : proto[x:y]和z的與操作為z proto[x:y] = z : proto[x:y]等於z
操作符 : >, <, >=, <=, =, !=
2.1、IP頭
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identification |Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Time to Live | Protocol | Header Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | <-- optional +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | DATA ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
本文只針對IPv4。
2.2、IP選項設置了嗎?
“一般”的IP頭是20字節,但IP頭有選項設置,不能直接從偏移21字節處讀取數據。IP頭有個長度字段可以知道頭長度是否大於20字節。
+-+-+-+-+-+-+-+-+
|Version| IHL | +-+-+-+-+-+-+-+-+
通常第一個字節的二進制值是:01000101,分成兩個部分:
0100 = 4 表示IP版本 0101 = 5 表示IP頭32 bit的塊數,5 x 32 bits = 160 bits or 20 bytes
如果第一字節第二部分的值大於5,那么表示頭有IP選項。
下面介紹兩種過濾方法(第一種方法比較操蛋,可忽略):
a. 比較第一字節的值是否大於01000101,這可以判斷IPv4帶IP選項的數據和IPv6的數據。
01000101十進制等於69,計算方法如下(小提示:用計算器更方便)
0 : 0 \ 1 : 2^6 = 64 \ 第一部分 (IP版本) 0 : 0 / 0 : 0 / - 0 : 0 \ 1 : 2^2 = 4 \ 第二部分 (頭長度) 0 : 0 / 1 : 2^0 = 1 /
64 + 4 + 1 = 69
如果設置了IP選項,那么第一自己是01000110(十進制70),過濾規則:
tcpdump -i eth1 'ip[0] > 69'
IPv6的數據也會匹配,看看第二種方法。
b. 位操作
0100 0101 : 第一字節的二進制
0000 1111 : 與操作
<=========
0000 0101 : 結果
正確的過濾方法
tcpdump -i eth1 'ip[0] & 15 > 5'
或者
tcpdump -i eth1 'ip[0] & 0x0f > 5'
2.3、分片標記
當發送端的MTU大於到目的路徑鏈路上的MTU時就會被分片,這段話有點拗口,權威的請參考《TCP/IP詳解》。唉,32借我的書沒還,只能湊合寫,大家記得看書啊。
分片信息在IP頭的第七和第八字節:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Bit 0: 保留,必須是0
Bit 1: (DF) 0 = 可能分片, 1 = 不分片
Bit 2: (MF) 0 = 最后的分片, 1 = 還有分片
Fragment Offset字段只有在分片的時候才使用。
要抓帶DF位標記的不分片的包,第七字節的值應該是:
01000000 = 64
tcpdump -i eth1 'ip[6] = 64'
2.4、抓分片包
- 匹配MF,分片包
tcpdump -i eth1 'ip[6] = 32'
最后分片包的開始3位是0,但是有Fragment Offset字段。
- 匹配分片和最后分片
tcpdump -i eth1 '((ip[6:2] > 0) and (not ip[6] = 64))'
測試分片可以用下面的命令:
ping -M want -s 3000 192.168.1.1
2.5、匹配小TTL
TTL字段在第九字節,並且正好是完整的一個字節,TTL最大值是255,二進制為11111111。
可以用下面的命令驗證一下:
$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
+-+-+-+-+-+-+-+-+
| Time to Live | +-+-+-+-+-+-+-+-+
- 在網關可以用下面的命令看看網絡中誰在使用traceroute
tcpdump -i eth1 'ip[8] < 5'
2.6、抓大於X字節的包
- 大於600字節
tcpdump -i eth1 'ip[2:2] > 600'
2.7、更多的IP過濾
首先還是需要知道TCP基本結構,再次推薦《TCP/IP詳解》,卷一就夠看的了,避免走火入魔。
- TCP頭
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |C|E|U|A|P|R|S|F| | | Offset| Res. |W|C|R|C|S|S|Y|I| Window | | | |R|E|G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- 抓取源端口大於1024的TCP數據包
tcpdump -i eth1 'tcp[0:2] > 1024'
- 匹配TCP數據包的特殊標記
TCP標記定義在TCP頭的第十四個字節
+-+-+-+-+-+-+-+-+
|C|E|U|A|P|R|S|F| |W|C|R|C|S|S|Y|I| |R|E|G|K|H|T|N|N| +-+-+-+-+-+-+-+-+
重復一下TCP三次握手,兩個主機是如何勾搭的:
- 源發送SYN
- 目標回答SYN, ACK
- 源發送ACK
沒女朋友的童鞋要學習一下:
1. MM,你的手有空嗎?--
2. 有空,你呢?\~~
3. 我也有空 *_*
失敗的loser是醬紫的:
1. MM,這是你掉的板磚嗎?(SYN)  ̄▽ ̄
2. 不是,找拍啊?(RST-ACK) ˋ﹏ˊ
- 只抓SYN包,第十四字節是二進制的00000010,也就是十進制的2
tcpdump -i eth1 'tcp[13] = 2'
- 抓SYN, ACK (00010010 or 18)
tcpdump -i eth1 'tcp[13] = 18'
- 抓SYN或者SYN-ACK
tcpdump -i eth1 'tcp[13] & 2 = 2'
用到了位操作,就是不管ACK位是啥。
- 抓PSH-ACK
tcpdump -i eth1 'tcp[13] = 24'
- 抓所有包含FIN標記的包(FIN通常和ACK一起,表示幽會完了,回見)
tcpdump -i eth1 'tcp[13] & 1 = 1'
- 抓RST(勾搭沒成功,偉大的greatwall對她認為有敏感信息的連接發RST包,典型的棒打鴛鴦)
tcpdump -i eth1 'tcp[13] & 4 = 4'
下圖詳細描述了TCP各種狀態的標記,方便分析。
2.8、大叔注
tcpdump考慮了一些數字恐懼症者的需求,提供了部分常用的字段偏移名字:
icmptype (ICMP類型字段)
icmpcode (ICMP符號字段)
tcpflags (TCP標記字段)
ICMP類型值有:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply
TCP標記值:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
這樣上面按照TCP標記位抓包的就可以寫直觀的表達式了:
- 只抓SYN包
tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓SYN, ACK
tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
2.9、抓SMTP數據
tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取數據區開始為"MAIL"的包,"MAIL"的十六進制為0x4d41494c。
2.10、抓HTTP GET數據
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六進制是47455420
2.11、抓SSH返回
tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六進制是0x5353482D
tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'
抓老版本的SSH返回信息,如"SSH-1.99.."
三、大叔注
如果是為了查看數據內容,建議用tcpdump -s 0 -w filename把數據包都保存下來,然后用wireshark的Follow TCP Stream/Follow UDP Stream來查看整個會話的內容。
-s 0是抓取完整數據包,否則默認只抓68字節。
另外,用tcpflow也可以方便的獲取TCP會話內容,支持tcpdump的各種表達式。
3.1、UDP頭
0 7 8 15 16 23 24 31 +--------+--------+--------+--------+ | Source | Destination | | Port | Port | +--------+--------+--------+--------+ | | | | Length | Checksum | +--------+--------+--------+--------+ | | | DATA ... | +-----------------------------------+
- 抓DNS請求數據
tcpdump -i eth1 udp dst port 53
3.2、其他
-c參數對於運維人員來說也比較常用,因為流量比較大的服務器,靠人工CTRL+C還是抓的太多,甚至導致服務器宕機,於是可以用-c參數指定抓多少個包。
time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令計算抓10000個SYN包花費多少時間,可以判斷訪問量大概是多少。
tcpdump中最常見的幾個參數
-n 不把IP地址解析成域名
-i 指定要抓取數據包的網卡名稱 例如:-i ens33 或者 -i any
tcpdump -i ens33 #抓取eth0網卡的數據包
tcpdump -i any #抓取任意網卡的數據包
-c 指定抓取包的個數
tcpdump -i ens33 -c 10 #只抓取10個包
-w 把抓取到的數據存放到文件中供以后分析
我們保存的my-packets.pcap是一種特殊文件,直接使用vim是無法查看的,
可以把該文件拿到windows下,使用wireshark查看
tcpdump -n -i ens33 host 192.168.74.129(抓取主機ens33網卡的數據包頭部信息)
此處在測試機上安裝apache,訪問測試頁,抓取數據包頭部信息
tcpdump -n -i ens33 port 80 and host 192.168.74.129(抓取目標主機的80短卡的ens33網卡數據包頭部信息)
文章摘自:https://blog.csdn.net/wzx19840423/article/details/50836761