1.命令格式
tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ][ -i 網絡接口 ] [ -r 文件名]
[ -s snaplen ] [ -T 類型 ] [ -w 文件名 ] [表達式 ]
2.選項介紹
- -n 禁止IP名稱解析。
- -nn 禁止IP和端口名稱解析。
- -i 指定捕獲哪個網卡的網絡數據包。
- -w 指定將包寫入哪個文件,如果文件不存在則創建該文件;如果存在則覆蓋其內容。
- -f 指定過濾表達式,例如指定捕獲哪個端口,哪個協議等。
- -r 指定從哪個文件讀取網絡數據包文件。
- -F 指定使用哪個文件的過濾表達式抓包。
- -D 列出所有可以使用tcpdump抓包的網卡。
- -c 指定捕獲或者讀取包的個數,-c后面直接接數字即可。
- -l 抓包時保存到文件的同時查看包的內容。
- -t 不打印時間戳。
- -tt 秒級時間戳。
- -ttt 打印時間戳到微秒或者納秒,取決於 –time-stamp-precision option 選項。
- -s 指定每個包捕獲的字節數。
- -S 打印絕對的tcp序列號,而不是相對的序列號。
- -v/-vv/-vvv 打印詳細信息,v的個數越多, 打印內容越詳細。
使用案例
參數 -l
-l選項的作用就是將tcpdump的輸出變為“行緩沖”方式,這樣可以確保tcpdump遇到的內容一旦是換行符即將緩沖的內容輸出到標准輸出,以便於利用管道或重定向方式來進行后續處理。
Linux/UNIX的標准I/O提供了全緩沖、行緩沖和無緩沖三種緩沖方式。
標准錯誤是不帶緩沖的,終端設備常為行緩沖,而其他情況默認都是全緩沖的。
例如我們只想提取包的每一行的第一個域(時間域),這種情況下我們就需要-l將默認的全緩沖變為行緩沖了。
tcpdump -i eth0 port 1111 -l | awk ‘{print $1}’
參數–w -r
-w 直接將包寫入文件中(即原始包,如果使用 重定向 > 則只是保存顯示的結果,而不是原始文件),即所謂的“流量保存”—就是把抓到的網絡包能存儲到磁盤上保存下來,為后續使用。參數-r 達到“流量回放”—就是把歷史上的某一時間段的流量,重新模擬回放出來,用於流量分析。
通過-w選項將流量都存儲在cp.pcap(二進制格式)文件中了.可以通過 –r 讀取raw packets文件 cp.pcap.
如:sudo tcpdump i- eth0 ‘port 1111’ -c 3 -r cp.pcap 即可進行流量回放。
3.常用過濾表達式
tcpdump支持傳入單個或多個過濾表達式,可以通過命令man pcap-filter 來參考過濾表達式的幫助文檔
過濾表達式大體可以分成三種過濾條件,“類型”、“方向”、“協議”、邏輯運算和其他關鍵字,這五種條件的搭配組合就構成了我們的過濾表
3.1 “類型”關鍵字
關於類型的關鍵字,主要包括host,net,port
例如:
host 210.45.114.211,指定主機 210.45.114.211
net 210.11.0.0 指明210.11.0.0是一個網絡地址
port 21 指明端口號是21。如果沒有指定類型,缺省的類型是host
3.2 “方向”關鍵字
關於傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src
舉例:
src 210.45.114.211 ,指明ip包中源地址是210.45.114.211
dst net 210.11.0.0 指明目的網絡地址是210.11.0.0
如果沒有指明方向關鍵字,則缺省是src or dst關鍵字。
3.3 “協議”關鍵字
關於協議的關鍵字,主要包括 ether,ip,ip6,arp,rarp,tcp,udp等類型。
如果沒有指定任何協議,則tcpdump將會監聽所有協議的信息包。
3.4 邏輯運算
tcpdump還支持三種邏輯運算:
邏輯運算 表示方法
取與 “and”或“&&”
取或 “or”或“ll“”
取非 “not”或“!”
3.5 其他關鍵字
tcpdump還在其他幾種關鍵字:gateway、broadcast、less、greater
3.6 使用案例
可以利用這些關鍵字進行組合,從而組合為比較強大的過濾條件。下面舉例說明
(1)只想查目標機器端口是21或80的網絡包,其他端口的我不關注:
sudo tcpdump -i eth0 -c 10 ‘dst port 21 or dst port 80’
(2) 想要截獲主機172.16.0.11 和主機210.45.123.249或 210.45.123.248的通信,使用命令(注意括號的使用):
sudo tcpdump -i eth0 -c 3 ‘host 172.16.0.11 and (210.45.123.249 or210.45.123.248)’
(3)想獲取使用ftp端口和ftp數據端口的網絡包
sudo tcpdump ‘port ftp or ftp-data’
這里 ftp、ftp-data到底對應哪個端口? linux系統下 /etc/services這個文件里面,就存儲着所有知名服務和傳輸層端口的對應關系。如果你直接把/etc/services里的ftp對應的端口值從21改為了3333,那么tcpdump就會去抓端口含有3333的網絡包了。
(4) 如果想要獲取主機172.16.0.11除了和主機210.45.123.249之外所有主機通信的ip包,使用命令:
sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’
(5) 抓172.16.0.11的80端口和110和25以外的其他端口的包
sudo tcpdump -i eth0 ‘host 172.16.0.11 and! port 80 and ! port 25 and ! port 110’
4.高級包頭過濾
首先了解如何從包頭過濾信息
proto[x:y] : 過濾從x字節開始的y字節數。比如ip[2:2]過濾出3、4字節(第一字節從0開始排)
proto[x:y] & z = 0 : proto[x:y]和z的與操作為0
proto[x:y] & z !=0 : proto[x:y]和z的與操作不為0
proto[x:y] & z = z : proto[x:y]和z的與操作為z
proto[x:y] = z : proto[x:y]等於z
操作符 : >, <, >=, <=, =, !=
4.1、IP頭
本文只針對IPv4。
4.2、IP選項設置了嗎?
“一般”的IP頭是20字節,但IP頭有選項設置,不能直接從偏移21字節處讀取數據。IP頭有個長度字段可以知道頭長度是否大於20字節。
±±±±±±±±+
|Version| IHL |
±±±±±±±±+
通常第一個字節的二進制值是:01000101,分成兩個部分: 0100 = 4 表示IP版本 0101 = 5 表示IP頭32 bit的塊數,5 x 32 bits = 160 bits or 20 bytes
如果第一字節第二部分的值大於5,那么表示頭有IP選項。
下面介紹兩種過濾方法(第一種方法比較操蛋,可忽略):
a. 比較第一字節的值是否大於01000101
這可以判斷IPv4帶IP選項的數據和IPv6的數據。
01000101十進制等於69,計算方法如下(小提示:用計算器更方便)
0 : 0 \ 1 : 2^6 = 64 \ 第一部分 (IP版本)
0 : 0 /
0 : 0 /
0 : 0
1 : 2^2 = 4 \ 第二部分 (頭長度)
0 : 0 /
1 : 2^0 = 1 /
64 + 4 + 1 = 69
如果設置了IP選項,那么第一自己是01000110(十進制70),過濾規則:
tcpdump -i eth1 ‘ip[0] > 69’
IPv6的數據也會匹配,看看第二種方法。
b. 位操作
0100 0101 : 第一字節的二進制
0000 1111 : 與操作
<=========
0000 0101 : 結果
正確的過濾方法
tcpdump -i eth1 ‘ip[0] & 15 > 5’
或者tcpdump -i eth1 ‘ip[0] & 0x0f > 5’
4.3、分片標記
當發送端的MTU大於到目的路徑鏈路上的MTU時就會被分片,這段話有點拗口,權威的請參考《TCP/IP詳解》。唉,32借我的書沒還,只能湊合寫,大家記得看書啊。
分片信息在IP頭的第七和第八字節:
±±±±±±±±±±±±±±±±+
|Flags| Fragment Offset |
±±±±±±±±±±±±±±±±+
Bit 0: 保留,必須是0
Bit 1: (DF) 0 = 可能分片, 1 = 不分片
Bit 2: (MF) 0 = 最后的分片, 1 = 還有分片
Fragment Offset字段只有在分片的時候才使用。
要抓帶DF位標記的不分片的包,第七字節的值應該是:
01000000 = 64
tcpdump -i eth1 ‘ip[6] = 64’
4.4、抓分片包
匹配MF,分片包
tcpdump -i eth1 ‘ip[6] = 32’
最后分片包的開始3位是0,但是有Fragment Offset字段。
匹配分片和最后分片
tcpdump -i eth1 ‘((ip[6:2] > 0) and (not ip[6] = 64))’
測試分片可以用下面的命令:
ping -M want -s 3000 192.168.1.1
4.5、匹配小TTL
TTL字段在第九字節,並且正好是完整的一個字節,TTL最大值是255,二進制為11111111。
可以用下面的命令驗證一下:
$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
±±±±±±±±+
| Time to Live |
±±±±±±±±+
在網關可以用下面的命令看看網絡中誰在使用traceroute
tcpdump -i eth1 ‘ip[8] < 5’
4.6、抓大於X字節的包
大於600字節
tcpdump -i eth1 ‘ip[2:2] > 600’
4.7、更多的IP過濾
首先還是需要知道TCP基本結構,再次推薦《TCP/IP詳解》,卷一就夠看的了,避免走火入魔。
TCP頭
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Source Port | Destination Port |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Sequence Number |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Acknowledgment Number |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Data | |C|E|U|A|P|R|S|F| |
| Offset| Res. |W|C|R|C|S|S|Y|I| Window |
| | |R|E|G|K|H|T|N|N| |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Checksum | Urgent Pointer |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| Options | Padding |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
| data |
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±+
抓取源端口大於1024的TCP數據包
tcpdump -i eth1 ‘tcp[0:2] > 1024’
匹配TCP數據包的特殊標記
TCP標記定義在TCP頭的第十四個字節
±±±±±±±±+
|C|E|U|A|P|R|S|F|
|W|C|R|C|S|S|Y|I|
|R|E|G|K|H|T|N|N|
±±±±±±±±+
重復一下TCP三次握手,兩個主機是如何勾搭的:
源發送SYN
目標回答SYN, ACK
源發送ACK
沒女朋友的童鞋要學習一下:
- MM,你的手有空嗎?–
- 有空,你呢?~~
- 我也有空 _
失敗的loser是醬紫的:
- MM,這是你掉的板磚嗎?(SYN)  ̄▽ ̄
- 不是,找拍啊?(RST-ACK) ˋ﹏ˊ
只抓SYN包,第十四字節是二進制的00000010,也就是十進制的2
tcpdump -i eth1 ‘tcp[13] = 2’
抓SYN, ACK (00010010 or 18)
tcpdump -i eth1 ‘tcp[13] = 18’
抓SYN或者SYN-ACK
tcpdump -i eth1 ‘tcp[13] & 2 = 2’
用到了位操作,就是不管ACK位是啥。
抓PSH-ACK
tcpdump -i eth1 ‘tcp[13] = 24’
抓所有包含FIN標記的包(FIN通常和ACK一起,表示幽會完了,回見)
tcpdump -i eth1 ‘tcp[13] & 1 = 1’
抓RST(勾搭沒成功,偉大的greatwall對她認為有敏感信息的連接發RST包,典型的棒打鴛鴦)
tcpdump -i eth1 ‘tcp[13] & 4 = 4’
下圖詳細描述了TCP各種狀態的標記,方便分析。
tcp_state_machine.jpg
4.8、大叔注
tcpdump考慮了一些數字恐懼症者的需求,提供了部分常用的字段偏移名字:
icmptype (ICMP類型字段)
icmpcode (ICMP符號字段)
tcpflags (TCP標記字段)
ICMP類型值有:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply
TCP標記值:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
這樣上面按照TCP標記位抓包的就可以寫直觀的表達式了:
只抓SYN包
tcpdump -i eth1 ‘tcp[tcpflags] = tcp-syn’
抓SYN, ACK
tcpdump -i eth1 ‘tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0’
4.9、抓SMTP數據
tcpdump -i eth1 ‘((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))’
抓取數據區開始為"MAIL"的包,"MAIL"的十六進制為0x4d41494c。
4.10、抓HTTP GET數據
tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x47455420’
"GET "的十六進制是47455420
4.11、抓SSH返回
tcpdump -i eth1 ‘tcp[(tcp[12]>>2):4] = 0x5353482D’
"SSH-"的十六進制是0x5353482D
tcpdump -i eth1 ‘(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)’
抓老版本的SSH返回信息,如"SSH-1.99…"
三、大叔注
如果是為了查看數據內容,建議用tcpdump -s 0 -w filename把數據包都保存下來,然后用wireshark的Follow TCP Stream/Follow UDP Stream來查看整個會話的內容。
-s 0是抓取完整數據包,否則默認只抓68字節。
另外,用tcpflow也可以方便的獲取TCP會話內容,支持tcpdump的各種表達式。
3.1、UDP頭
0 7 8 15 16 23 24 31
±-------±-------±-------±-------+
| Source | Destination |
| Port | Port |
±-------±-------±-------±-------+
| | |
| Length | Checksum |
±-------±-------±-------±-------+
| |
| DATA … |
±----------------------------------+
抓DNS請求數據
tcpdump -i eth1 udp dst port 53
3.2、其他
-c參數對於運維人員來說也比較常用,因為流量比較大的服務器,靠人工CTRL+C還是抓的太多,甚至導致服務器宕機,於是可以用-c參數指定抓多少個包。
time tcpdump -nn -i eth0 ‘tcp[tcpflags] = tcp-syn’ -c 10000 > /dev/null
上面的命令計算抓10000個SYN包花費多少時間,可以判斷訪問量大概是多少。
使用案例
下面介紹一些tcpdump中過濾語句比較高級的用法
想獲取172.16.10.11和google.com之間建立TCP三次握手中帶有SYN標記位的網絡包.
命令為:sudo tcpdump -i eth0 ‘host 172.16.0.11 andhost google.com and tcp[tcpflags]&tcp-syn!=0’ -c 3 -nn