原文网址:Linux命令--tcpdump命令--使用与详解_IT利刃出鞘的博客-CSDN博客
简介
本文介绍Linux的tcpdump命令的用法。
tcpdump可以输出网络的通信记录,可以用来排查问题、查看被攻击网站的详细情况等。
示例
捕获eth0的数据包
tcpdump -i ens33捕获从指定ip进来的数据包
tcpdump -i ens33 src 192.168.1.1获取本机123端口的UDP协议包
tcpdump udp port 123在eth0口抓取dhcp所有报文,并详细输出
tcpdump -i ens33 -s 0 'udp and port 67 and port 68' -XX -vvv -nn捕获协议类型为tcp,80端口的包
tcpdump -nni ens33 'tcp port 80' 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \)指捕获SYN(TCP握手请求)
tcpdump -i ens33 'tcp[tcpflags] = tcp-syn'也可以这么写:
tcpdump -i ens33 'tcp[tcpflags] & tcp-syn != 0'抓SYN, ACK(可以用来查看http三次握手)
tcpdump -i ens33 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
监视指定网络的数据包
如本机与192.168网段通信的数据包,"-c 10"表示只抓取10个包
tcpdump -i ens33 -c 10 net 192.168
使用tcpdump抓取HTTP包
tcpdump -i ens33 tcp[20:2]=0x4745 or tcp[20:2]=0x504ftcp[20:2]=0x4745 为HTTP-GET 请求,0x504f为HTTP-POST请求,利用该条命令抓取HTTP的GET和POST请求。
解析包数据
tcpdump -c 2 -q -XX -vvv -nn -i ens33 tcp port 22命令格式
tcpdump [option] [proto] [dirction] [type]- option:选项
- proto:协议过滤器
- 可识别的关键词有:http,tcp,udp,icmp,ip,ip6,arp,rarp
- type:类型过滤器。
- 可识别的关键词有:host,net,port,portrange。这些词后面还需要再接参数
- directiron:数据流向过滤器
- 可识别的关键字有:src,dst,src or dst
选项
- -A:以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据;
- -c:tcpdump 到捕获 count 个包就退出;
- -C:file-size,tcpdump在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size,如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录,新创建的文件名与-w选项指定的文件名一致,但文件名后多了一个数字,该数字会从1开始随着新创建文件的增多而增加,file-size的单位是百万字节(这里指1,000,000个字节,并非1,048,576个字节,后者是以1024字节为1k, 1024k字节为1M计算所得,即1M=1024 * 1024 = 1,048,576);
- -d:打印出易读的包匹配码;
- -dd:以C语言的形式打印出包匹配码
- -ddd:以十进制数的形式打印出包匹配码
- -D:显示所有可用网络接口的列表;
- -e:每行的打印输出中将包括数据包的数据链路层头部信息;
- -E:解析IPSEC数据;
- -F:使用file 文件作为过滤条件表达式的输入,此时命令行上的输入将被忽略;
- -i:指定的网卡接口。若不带-i参数,默认监视第一个网络接口(非lo口)上的数据包。
- 查看某个网卡(比如ens33):tcpdump -i ens33
- 查看所有网卡的方法:-i any;
- -n:不把ip转化成域名,直接显示 ip;
- -nn:不把协议和端口号转化成域名;
- 这样不仅方便查看 IP 和端口号,而且非常高效,因为域名解析会降低抓取速度。
- -N:不打印出host 的域名部分。
- 比如:如果设置了此选现,tcpdump 将会打印'nic' 而不是 'nic.ddn.mil'。
- -l:基于行的输出,便于保存查看,或者交给其它工具分析;
- -L:列出指定网络接口所支持的数据链路层的类型后退出;
- -q:简洁地打印输出。即打印很少的协议相关信息, 从而输出行都比较简短;
- -Q:选择是入方向还是出方向的数据包,可选项有:in, out, inout;
- -r:从文件中读取数据。也可使用参数过滤。
- 例1:tcpdump icmp -r all.pcap
- 例2:tcpdump icmp -r all.pcap -A -s 0
- -s:tcpdump默认只会截取前96字节的内容,要想截取所有的报文内容,可以使用 -s number,number就是你要截取的报文字节数,如果是0的话,表示截取报文全部内容。
- -S:使用绝对序列号,而不是相对序列号。
- -t:在每行的输出中不输出时间;
- -tt:在每行的输出中输出时间戳;
- -ttt:输出时,每两行打印会延迟一段时间(以毫秒为单位);
- -tttt:在每行打印的时间戳之前添加日期的打印(此选项输出的时间最直观);
- -v:产生详细的输出。比如:包的TTL,id标识,数据包长度,以及IP包的一些选项。还会打开一些附加的包完整性检测,比如对IP或ICMP包头部的校验和;
- -vv:产生比-v更详细的输出。比如:打印NFS回应包中的附加域将,解码SMB数据包。
- -vvv:产生比-vv更详细的输出。比如 telent 时所使用的各种扩展选项都会被打印,如果telnet同时使用的是图形界面,其相应的图形选项将会以16进制的方式打印出来。
- -w:将 tcpdump 抓到的数据生成到文件。生成的文件可以用wireshark等分析。
- 例如:tcpdump icmp -w icmp.pcap
- -x:以16进制的形式打印每个包的头部数据(但不包括数据链路层的头部);
- -xx:以16进制的形式打印每个包的头部数据(包括数据链路层的头部);
- -X:以16进制和 ASCII码形式打印出每个包的数据(但不包括连接层的头部);
- -XX:以16进制和 ASCII码形式打印出每个包的数据(包括连接层的头部);
- -Z:后接用户名,在抓包时会受到权限的限制。如果以root用户启动tcpdump,tcpdump将会有超级用户权限;
结果的含义
输出示例
21:26:49.013621 IP 172.20.20.1.15605 > 172.20.20.2.5920: Flags [P.], seq 49:97, ack 106048, win 4723, length 48
- 第一列:时分秒毫秒 21:26:49.013621
- 第二列:网络协议 IP
- 第三列:发送方的ip地址+端口号,其中172.20.20.1是 ip,而15605 是端口号
- 第四列:箭头 >, 表示数据流向
- 第五列:接收方的ip地址+端口号,其中 172.20.20.2 是 ip,而5920 是端口号
- 第六列:冒号
- 第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1,更多标识符见下面
Flags 标识符
使用 tcpdump 抓包后,会遇到的 TCP 报文 Flags,有以下几种:
- [S] : SYN(开始连接)
- [P] : PSH(推送数据)
- [F] : FIN (结束连接)
- [R] : RST(重置连接)
- [.] : 没有 Flag (意思是除上面四种类型外的其他情况,有可能是 ACK 也有可能是 URG)
过滤规则
常用规则
基于主机(host)过滤
tcpdump host 210.21.48.1
tcpdump host www.baidu.com数据包的 ip 可以再细分为源ip和目标ip两种
# 根据源ip进行过滤
tcpdump -i eth2 src 192.168.10.100
# 根据目标ip进行过滤
tcpdump -i eth2 dst 192.168.10.200基于网段(net)过滤
若你的ip范围是一个网段,可以直接这样指定
tcpdump net 192.168.10.0/24网段同样可以再细分为源网段和目标网段
# 根据源网段进行过滤
tcpdump src net 192.168
# 根据目标网段进行过滤
tcpdump dst net 192.168
基于端口(port)过滤
使用 port 可以指定特定端口进行过滤
tcpdump port 8088端口同样可以再细分为源端口,目标端口
# 根据源端口进行过滤
tcpdump src port 8088
# 根据目标端口进行过滤
tcpdump dst port 8088
同时指定两个端口(下边两个方法都可以):
tcpdump port 80 or port 8088
tcpdump port 80 or 8088指定端口范围:
tcpdump portrange 8000-8080也是可以指定源和目标:
tcpdump src portrange 8000-8080
tcpdump dst portrange 8000-8080对于一些常见协议的默认端口,可以直接使用协议名,比如 http == 80,https == 443 等:
tcpdump tcp port http基于协议(proto)过滤
只查看 icmp 的包:
tcpdump icmpprotocol 可选值:tcp, udp, icmp, http, ip,ipv6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui
基于IP协议的版本进行过滤
查看 tcp 的包,也许会这样写:tcpdump tcp,这样会包括IPV4和IPV6的。
指定IPV4的tcp包的方法(数字 6 表示的是 tcp 在ip报文中的编号):
tcpdump 'ip proto tcp'
tcpdump ip proto 6
tcpdump 'ip protochain tcp'
tcpdump ip protochain 6
指定IPV6的tcp包的方法:
tcpdump 'ip6 proto tcp'
tcpdump ip6 proto 6
tcpdump 'ip6 protochain tcp'
tcpdump ip6 protochain 6关于上面这几个命令示例,有两点需要注意:
跟在 proto 和 protochain 后面的如果是 tcp, udp, icmp ,那么过滤器需要用引号包含,这是因为 tcp,udp, icmp 是 tcpdump 的关键字。
规则组合
支持如下逻辑操作符:
- and:所有的条件都需要满足。也可以表示为 &&
- or:只要有一个条件满足就可以。也可以表示为 ||
- not:取反。也可以使用 !
例1:来自10.5.2.3,发往任意主机的3389端口的包
tcpdump src 10.5.2.3 and dst port 3389例2:主机10.0.16.10和主机1.15.63.152或1.15.63.153的通信
tcpdump -i eth0 host 10.0.16.10 and (1.15.63.152 or 1.15.63.153)使用多个过滤器进行组合时,有可能需要用到括号,而括号在 shell 中是特殊符号,因为你需要使用引号将其包含。例子如下:
tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'在单个过滤器里,常常会判断一条件是否成立,这时候,就要使用下面的符号
- =:判断二者相等
- ==:判断二者相等
- !=:判断二者不相等
当你使用这两个符号时,tcpdump 还提供了一些关键字的接口来方便我们进行判断,比如
- if:表示网卡接口名、
- proc:表示进程名
- pid:表示进程 id
- svc:表示 service class
- dir:表示方向,in 和 out
- eproc:表示 effective process name
- epid:表示 effective process ID
比如我现在要过滤来自进程名为 nc 发出的流经 en0 网卡的数据包,或者不流经 en0 的入方向数据包,可以这样写:
tcpdump "( if=en0 and proc =nc ) || (if != en0 and dir=in)"其他示例
例1:接口eth0,协议tcp,端口为80,目的ip为 1.15.63.151 和 1.15.63.152
tcpdump -i eth0 '((tcp) and (port 80) and ((dst host 1.15.63.151) or (dst host 1.15.63.152)))'例2:接口eth0,协议为tcp,网络为1.15.63,但不为 1.15.63.152 端口
tcpdump -i eth0 '((tcp) and ((dst net 1.15.63) and (not dst host 1.15.63.152)))'高级过滤
可以从包头过滤信息,例如:
proto[x:y] : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节(第一字节从0开始排)
proto[x:y] & z = 0 : proto[x:y]和z的与操作为0
proto[x:y] & z !=0 : proto[x:y]和z的与操作不为0
proto[x:y] & z = z : proto[x:y]和z的与操作为z
proto[x:y] = z : proto[x:y]等于z
支持的操作符:
>, <, >=, <=, =, !=
IP头(IPV4)
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding | <-- optional
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| DATA ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/*IP头定义,共20个字节*/
typedef struct _IP_HEADER
{
char m_cVersionAndHeaderLen; //版本信息(前4位),头长度(后4位)
char m_cTypeOfService; // 服务类型8位
short m_sTotalLenOfPacket; //数据包长度
short m_sPacketID; //数据包标识
short m_sSliceinfo; //分片使用
char m_cTTL; //存活时间
char m_cTypeOfProtocol; //协议类型
short m_sCheckSum; //校验和
unsigned int m_uiSourIp; //源ip
unsigned int m_uiDestIp; //目的ip
} __attribute__((packed))IP_HEADER, *PIP_HEADER ;
抓取特定包头实例
抓取源端口大于1024的TCP数据包
tcpdump -i eth1 'tcp[0:2] > 1024'只抓SYN包,第十四字节是二进制的00000010,也就是十进制的2
tcpdump -i eth1 'tcp[13] = 2'抓SYN, ACK (00010010 即十进制的18)
tcpdump -i eth1 'tcp[13] = 18'抓所有包含FIN标记的包(FIN通常和ACK一起,表示会话结束)
tcpdump -i eth1 'tcp[13] & 1 = 1'抓RST
tcpdump -i eth1 'tcp[13] & 4 = 4'常用的字段偏移名字
tcpdump考虑了一些数字恐惧症者的需求,提供了部分常用的字段偏移名字:
- icmptype (ICMP类型字段)
- icmpcode (ICMP符号字段)
- tcpflags (TCP标记字段)
TCP标记值:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg这样上面按照TCP标记位抓包的就可以写直观的表达式了:
抓SYN包
tcpdump -i ens33 'tcp[tcpflags] = tcp-syn'使用tcpdump抓取HTTP的GET包
tcpdump -XvvennSs 0 -i ens33 tcp[20:2]=0x4745 or tcp[20:2]=0x48540x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。
![正点原子[第二期]Linux之ARM(MX6U)裸机篇学习笔记-14-主频和时钟配置](https://img-blog.csdnimg.cn/direct/cae9efe838404f9abbe269950fe0d66e.png)
