tcpdump 抓包命令详解.docx

tcpdump 抓包命令详解.docx

《tcpdump 抓包命令详解.docx》由会员分享，可在线阅读，更多相关《tcpdump 抓包命令详解.docx（14页珍藏版）》请在冰豆网上搜索。

tcpdump抓包命令详解

TCPdump抓包命令 

tcpdump是一个用于截取网络分组，并输出分组内容的工具。

tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。

tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。

因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

一、概述

顾名思义，tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。

它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

引用

#tcpdump-vv

tcpdump:

listeningoneth0,link-typeEN10MB（Ethernet）,capturesize96bytes

11:

53:

21.444591IP（tos0x10,ttl64,id19324,offset0,flags[DF],proto6,length:

92）asptest.localdomain.ssh>192.168.228.244.1858:

P3962132600:

3962132652（52）ack2726525936win1266

asptest.localdomain.1077>192.168.228.153.domain:

[badudpcksum166e!

]325+PTR?

244.228.168.192.in-addr.arpa.（46）

11:

53:

21.446929IP（tos0x0,ttl64,id42911,offset0,flags[DF],proto17,length:

151）192.168.228.153.domain>asptest.localdomain.1077:

325NXDomainq:

PTR?

244.228.168.192.in-addr.arpa.0/1/0ns:

168.192.in-addr.arpa.（123）

11:

53:

21.447408IP（tos0x10,ttl64,id19328,offset0,flags[DF],proto6,length:

172）asptest.localdomain.ssh>192.168.228.244.1858:

P168:

300（132）ack1win1266

347packetscaptured

1474packetsreceivedbyfilter

745packetsdroppedbykernel

不带参数的tcpdump会收集网络中所有的信息包头，数据量巨大，必须过滤。

二、选项介绍

引用

-A以ASCII格式打印出所有分组，并将链路层的头最小化。

-c在收到指定的数量的分组后，tcpdump就会停止。

-C在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size中指定的大小。

如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。

参数file_size的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。

-d将匹配信息包的代码以人们能够理解的汇编格式给出。

-dd将匹配信息包的代码以c语言程序段的格式给出。

-ddd将匹配信息包的代码以十进制的形式给出。

-D打印出系统中所有可以用tcpdump截包的网络接口。

-e在输出行打印出数据链路层的头部信息。

-E用spi@ipaddralgo:

secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsecESP分组。

-f将外部的Internet地址以数字的形式打印出来。

-F从指定的文件中读取表达式，忽略命令行中给出的表达式。

-i指定监听的网络接口。

-l使标准输出变为缓冲行形式，可以把数据导出到文件。

-L列出网络接口的已知数据链路。

-m从文件module中导入SMIMIB模块定义。

该参数可以被使用多次，以导入多个MIB模块。

-M如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC2385）。

-b在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。

-n不把网络地址转换成名字。

-nn不进行端口名称的转换。

-N不输出主机名中的域名部分。

例如，‘nic.ddn.mil‘只输出’nic‘。

-t在输出的每一行不打印时间戳。

-O不运行分组分组匹配（packet-matching）代码优化程序。

-P不将网络接口设置成混杂模式。

-q快速输出。

只输出较少的协议信息。

-r从指定的文件中读取包（这些包一般通过-w选项产生）。

-S将tcp的序列号以绝对值形式输出，而不是相对值。

-s从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。

-T将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。

-t不在每一行中输出时间戳。

-tt在每一行中输出非格式化的时间戳。

-ttt输出本行和前面一行之间的时间差。

-tttt在每一行中输出由date处理的默认格式的时间戳。

-u输出未解码的NFS句柄。

-v输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

-vv输出详细的报文信息。

-w直接将分组写入文件中，而不是不分析并打印出来。

三、tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。

如果没有给出任何条件，则网络上所有的信息包将会被截获。

在表达式中一般如下几种类型的关键字：

引用

第一种是关于类型的关键字，主要包括host，net，port，例如host210.27.48.2，指明210.27.48.2是一台主机，net202.0.0.0指明202.0.0.0是一个网络地址，port23指明端口号是23。

如果没有指定类型，缺省的类型是host。

第二种是确定传输方向的关键字，主要包括src，dst，dstorsrc，dstandsrc，这些关键字指明了传输的方向。

举例说明，src210.27.48.2，指明ip包中源地址是210.27.48.2，dstnet202.0.0.0指明目的网络地址是202.0.0.0。

如果没有指明方向关键字，则缺省是srcordst关键字。

第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。

Fddi指明是在FDDI（分布式光纤数据接口网络）上的特定的网络协议，实际上它是”ether”的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。

其他的几个关键字就是指明了监听的包的协议内容。

如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：

gateway，broadcast，less，greater，还有三种逻辑运算，取非运算是‘not''!

‘，与运算是’and’，’&&';或运算是’or’，’||’；这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

四、输出结果介绍

下面我们介绍几种典型的tcpdump命令的输出信息 

（1）数据链路层头信息 

使用命令：

#tcpdump--ehostICE

ICE是一台装有linux的主机。

它的MAC地址是0：

90：

27：

58：

AF：

1AH219是一台装有Solaris的SUN工作站。

它的MAC地址是8：

0：

20：

79：

5B：

46；上一条命令的输出结果如下所示：

引用

21:

50:

12.847509eth0<8:

0:

20:

79:

5b:

460:

90:

27:

58:

af:

1aip60:

h219.33357>ICE.telnet0:

0（0）ack22535win8760（DF）

21：

50：

12是显示的时间，847509是ID号，eth0<表示从网络接口eth0接收该分组，eth0>表示从网络接口设备发送分组，8:

0:

20:

79:

5b:

46是主机H219的MAC地址，它表明是从源地址H219发来的分组.0:

90:

27:

58:

af:

1a是主机ICE的MAC地址，表示该分组的目的地址是ICE。

ip是表明该分组是IP分组，60是分组的长度，h219.33357>ICE.telnet表明该分组是从主机H219的33357端口发往主机ICE的TELNET（23）端口。

ack22535表明对序列号是222535的包进行响应。

win8760表明发送窗口的大小是8760。

（2）ARP包的tcpdump输出信息 

使用命令：

#tcpdumparp

得到的输出结果是：

引用

22:

32:

42.802509eth0>arpwho-hasroutetellICE（0:

90:

27:

58:

af:

1a）

22:

32:

42.802902eth0

90:

27:

12:

10:

66（0:

90:

27:

58:

af:

1a）

22:

32:

42是时间戳，802509是ID号，eth0>表明从主机发出该分组，arp表明是ARP请求包，who-hasroutetellICE表明是主机ICE请求主机route的MAC地址。

0:

90:

27:

58:

af:

1a是主机ICE的MAC地址。

（3）TCP包的输出信息 

用tcpdump捕获的TCP包的一般输出信息是：

引用

src>dst:

flagsdata-seqnoackwindowurgentoptions

src>dst:

表明从源地址到目的地址，flags是TCP报文中的标志信息，S是SYN标志，F（FIN），P（PUSH），R（RST）"."（没有标记）;data-seqno是报文中的数据的顺序号，ack是下次期望的顺序号，window是接收缓存的窗口大小，urgent表明报文中是否有紧急指针。

Options是选项。

（4）UDP包的输出信息

用tcpdump捕获的UDP包的一般输出信息是：

引用

route.port1>ICE.port2:

udplenth

UDP十分简单，上面的输出行表明从主机route的port1端口发出的一个UDP报文到主机ICE的port2端口，类型是UDP，包的长度是lenth。

五、举例

（1）想要截获所有210.27.48.1的主机收到的和发出的所有的分组：

#tcpdumphost210.27.48.1 

（2）想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信，使用命令（注意：

括号前的反斜杠是必须的）：

#tcpdumphost210.27.48.1and 210.27.48.2or210.27.48.3 

（3）如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：

#tcpdumpiphost210.27.48.1and!

210.27.48.2

（4）如果想要获取主机192.168.228.246接收或发出的ssh包，并且不转换主机名使用如下命令：

#tcpdump-nn-nsrchost192.168.228.246andport22andtcp

（5）获取主机192.168.228.246接收或发出的ssh包，并把mac地址也一同显示：

#tcpdump-esrchost192.168.228.246andport22andtcp-n-nn

（6）过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头：

tcpdumpsrchost192.168.0.1anddstnet192.168.0.0/24 

（7）过滤源主机物理地址为XXX的报头：

tcpdumpethersrc00:

50:

04:

BA:

9Banddst……

（为什么ethersrc后面没有host或者net？

物理地址当然不可能有网络喽）。

（8）过滤源主机192.168.0.1和目的端口不是telnet的报头，并导入到tes.t.txt文件中：

Tcpdumpsrchost192.168.0.1anddstportnottelnet-l>test.txt

ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

tcpdump采用命令行方式，它的命令格式为：

tcpdump[-nn][-i接口][-w储存档名][-c次数][-Ae]

                       [-qX][-r文件][所欲捕获的数据内容]

参数：

-nn，直接以IP及PortNumber显示，而非主机名与服务名称。

-i，后面接要「监听」的网络接口，例如eth0,lo,ppp0等等的接口。

-w，如果你要将监听所得的数据包数据储存下来，用这个参数就对了。

后面接文件名。

-c，监听的数据包数，如果没有这个参数，tcpdump会持续不断的监听，

    直到用户输入[ctrl]-c为止。

-A，数据包的内容以ASCII显示，通常用来捉取WWW的网页数据包资料。

-e，使用资料连接层（OSI第二层）的MAC数据包数据来显示。

-q，仅列出较为简短的数据包信息，每一行的内容比较精简。

-X，可以列出十六进制（hex）以及ASCII的数据包内容，对于监听数据包内容很有用。

-r，从后面接的文件将数据包数据读出来。

那个「文件」是已经存在的文件，

    并且这个「文件」是由-w所制作出来的。

所欲捕获的数据内容：

我们可以专门针对某些通信协议或者是IP来源进行数据包捕获。

    那就可以简化输出的结果，并取得最有用的信息。

常见的表示方法有。

   'hostfoo','host127.0.0.1'：

针对单台主机来进行数据包捕获。

    'net192.168'：

针对某个网段来进行数据包的捕获。

    'srchost127.0.0.1''dstnet192.168'：

同时加上来源（src）或目标（dst）限制。

    'tcpport21'：

还可以针对通信协议检测，如tcp、udp、arp、ether等。

    除了这三种类型的关键字之外，其他重要的关键字如下：

gateway,broadcast,less,

greater,还有三种逻辑运算，取非运算是'not''!

',与运算是'and','&&';或运算是'o

r','||'；

范例一：

以IP与PortNumber捉下eth0这个网卡上的数据包，持续3秒

[root@linux~]#tcpdump-ieth0-nn

tcpdump:

verboseoutputsuppressed,use-vor-vvforfullprotocoldecode

listeningoneth0,link-typeEN10MB（Ethernet）,capturesize96bytes

01:

33:

40.41IP192.168.1.100.22>192.168.1.11.1190:

P116:

232（116）ack1win 

9648

01:

33:

40.41IP192.168.1.100.22>192.168.1.11.1190:

P232:

364（132）ack1win 

9648

<==按下[ctrl]-c之后结束

6680packetscaptured             <==捉取下来的数据包数量

14250packetsreceivedbyfilter  <==由过滤所得的总数据包数量

7512packetsdroppedbykernel    <==被核心所丢弃的数据包

至于那个在范例一所产生的输出中，我们可以大概区分为几个字段，现以范例一当中那行特殊字体行来说明一下：

·01:

33:

40.41：

这个是此数据包被捕获的时间，“时:

分:

秒”的单位。

·IP：

通过的通信协议是IP。

·192.168.1.100.22>：

传送端是192.168.1.100这个IP，而传送的PortNumber为22，那个大于（>）的符号指的是数据包的传输方向。

·192.168.1.11.1190：

接收端的IP是192.168.1.11，且该主机开启port1190来接收。

·P116:

232（116）：

这个数据包带有PUSH的数据传输标志，且传输的数据为整体数据的116~232Byte，所以这个数据包带有116Bytes的数据量。

·ack1win9648：

ACK与Windowsize的相关资料。

最简单的说法，就是该数据包是由192.168.1.100传到192.168.1.11，通过的port是由22到1190，且带有116Bytes的数据量，使用的是PUSH的标记，而不是SYN之类的主动联机标志。

接下来，在一个网络状态很忙的主机上面，你想要取得某台主机对你联机的数据包数据时，使用tcpdump配合管线命令与正则表达式也可以，不过，毕竟不好捕获。

我们可以通过tcpdump的表达式功能，就能够轻易地将所需要的数据独立的取出来。

在上面的范例一当中，我们仅针对eth0做监听，所以整个eth0接口上面的数据都会被显示到屏幕上，但这样不好分析，可以简化吗？

例如，只取出port21的联机数据包，可以这样做：

[root@linux~]#tcpdump-ieth0-nnport21

tcpdump:

verboseoutputsuppressed,use-vor-vvforfullprotocoldecode

listeningoneth0,link-typeEN10MB（Ethernet）,capturesize96bytes

01:

54:

37.96IP192.168.1.11.1240>192.168.1.100.21:

.ack1win65535

01:

54:

37.96IP192.168.1.100.21>192.168.1.11.1240:

P1:

21（20）ack1win5840

01:

54:

38.12IP192.168.1.11.1240>192.168.1.100.21:

.ack21win65515

01:

54:

42.79IP192.168.1.11.1240>192.168.1.100.21:

P1:

17（16）ack21win65515

01:

54:

42.79IP192.168.1.100.21>192.168.1.11.1240:

.ack17win5840

01:

54:

42.79IP192.168.1.100.21>192.168.1.11.1240:

P21:

55（34）ack17win5840

看！

这样就仅取出port21的信息，如果仔细看的话，你会发现数据包的传递都是双向的，Client端发出请求而Server端则予以响应，所以，当然是有去有回了。

而我们也就可以经过这个数据包的流向来了解到数据包运动的过程了。

例如：

·我们先在一个终端机窗口输入“tcpdump-ilo-nn”的监听。

·再另开一个终端机窗口来对本机（127.0.0.1）登录“sshlocalhost”，那么输出的结果会是如何？

[root@linux~]#tcpdump-ilo-nn

1tcpdump:

verboseoutputsuppressed,use-vor-vvforfullprotocoldecode

2listeningonlo,link-typeEN10MB（Ethernet）,capturesize96bytes

311:

02:

54.253777IP127.0.0.1.32936>

127.0.0.1.22:

S933696132:

933696132（0）

win32767

411:

02:

54.253831IP127.0.0.1.22>127.0.0.1.32936:

S920046702:

920046702（0）

ack933696133win32767

511:

02:

54.253871IP127.0.0.1.32936>127.0.0.1.22:

.ack1win8192

611:

02:

54.272124IP127.0.0.1.22>127.0.0.1.32936:

P1:

23（22）ack1win8192

711:

02:

54.272375IP127.0.0.1.32936>127.0.0.1.22:

.ack23win8192

代码显示的头两行是tcpdump的基本说明，然后：

·第3行显示的是来自Client端带有SYN主动联机的数据包。

·第4行显示的是来自Server端，除了响应Client端之外（ACK），还带有SYN主动联机的标志。

·第5行则显示Client端响应Server确定联机建立（ACK）。

·第6行以后则开始进入数据传输的步骤。

从第3~5行的流程来看，熟不熟悉啊？

没错。

那就是3次握手的基础流程，有趣吧。

不过tcpdump之所以被称为黑客软件之一远不止上面介绍的功能。

上面介绍的功能可以用来作为我们主机的数据包联机与传输的流程分析，这将有助于我们了解到数据包的运作，同时了解到主机的防火墙设置规则是否有需要修订的地方。

还有更神奇的用法。

当我们使用tcpdump在Router上面监听明文的传输数据时，例如FTP传输协议，你觉得会发生什么问题呢？

我们先在主机端执行“tcpdump-iloport21-nn–X”，然后再以FTP登录本机，并输入账号与密码，结果你就可以发