2010-10-11 22:21:12 
阿炯
顾名思义,TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉一些无用的信息。
tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
我们用尽量简单的话来定义tcpdump,就是:dump the traffice on a network.,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。
Tcpdump命令用于监视TCP/IP连接并直接读取数据链路层的数据包头。可以指定哪些数据包被监视、哪些控制要显示格式。例如要监视第一块Ethernet上来往的通信,执行下述命令:
tcpdump-i eth0
即使是在一个相对平静的网络上,也有很多的通信,所以可能只需要得到感兴趣的那些数据包的信息。在一般情况下,TCP/IP栈只为本地主机接收入站的数据包绑定同时忽略网络上的其它计算机编址(除非您使用的是一台路由器)。当运行Linux 网络性能调试工具tcpdump命令时,它会将TCP/IP栈设置为promiscuous模式。该模式可接收所有的数据包并使其有效显示。如果我们关心的只是我们本地主机的通信情况,一种方法是使用“-p”参数禁止promiscuous模式,还有一种方法就是指定主机名:
tcpdump -i eth0 host hostname
此时,系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
tcpdump -i eth0 src host hostname
下面的命令可以监视所有送到主机hostname的数据包:
tcpdump -i eth0 dst host hostname
我们还可以监视通过指定网关的数据包:
tcpdump -i eth0 gateway Gatewayname
如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
tcpdump -i eth0 host hostname and port 80
该命令将显示从每个数据包传出的头和来自主机hostname对端口80的编址,端口80是系统默认的HTTP服务端口号。如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port
tcpdump采用命令行方式,它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]
1. tcpdump的选项介绍
-a 尝试将网络和广播地址转换成名称。
-c 收到指定的数据包数目后,就停止进行倾倒操作。
-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e 在每列倾倒资料上显示连接层级的文件头。
-f 用数字显示网际网络地址。
-F 指定内含表达方式的文件。
-i 使用指定的网络截面送出数据包。
-l 使用标准输出列的缓冲区。
-n 不把主机的网络地址转换成名字。
-N 不列出域名。
-O 不将数据包编码最佳化。
-p 不让网络界面进入混杂模式。
-q 快速输出,仅列出少数的传输协议信息。
-r 从指定的文件读取数据包数据。
-s 设置每个数据包的大小。
-S 用绝对而非相对数值列出TCP关联数。
-t 在每列倾倒资料上不显示时间戳记。
-tt 在每列倾倒资料上显示未经格式化的时间戳记。
-T 强制将表达方式所指定的数据包转译成设置的数据包类型。将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)。
-v 详细显示指令执行过程。
-vv 更详细显示指令执行过程。
-x 用十六进制字码列出数据包资料。
-w 把数据包数据写入指定的文件。
2. tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。
在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
3. tcpdump 的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息
(1) 数据链路层头信息
使用命令#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是00:90:27:58:AF:1A。H219是一台装有SOLARIC的SUN工作站,它的MAC地址是80:20:79:5B:46;上一条命令的输出结果如下所示:21:50:12.847509 eth0 ice.
telnet 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是显示的时间, 847509是ID号,eth0 表示从网络接口设备发送数据包, 80:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 00:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
(2) ARP包的TCPDUMP输出信息
使用命令#tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。
(3) TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针.
Options是选项.
(4) UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP, 包的长度是lenth
Tcpdump命令的使用与示例——linux下的网络分析
tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。网络数据采集分析工具TcpDump的安装
在linux下tcpdump的安装十分简单,一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。
rpm包的形式安装:这种形式的安装是最简单的安装方法,rpm包是将软件编译后打包成二进制的格式,通过rpm命令可以直接安装,不需要修改任何东西。以超级用户登录,使用命令如下:
#rpm –ivh tcpdump-3_4a5.rpm
这样tcpdump就顺利地安装到你的linux系统中。怎么样,很简单吧。源程序的安装:既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实,linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的,人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。
* 第一步 取得源程序 在源程序的安装方式中,我们首先要取得tcpdump的源程序分发包,这种分发包有两种形式,一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种形式的内容都是一样的,不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开:
#tar xvfz
tcpdump-3_4a5.tar.Z
rpm的包可以使用如下命令安装:
#rpm –ivh tcpdump-3_4a5.src.rpm
这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下.
* 第二步 做好编译源程序前的准备活动
在编译源程序之前,最好已经确定库文件libpcap已经安装完毕,这个库文件是tcpdump软件所需的库文件。同样,你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。 在tcpdump的源程序目录中。有一个文件是Makefile.in,configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中,可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义,缺省值是
BINDEST = @sbindir@
MANDEST = @mandir@
第一个宏值表明安装tcpdump的二进制文件的路径名,第二个表明tcpdump的man 帮助页的路径名,你可以修改它们来满足系统的需求。
* 第三步 编译源程序
使用源程序目录中的configure脚本,它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件,以便编译使用.make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。总结一下就是:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# . /configure
# make
# make install
4. BSD系统中网络数据采集分析工具TcpDump的使用
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
#tcpdump
tcpdump
: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
^C
tcpdump支持相当多的不同参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。
然而更复杂的tcpdump参数是用于过滤目的,这是因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,充分利用这些过滤规则就能达到迅速定位故障的目的。请使用man tcpdump查看这些过滤规则的具体用法。
显然为了安全起见,不用作网络管理用途的计算机上不应该运行这一类的网络分析软件,为了屏蔽它们,可以屏蔽内核中的bpfilter伪设备。一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包,为了接收这些数据包,就必须使用网卡的混杂模式,并绕过标准的TCP/IP堆栈才行。在FreeBSD下,这就需要内核支持伪设备bpfilter。因此,在内核中取消bpfilter支持,就能屏蔽tcpdump之类的网络分析工具。
并且当网卡被设置为混杂模式时,系统会在控制台和日志文件中留下记录,提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
虽然网络分析工具能将网络中传送的数据记录下来,但是网络中的数据流量相当大,如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。网络中的数据包属于不同的协议,而不同协议数据包的格式也不同。因此对捕获的数据进行解码,将包中的信息尽可能的展示出来,对于协议分析工具来讲更为重要。昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议,而不仅仅只支持tcp、udp等低层协议。
从上面tcpdump的输出可以看出,tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。FreeBSD提供的一个有效的解码程序为tcpshow,它可以通过Packages Collection来安装。
# pkg_add /cdrom/packages/security/tcpshow*
#
tcpdump
-c 3 -w
tcpdump
.out
tcpdump
: listening on fxp0
# tcpshow 01:80:C2:00:00:00 type=0026
---------------------------------------------------------------------------
Packet 2
TIME:12:01:01.074513 (1.089684)
LINK:00:A0:C9:AB:3C:DF -> FF:FF:FF:FF:FF:FF type=ARP
ARP:htype=Ethernet ptype=IP hlen=6 plen=4 op=request
sender-MAC-addr=00:A0:C9:AB:3C:DF sender-IP-address=202.102.245.3
target-MAC-addr=00:00:00:00:00:00 target-IP-address=202.102.245.3
---------------------------------------------------------------------------
Packet 3
TIME:12:01:01.985023 (0.910510)
LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026
tcpshow能以不同方式对数据包进行解码,并以不同的方式显示解码数据,使用者可以根据其手册来选择最合适的参数对截获的数据包进行分析。从上面的例子中可以看出,tcpshow支持的协议也并不丰富,对于它不支持的协议就无法进行解码。
除了tcpdump之外,FreeBSD的Packages Collecion中还提供了Ethereal和Sniffit两个网络分析工具,以及其他一些基于网络分析方式的安全工具。其中Ethereal运行在 X Window 下,具有不错的图形界面,Sniffit使用字符窗口形式,同样也易于操作。然而由于tcpdump对过滤规则的支持能力更强大,因此系统管理员仍然更喜欢使用它。对于有经验的网络管理员,使用这些网络分析工具不但能用来了解网络到底是如何运行的,故障出现在何处,还能进行有效的统计工作,如那种协议产生的通信量占主要地位,那个主机最繁忙,网络瓶颈位于何处等等问题。因此网络分析工具是用于网络管理的宝贵系统工具。为了防止数据被滥用的网络分析工具截获,关键还是要在网络的物理结构上解决。常用的方法是使用交换机或网桥将信任网络和不信任网络分隔开,可以防止外部网段窃听内部数据传输,但仍然不能解决内部网络与外部网络相互通信时的数据安全问题。如果没有足够的经费将网络上的共享集线器升级为以太网交换机,可以使用FreeBSD系统执行网桥任务。这需要使用option BRIDGE编译选项重新定制内核,此后使用bridge命令启动网桥功能。
(1).tcpdump采用命令行方式
它的命令格式为:
tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 类型 ] [ -w 文件名 ] [表达式 ]
(2).tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ''not '' ''! '', 与运算是''and'',''&&'';或运算 是''or'' ,''││'';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要
#tcpdump
host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump
ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump
tcp port 23 host 210.27.48.1
(3).tcpdump的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息
A,数据链路层头信息
使用命令
#tcpdump --e host ice
ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条命令的输出结果如下所示:
21:50:12.847509
eth0 ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是显示的时间, 847509是ID号,eth0 表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
B,ARP包的TCPDUMP输出信息
使用命令
#tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。
C,TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.
D,UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP, 包的长度是lenth
补充说明:执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。
emacsist总结的tcpdump的一些使用方法
个人觉得总结的很不错,特意转过来,感谢原作者。
查看哪个网卡可以被监听
tcpdump -D
输出结果:
1.en0 [Up, Running]
2.p2p0 [Up, Running]
3.awdl0 [Up, Running]
4.bridge0 [Up, Running]
5.utun0 [Up, Running]
6.en1 [Up, Running]
7.utun1 [Up, Running]
8.en2 [Up, Running]
9.lo0 [Up, Running, Loopback]
10.gif0
11.stf0
12.XHC20
那些 Up, Running 状态的, 就表示可以被监听的。
监听指定网卡的所有流量
tcpdump -i en0
监听所有可以被监听的网卡
tcpdump -i any
查看详细的输出
tcpdump -v
tcpdump -vv
tcpdump -vvv
查看比较少的输出可使用'-q'参数
tcpdump -i lo0 tcp port 8080 -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
17:08:42.635649 IP localhost.52460 > localhost.http-alt: tcp 0
17:08:42.635720 IP localhost.http-alt > localhost.52460: tcp 0
17:08:42.635735 IP localhost.52460 > localhost.http-alt: tcp 0
可以看到, 它只是输出连接地址, 以及数据tcp 数据包的长度。
将数据包以十六进制以及ASCII输出
tcpdump -i lo0 -v -X
只抓取 N 个数据包
tcpdump -c 100
将记录输出到文件
tcpdump -v -w capture.cap
从输出的文件中读取数据
tcpdump -vvv -r capture.cap
不进行域名解析
tcpdump -n
只捕获所有发送到指定IP的数据
tcpdump -i en0 dst host 10.0.0.68
将 10.0.0.68 替换为你想捕获的目的地IP数据地址即可
只捕获所有从某IP发出的数据
tcpdump -i en0 src host 10.0.0.68
将 10.0.0.68 替换为你想捕获的源IP数据地址即可
捕获所有主机为指定IP的数据
tcpdump -n host 10.0.0.68
这意味着, 获取所有 10.0.0.68 接收或发送出的所有数据.
只捕获所有指定网段的源IP发送的数据
tcpdump -n src net 10.0.0.0/24
只捕获所有发送到指定网段的目的地IP的数据
tcpdump -n dst net 10.0.0.0/24
只捕获所有指定网段的IP数据
tcpdump -n net 10.0.0.0/24
这意味着, 不管是从这网段发出或接收的数据, 都进行捕获。
捕获指定目的地端口的数据
tcpdump -i any -n dst port 8080
即不管目的地IP是多少, 只是接收的端口为 8080 的数据, 全进行捕获。
还可以指定端口范围
tcpdump -i any -n dst portrange 1-8080
还可以指定协议类型
tcpdump -i any -n tcp dst portrange 1-8080
tcp 表示为 TCP 类型
udp 表示为 UDP 类型
捕获目的地为指定IP以及指定端口的数据
tcpdump -i any -n "dst port 8080 and dst host 10.0.0.68"
即: 所有发送到 10.0.0.68:8080 的数据都进行捕获
tcpdump -i any -n "(dst port 8080 or dst port 443) and dst host 10.0.0.68"
即: 所有发送到 10.0.0.68 的数据, 并且端口为 8080 或 443 都可以.
只捕获指定大小的数据包
默认是 68 bytes
tcpdump -s 500
捕获所有数据包
tcpdump -s 0
捕获 ARP 数据包
tcpdump -v arp
捕获 ICMP 数据包
tcpdump -v icmp
捕获HTTP 数据包
tcpdump -i any -s 0 'tcp port http'
调试 HTTPS 数据包
虽然 tcpdump 目前还不支持 https 的数据进行明文处理. 但现在的服务器, 一般是使用 nginx 作为负载均衡, 然后后端使用 tomcat 来进行处理. 这样子, 我们就可以用 tcpdump 来捕获 tomcat 端口的数据即可。
假设, 服务器配置的 upstream 如下:
upstream web.request {
server 127.0.0.1:8770;
server 127.0.0.1:8078;
}
则可以这样来监听:
tcpdump -i lo port 8770 or port 8078 -vvv -X
只抓取 SYN 包
tcpdump -i eth1 'tcp port 888 and dst port 888 and (tcp[tcpflags] & (tcp-syn) != 0)' -c 10 -vvvvv -X
常用示例
tcpdump -i eth0 'tcp port xxx ' -ttttt -vvvvv -X -A -c 100
-t : 禁止显示 timestamp
-tt : 显示以秒为单位. 例子: 1565236695.467340 . 从 1970 年 1 月 1日 0 时 0 分 0 秒以来到现在的绝对时间
-ttt : 显示以微秒为单位的以上一个数据包的时间差. 例子 : 00:00:00.000702
-tttt : 例如 : 2019-08-08 12:02:37.719226
-ttttt : 显示当前与第一行数据的时间差. 单位为微秒. 例如 00:00:00.002420
杂项
-n 参数 : 不解析 host , 只显示 ip
输出结果解析
tos
tos : TOS - Type Of Service. wiki tos
共 8 bit (1B).
0 1 2 3 4 5 6 7
Precedence Precedence Precedence lowdelay throughput reliability lowcost MBZ(0)
Precedence 的值有:
111 - Network Control
110 - Internetwork Control
101 - CRITIC/ECP
100 - Flash Override
011 - Flash
010 - Immediate
001 - Priority
000 - Routine
例如, tcpdump 输出中
IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->262d)!)
则 tos 整个字节的值为 0x10, 即十六进制的10, 转换为二进制为
echo 'ibase=16;obase=2;50' | bc
1010000
填充为 8 位的话则为
01010000
010 | 1 | 0 | 0 | 0 | 0
即
precedence 值为 010
lowdelay 为 1
throughput 为 0
reliability 为 0
lowcost 为 0
MBZ 一定为 0
ttl
time to live.
存活时间以秒为单位,但小于一秒的时间均向上取整到一秒。在现实中,这实际上成了一个跳数计数器:报文经过的每个路由器都将此字段减1,当此字段等于0时,报文不再向下一跳传送并被丢弃,最大值是255。
https://zh.wikipedia.org/wiki/IPv4
id
占16位,这个字段主要被用来唯一地标识一个报文的所有分片,因为分片不一定按序到达,所以在重组时需要知道分片所属的报文。每产生一个数据报,计数器加1,并赋值给此字段。
IP flags
这个3位字段用于控制和识别分片,它们是:
位0:保留,必须为0;
位1:禁止分片(Don’t Fragment,DF),当DF=0时才允许分片;
位2:更多分片(More Fragment,MF),MF=1代表后面还有分片,MF=0 代表已经是最后一个分片。
offset
这个13位字段指明了每个分片相对于原始报文开头的偏移量,以8字节作单位。
IP 层的 length
这个16位字段定义了报文总长,包含首部和数据,单位为字节。这个字段的最小值是20(20字节首部+0字节数据),最大值是2^16-1=65,535
protol 协议
IP 协议号. 示例结果 IP(6) 即 IP 协议号 6 . (即为 TCP)
IP协议号列表
不同的 length
14:38:28.479897 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 79, bad cksum 0 (->2622)!)
10.0.0.68.8888 > 10.0.0.68.54957: Flags [P.], cksum 0x14c9 (incorrect -> 0xbeff), seq 1:28, ack 162, win 6377, options [nop,nop,TS val 1586677331 ecr 1586677325], length 27
length 79 : 这个表示IP 层的总长度(包含头和数据)
length 27 : 这个是传输层 payload 的数据大小. (Tcpdump 的 man 里原文为: Len is the length of payload data)
flags
[P] (Push Data)
[R] (Reset Connection)
[S] (Start Connection)
[F] (Finish Connection)
[S.] (SynAcK Packet)
[.] (No Flag Set)
options
https://www.iana.org/assignments/ip-parameters/ip-parameters.xhtml
常见的有
NOP : no operation
SEC : security
E-SEC : extend security
TS : time stamp
TS val 235835291 ecr 911640428 : 类似这种的话
ECR : echo reply . (TSER). 它通常用于 ack message, 持有上一次收到的 TSV 的值的副本.
TSV : timestamp value
HTTP 应用估算带宽
一个frame 的结构如下
eth:ethertype:ip:tcp:http:data
(eth + ethtype + ip + tcp) header , 一般为 66 bytes
属性 大小
eth + ethertype 14 bytes
ip header 20 bytes
tcp header 20 ~ 60 bytes . 一般 (ip + tcp)header 一共 52 bytes
http header 自行计算输出大小
http body 自行计算输出大小
最小只返回 204 的, 经过抓包发现整个数据为 117 bytes (包括链路层) Header 里只有
HTTP/1.1.204 No.Content\r\n Connection: keep-alive\r\n
通过修改 Nignx 源码, 去掉 Connection 的 Header , 则只剩下 93 bytes。
数据包相关术语
+-------------+-------------------------+
| Application | Telnet, FTP, etc |
+-------------+-------------------------+
| Transport | TCP, UDP |
+-------------+-------------------------+
| Network | IP, ICMP |
+-------------+-------------------------+
| Link| drivers, interface card |
+-------------+-------------------------+
Segment : 如果传输协议为 TCP, 则从 TCP -> Network 的数据单元就称为 Segment
Datagram
如果 Network 协议为 IP, 则数据单元称为 Datagram. 也叫 IP Datagram
在 Transport 层, 如果协议为 UDP, 也称为 Datagram. 也叫 UDP Datagram
Frame : 物理层 Link
Packet : 是个通用的术语. 用在 Transport, 或 Network 层. 即 TCP Packet, UDP Packet, IP Packet 等. 但一般不用在 Link (物理层)
Fragment : 它是经过一个协议已经分好适应 MTU 大小的数据单元的结果了的数据, 就称为 Fragment
参考资料
units-fragment-segment-packet-frame-datagram
分片
TCP 分片
它是由 TCP 参数 MSS 来决定的. 注意, 它的大小并不包括 TCP Header 或 IP Header。
MSS 也意味着是应用层最大的发送字节数。
通常, MSS = 物理层 MTU(1500) - IPHeader (20) - TCP Header (20) = 1460
MTU
有两个含义
物理设备的 MTU, 表示最大传输单元(eth通常为 1500)
这个数值, 可以用 ifconfig 命令查看
查看对方的 MTU 的话, 可以根据第一次建立连接的中的 MSS 来判断. 对方的 MTU = MSS +IP MTU, 表示 IP Payload 的最大大小 (不包括链路层的 header 和 trailer)
发送包的大小,是由 MTU 较小的一方决定的。
TCP window size
它是 TCP 协议的一个选项, 最大值为 65535 bytes。
一个通讯的吞吐是由两个 window 来限制的
Congestion window : 不超出网络大小
Receive window : 不超出接收端的处理数据大小
即 TCP receive buffer 用于接收数据存放的缓冲区大小.
在 TCP Header 中设置这个大小, 用于表示发送者在收到 ack 之前最多还可以发送多少数据给对方.
Linux 系统相关操作
查看是开启滑动窗口功能(/proc/sys/net/ipv4/tcp_window_scaling),1 为开启. 0 为禁止。