一、tcpdump介绍
tcpdump 是一个Linux的网络抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。
二、安装&用法说明
1)安装
$ yum -y install tcpdump
2)用法说明
tcpdump采用命令行方式,它的命令格式为
tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ]
抓包选项:
-
-c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。
-
-i interface:指定tcpdump需要监听的接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),一旦找到第一个符合条件的接口,搜寻马上结束。可以使用’any’关键字表示所有网络接口。
-
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-
-N:不打印出host的域名部分。例如tcpdump将会打印’nic’而不是’nic.ddn.mil’。
-
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、“out"和"inout”,默认为"inout"。
-
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生包截断,若出现包截断,输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失,所以在能抓取我们想要的包的前提下,抓取长度越小越好。-s0:防止包截断。
输出选项:
-
-e:输出的每行中都将包括数据链路层头部信息。例如源MAC和目标MAC。
-
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-
-A :打印数据报文的 ASCII 值
-
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-
-v:当分析和打印的时候,产生详细的输出。
-
-vv:产生比-v更详细的输出。
-
-vvv:产生比-vv更详细的输出。
其他功能性选项:
-
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-
-F:从文件中读取抓包的表达式。若使用该选项,则命令行中给定的其他表达式都将失效。
-
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-
-r:从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。
三种修饰符:
- type:指定ID的类型。
可以给定的值有host/net/port/portrange。例如"host foo",“net 128.3”,“port 20”,“portrange 6000-6008”。默认的type为host。
- dir:指定ID的方向。
可以给定的值包括src/dst/src or dst/src and dst,默认为src or dst。例如,"src foo"表示源主机为foo的数据包,"dst net 128.3"表示目标网络为128.3的数据包,"src or dst port 22"表示源或目的端口为22的数据包。
- proto:通过给定协议限定匹配的数据包类型。
常用的协议有tcp/udp/arp/ip/ether/icmp等,若未给定协议类型,则匹配所有可能的类型。例如"tcp port 21",“udp portrange 7000-7009”。
三、tcpdump示例
3.1、默认启动,不带参数
$ tcpdump
默认情况下,直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多,滚动非常快。
3.2、tcpdump -D 命令列出可以抓包的网络接口
$ tcpdump -D
[root@localhost ~]# tcpdump -D
1.enp0s3 [Up, Running]
2.enp0s8 [Up, Running]
3.lo [Up, Running, Loopback]
4.any (Pseudo-device that captures on all interfaces) [Up, Running]
5.docker0 [Up]
6.virbr0 [Up]
7.bluetooth-monitor (Bluetooth Linux Monitor) [none]
8.nflog (Linux netfilter log (NFLOG) interface) [none]
9.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
10.usbmon0 (Raw USB traffic, all USB buses) [none]
11.usbmon1 (Raw USB traffic, bus number 1)
12.virbr0-nic [none]
3.4、监视指定网络接口的数据包
$ tcpdump -i ens33
[root@localhost ~]# tcpdump -i enp0s3
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
如果不指定网卡,默认tcpdump只会监视第一个网络接口,如ens33。
3.5、对本机的udp 123端口进行监视(123为ntp的服务端口)
$ tcpdump udp port 123
3.6、监视指定网络的数据包,如本机与192.168网段通信的数据包,"-c 10"表示只抓取10个包
$ tcpdump -c 10 net 192.168
3.7、抓取ping包
$ tcpdump -c 5 -nn -i ens33 icmp
图片
如果明确要抓取主机为192.168.182.130对本机的ping,则使用and操作符。
$ tcpdump -c 5 -nn -i ens33 icmp and src 192.168.182.130
[root@localhost ~]# tcpdump -c 5 -nn -i enp0s8 icmp and src 10.1.0.9
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s8, link-type EN10MB (Ethernet), capture size 262144 bytes
03:54:38.755221 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 1, length 64
03:54:39.806249 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 2, length 64
03:54:40.808812 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 3, length 64
03:54:41.812041 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 4, length 64
03:54:42.814696 IP 10.1.0.9 > 10.1.0.8: ICMP echo request, id 3406, seq 5, length 64
5 packets captured
5 packets received by filter
0 packets dropped by kernel
注意不能直接写icmp src 192.168.182.130,因为icmp协议不支持直接应用host这个type。
3.9、抓取到本机22端口包
$ tcpdump -c 10 -nn -i bond0 tcp dst port 22
4.0、解析包数据
$ tcpdump -c 2 -q -XX -vvv -nn -i bond0 tcp dst port 22
图片
4.1、参数只抓取和特定主机相关的数据包
$ tcpdump -i any -c5 -nn host 192.168.182.152
$ tcpdump -i any -c5 -nn host 192.168.182.130
4.2、保存抓包数据
tcpdump 提供了保存抓包数据的功能以便后续分析数据包,也可以利用wireshark等图形化工具进行分析。
1)使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包
$ tcpdump -i any -c10 -nn -w webserver.pcap port 22
该命令将抓取的数据包保存到文件 webserver.pcap。后缀名 pcap 表示文件是抓取的数据包格式。
2)tcpdump 将数据包保存在二进制文件中,所以不能简单的用文本编辑器去打开它。使用 -r 选项参数来阅读该文件中的报文内容
$ tcpdump -nn -r webserver.pcap
【温馨提示】一般tcpdump抓的网络包会使用wireshark图形化工具来分析,使用wireshark分析网络包更加清晰方便