tcpdump 精華學習筆記

一、Tcpdump簡介
        Tcpdum是Linux上強大的網絡數據採集分析工具

        1.1 第一種類型的關鍵字：host    net     port        
            host 210.27.48.3指明 210.27.48.3是一臺主機       net202.0.0.0 指明202.0.0.0 是一個網絡地址   port 23 指明端口23
        1.2 第二種確定傳輸方向的關鍵字，主要包括 src,dst，dst or src，dst and src。這些關鍵字指明瞭傳輸的方向。
             src 源；        dst 目的；         沒有指明方向關鍵字，則缺省是src or dst.

        1.3 第三種是協議的關鍵字，主要包括ip,arp，udp,tcp,fddi

二、語法

        tcpdump [-adeflnNOpqStvx][-c<數據包數目>][-dd][-ddd][-F<表達文件>][-i<網絡界面>][-r<數據包文件>][-s<數據包大小>][-tt][-T<數據包類型>][-vv][-w<數據包文件>][輸出數據欄位]

使用-i參數指定tcpdump監聽的網絡界面，這在計算機具有多個網絡界面時非常有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存
tcpdump總的的輸出格式爲：系統時間 來源主機.端口 > 目標主機.端口 數據包參數

         補充說明：執行tcpdump指令可列出經過指定網絡界面的數據包文件頭，在Linux操作系統中，你必須是系統管理員root
                        不帶參數的tcpdump會收集網絡中所有的信息包頭，數據量巨大，必須過濾。

三、具體參數細節

     -A 以ASCII格式打印出所有分組，並將鏈路層的頭最小化。

    -c 在收到指定的數量的分組後，tcpdump就會停止。

    -C 在將一個原始分組寫入文件之前，檢查文件當前的大小是否超過了參數file_size 中指定的大小。如果超過了指定大小，則關閉當前文件，然後在打開一個新的文件。參數 file_size 的單位是兆字節（是1,000,000字節，而不是1,048,576字節）。

    -d 將匹配信息包的代碼以人們能夠理解的彙編格式給出。

    -dd 將匹配信息包的代碼以c語言程序段的格式給出。

    -ddd 將匹配信息包的代碼以十進制的形式給出。

    -D 打印出系統中所有可以用tcpdump截包的網絡接口。

    -e 在輸出行打印出數據鏈路層的頭部信息。

    -E 用spi@ipaddr algo:secret解密那些以addr作爲地址，並且包含了安全參數索引值spi的IPsec ESP分組。

    -f 將外部的Internet地址以數字的形式打印出來。

    -F 從指定的文件中讀取表達式，忽略命令行中給出的表達式。

    -i 指定監聽的網絡接口。

    -l 使標準輸出變爲緩衝行形式，可以把數據導出到文件。

    -L 列出網絡接口的已知數據鏈路。

    -m 從文件module中導入SMI MIB模塊定義。該參數可以被使用多次，以導入多個MIB模塊。

    -M 如果tcp報文中存在TCP-MD5選項，則需要用secret作爲共享的驗證碼用於驗證TCP-MD5選選項摘要（詳情可參考RFC 2385）。

    -b 在數據-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。

    -n 不把網絡地址轉換成名字。

    -nn 不進行端口名稱的轉換。

    -N 不輸出主機名中的域名部分。例如，‘nic.ddn.mil‘只輸出’nic‘。

    -t 在輸出的每一行不打印時間戳。

    -O 不運行分組分組匹配（packet-matching）代碼優化程序。

    -P 不將網絡接口設置成混雜模式。

    -q 快速輸出。只輸出較少的協議信息。

    -r 從指定的文件中讀取包(這些包一般通過-w選項產生)。

    -S 將tcp的序列號以絕對值形式輸出，而不是相對值。

    -s 從每個分組中讀取最開始的snaplen個字節，而不是默認的68個字節。

    -T 將監聽到的包直接解釋爲指定的類型的報文，常見的類型有rpc遠程過程調用）和snmp（簡單網絡管理協議；）。

    -t 不在每一行中輸出時間戳。

    -tt 在每一行中輸出非格式化的時間戳。

    -ttt 輸出本行和前面一行之間的時間差。

    -tttt 在每一行中輸出由date處理的默認格式的時間戳。

    -u 輸出未解碼的NFS句柄。

    -v 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息。

    -vv 輸出詳細的報文信息。

    -w 直接將分組寫入文件中，而不是不分析並打印出來。 

數據過濾

-b 在數據-鏈路層上選擇協議，包括ip、arp、rarp、ipx都是這一層的。例如：tcpdump -b arp 將只顯示網絡中的arp即地址轉換協議信息。
-i 選擇過濾的網絡接口，如果是作爲路由器至少有兩個網絡接口，通過這個選項，就可以只過濾指定的接口上通過的數據。例如：tcpdump -i eth0 只顯示通過eth0接口上的所有報頭。

四、實例

4.1 用tcpdump嗅探80端口的訪問看看誰最高
#tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F "." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr | head -20  Linux Web服務器網站故障分析常用的命令

4.2  A想要截獲所有210.27.48.1的主機收到的和發出的所有的數據包
#tcpdump host 210.27.48.1

4.3  B想要截獲主機210.27.48.1和主機210.27.48.2或210.27.48.3的通信，使用命令：
#tcpdump host 210.27.48.1 and \（210.27.48.2 or 210.27.48.3 \）

4.3 C想如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

4.4 D 如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

4.5 E 對本機的UDP123 端口進行監視123爲ntp的服務端口
#tcpdump udp port 123 

4.6 F系統將只對名爲hostname的主機的通信數據包進行監視。主機名可本機或他機。
#tcpdump -i eth0 src host hostname

4.7 G下面的命令可以監視所有送到主機hostname的數據包
#tcpdump -i eth0 dst host hostname

4.8 H 我們還可以監視通過指定的網關的數據包
#tcpdump -i eth0 gateway gatewayname

4.9 I 如果想要獲取主機192.168.228.246接收或發出的ssh包，並且不轉換主機名使用如下命令：
#tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

5.0 J 獲取主機192.168.228.246接收或發出的ssh包，並把mac地址也一同顯示：
# tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn

5.1 K 過濾的是源主機爲192.168.0.1與目的網絡爲192.168.0.0的報頭：
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

5.2Ｌ 過濾源主機物理地址爲XXX的報頭：
tcpdump ether src 00:50:04:BA:9B and dst……

５.3 M 過濾源主機192.168.0.1和目的端口不是telnet的報頭，並導入到tes.t.txt文件中：
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型。
例題：如何使用tcpdump監聽來自eth0適配卡且通信協議爲port 22，目標來源爲192.168.1.100的數據包資料？
答：tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
例題：如何使用tcpdump抓取訪問eth0適配卡且訪問端口爲tcp 9080？
答:tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
例題：如何使用tcpdump抓取與主機192.168.43.23或着與主機192.168.43.24通信報文，並且顯示在控制檯上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and  host 172.16.70.35

例如：

如果想捕獲119.75.219.38接收或發送的HTTP包，將其生成詳細報告

可使用如下命令： 

tcpdump tcp port 80 and host 119.75.219.38 -w /tmp/111.pcap

如果想監控80上的數據包

tcpdump tcp port 80 -s 0 -w /tmp/222.pcap

pcap的包可使用wireshark的工具軟件來分析

五、輸出結果介紹

(1) 數據鏈路層頭信息
#tcpdump --e host ICE
ICE 是一臺裝有linux的主機。它的MAC地址是0：90：27：58：AF：1A                                                                 
H219是一臺裝有Solaris的SUN工作站。它的MAC地址是8：0：20：79：5B：46； 上一條命令的輸出結果如下所示：

21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE.  telne t 0:0(0) ack 22535 win 8760 (DF)

21：50：12是顯示的時間， 847509是ID號，eth0 <表示從網絡接口eth0接收該分組， eth0 >表示從網絡接口設備發送分組，
8:0:20:79:5b:46是主機H219的MAC地址， 它表明是從源地址H219發來的分組.
0:90:27:58:af:1a是主機ICE的MAC地址， 表示該分組的目的地址是ICE。
ip 是表明該分組是IP分組，60 是分組的長度， h219.33357 > ICE. telnet 表明該分組是從主機H219的33357端口發往主機ICE的 TELNET(23)端口。 
ack 22535 表明對序列號是222535的包進行響應。 win 8760表明發 送窗口的大小是8760。

(2) ARP包的tcpdump輸出信息
使用命令：
#tcpdump arp

得到的輸出結果是：

22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)

22:32:42是時間戳， 802509是ID號， eth0 >表明從主機發出該分組，arp表明是ARP請求包， who-has route tell ICE表明是主機ICE請求主機route的MAC地址。 0:90:27:58:af:1a是主機 ICE的MAC地址。
(3) TCP包的輸出信息

用tcpdump捕獲的TCP包的一般輸出信息是：

src > dst: flags data-seqno ack window urgent options

src > dst:表明從源地址到目的地址， flags是TCP報文中的標誌信息，S 是SYN標誌， F (FIN)， P (PUSH) ， R (RST) “.” (沒有標記); data-seqno是報文中的數據 的順序號， ack是下次期望的順序號， window是接收緩存的窗口大小， urgent表明 報文中是否有緊急指針。 Options是選項。

(4) UDP包的輸出信息

用tcpdump捕獲的UDP包的一般輸出信息是：

route.port1 > ICE.port2: udp lenth

UDP十分簡單，上面的輸出行表明從主機route的port1端口發出的一個UDP報文 到主機ICE的port2端口，類型是UDP， 包的長度是lenth。

六、其他輔助

(1) 想查看TCP或者UDP端口使用情況，使用 netstat -anp
如果有些進程看不見，如只顯示”-”，可以嘗試

#sudo netstat -anp
如果想看某個端口的信息，使用lsof命令，如：
#sudo lsof -i :631

netstat -tln 命令是用來查看linux的端口使用情況

# netstat -tln

/etc/init.d/vsftp start 是用來啓動ftp端口~！

netstat  查看已經連接的服務端口（ESTABLISHED）

netstat -a   查看所有的服務端口（LISTEN，ESTABLISHED）

sudo netstat -ap   查看所有 的服務端口並顯示對應的服務程序名

當我們使用　netstat -apn　查看網絡連接的時候，會發現很多類似下面的內容：
file:///C:/Documents%20and%20Settings/Administrator/Local%20Settings/Application%20Data/youdao/ynote/images/83EDB0DBC37645DCA0BA3BB7060BCAF6/clipboard.png
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 52 218.104.81.152：7710 211.100.39.250：29488 ESTABLISHED 6111/1

顯示這臺服務器開放了7710端口，那麼 這個端口屬於哪個程序呢？我們可以使用　lsof -i ：7710　命令來查詢：

file:///C:/Documents%20and%20Settings/Administrator/Local%20Settings/Application%20Data/youdao/ynote/images/26F6C96985F54339956B7351DD65FD97/clipboard.png
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 1990 root 3u IPv4 4836 TCP *：7710 （LISTEN）
這樣，我們就知道了7710端口是屬於sshd程序的。

(2) 運行tcpdump命令出現錯誤信息排除
tcpdump: no suitable device found
tcpdump: no devices found /dev/bpf4: A file or directory in the path name does not exist.
解決方案 2種原因：
1.權限不夠，一般不經過處理，只用root用戶能使用tcpdump
2.缺省只能同時使用4個tcpdump，如用完，則報此類錯。需要停掉多餘的tcpdump