Wireshark和TcpDump抓包分析心得

1. Wireshark與tcpdump介紹

Wireshark是一個網絡協議檢測工具，支持Windows平臺和Unix平臺，我一般只在Windows平臺下使用Wireshark，如果是Linux的話，我直接用tcpdump了，因爲我工作環境中的Linux一般只有字符界面，且一般而言Linux都自帶的tcpdump，或者用tcpdump抓包以後用Wireshark打開分析。

在Windows平臺下，Wireshark通過WinPcap進行抓包，封裝的很好，使用起來很方便，可以很容易的制定抓包過濾器或者顯示過濾器，具體在下面介紹。Wireshark是一個免費的工具，只要google一下就能很容易找到下載的地方。

tcpdump是基於Unix系統的命令行式的數據包嗅探工具。如果要使用tcpdump抓取其他主機MAC地址的數據包，必須開啓網卡混雜模式，所謂混雜模式，用最簡單的語言就是讓網卡抓取任何經過它的數據包，不管這個數據包是不是發給它或者是它發出的，點擊【http://en.wikipedia.org/wiki/Promiscuous_mode】獲取更多有關混雜模式的資料。一般而言，Unix不會讓普通用戶設置混雜模式，因爲這樣可以看到別人的信息，比如telnet的用戶名和密碼，這樣會引起一些安全上的問題，所以只有root用戶可以開啓混雜模式，開啓混雜模式的命令是：ifconfig eth0 promisc, eth0是你要打開混雜模式的網卡。肯定有人要問如果在windows下要不要打開混雜模式，windows下網卡沒有什麼混雜模式不混雜模式，在於應用程序本身，如使用Wireshark抓包的時候可以通過設置爲在混雜模式下抓包（這就是爲什麼該死的ARP欺騙病毒可以猖狂的原因）。tcpdump當然也可以指定抓包過濾器，而且其過濾器語言非常著名，叫做Berkeley包過濾，簡稱BPF語言。

2. 簡單的例子

我們通過訪問www.google.com.hk這個網址來看看抓包結果。

2.1  tcpdump

前面說過一般情況下Linux都自帶了tcpdump，但是如果發生了小概率事件，發現沒有tcpdump的話，可以到http://www.tcpdump.org下載源代碼，編譯安裝。

使用root用戶登錄，運行tcpdump命令就可以開始抓包。這裏說明一下，如果使用SSH登錄到遠程Linux，然後直接運行tcpdump，會發現抓到大量的數據包，速度快的都看不清楚，這是因爲tcpdump抓到的包發送給遠程的終端顯示，同時又抓了這個包，再顯示，再抓取，造成了循環抓取。當然，這樣抓包沒有任何意義，除了證明你的網絡是通的。

因爲沒有打開網卡的混雜模式，所以如果本機沒有任何進程訪問網絡，是抓不到包的，如果在字符界面下，用wgethttp://www.google.com.hk訪問網址，如果有GUI，可以打開firefox瀏覽器訪問http://www.google.com.hk。

默認情況下，tcpdump會選擇第一塊網卡，也就是eth0，進行抓包，每行顯示一個抓取的數據包，如：

0.003183              192.168.21.137  72.14.203.147     TCP        38039 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=36941509 TSER=0 WS=6

0.011707              72.14.203.147     192.168.21.137  TCP        http > 38039 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460

0.011770              192.168.21.137  72.14.203.147     TCP        38039 > http [ACK] Seq=1 Ack=1 Win=5840 Len=0

以上三個數據包就是著名的TCP三次握手的數據包，其中38039是客戶端的TCP端口，http的默認端口是80，如果tcpdump在/etc/services中發現端口對應的服務名稱，那麼會自動的轉爲名字，所以這裏會顯示爲http。表示客戶端的38039端口和服務器端的http端口進行TCP三次握手。

前面提到tcpdump默認選擇第一塊網卡進行抓包，我們可以使用-i參數指定通過哪一個網卡抓包，如（#表示我輸入的命令，Linux下root用戶的提示符就是#）：

# tcpdump –i eth1

或者

#tcpdump –i any

如果想知道我們可以通過哪幾個網卡抓包，可以使用-D參數，如：

# tcpdump –D

1.eth0

2.any

3.lo

因爲我的機器上只有一個網卡，因此只有eth0，如果有多塊網卡活動的話，會有eth1，eth2依次下去。any的意思是通過任意一塊網卡進行抓包，lo是迴環接口。（關於TCP三次握手和迴環接口等網絡問題，請參考《TCP/IP協議詳解》）。

默認情況下，tcpdump抓包結果顯示在屏幕（嚴格點，專業點應該說是標準輸出）上，顯然這不利於進一步的數據分析，因此我們需要將抓包結果存放在文件中。可是使用-w命令將結果保存在文件中，如：

#tcpdump –w google.cap

這句命令將抓包結果存放在google.cap文件中，結束以後可以用Wireshark打開查看。同事，tcpdump出了抓包，還可以使用-r參數制定抓包數據文件，結合過濾器對抓包數據分析，如：

#tcpdump –r google.cap http

這句命令的意思是讓tcpdump讀取google.cap文件，把其中http協議的數據包都給過濾出來。關於過濾器在下面詳細介紹。

2.2  Wireshark

我在windows系統中使用Wireshark的，首先熟悉一下界面，圖1是使用Wireshark打開google.cap文件的界面，

圖1   Wireshark界面

圖1中標註出三快區域，R1區域用來顯示簡單的數據包信息，我們用tcpdump抓包的時候，默認情況下也是顯示成這樣的；R2區域用來顯示選中的數據包的詳細信息，細心一點會發現他是按照TCP/IP四層結構顯示的，第一行是數據鏈路層的信息，第二行是網絡層信息（IP協議），第三行是傳輸層信息（TCP協議），第四行是應用層信息（HTTP協議），可以展開每一行用來觀察具體的內容；R3區域是用來顯示此數據包的真實面目。我們在R1和R2區域看到的信息都是Wireshark整理以後給我們看的，抓包的真實數據實際上是一堆二進制序列，用ultraedit打開google.cap文件可以看到就是一些數字，如圖2所示。

圖2  抓包文件長的樣子

使用Wireshark抓包非常容易，直接點擊按鈕（工具欄第三個按鈕）（工具欄第一個按鈕）就開始抓包了，會發現只要一點擊這個按鈕，立刻就顯示抓到包了，這是因爲Wireshark默認在混雜模式下抓包，只要經過網卡的數據包都抓取下來（當然這臺機器要連在網絡中，如果沒有數據流過當然沒有包可抓），點擊按鈕停止此次抓包。

如果機器上安裝了多塊網卡，Wireshark默認選擇第一張網卡抓包，如果等抓包完成了，這是發現選錯了網卡是一件極度鬱悶的事情。點擊按鈕可以在抓包之前選擇抓哪張網卡。

圖3  選擇網卡

我機器上只有一張網卡，另外兩個是安裝Vmware時的虛擬網卡，可以看到雖然Packets上面已經有數據了，實際上需要點擊Start纔開始抓包。

解決了選擇網卡的問題以後，考慮如果過濾抓包內容，點擊菜單欄上的” Capture” > “Options”可以看到制定抓包規則的界面，如圖4所示。

圖4  制定抓包規則

圖4可以看到Caputre packets in promiscuous mode，默認是選中的，表示Wireshark默認在混雜模式下抓包。同樣可以選擇通過哪張網卡抓包，不過這些都不是重點，最重要的是Caupture Fileter這裏，點擊該按鈕，可以看到彈出一些預定義好的過濾器。比如選擇“HTTP TCP port(80)”，下面Filter string: tcp port http就是過濾器的表示。表示抓tcp協議的，端口爲80的數據包（http協議的默認端口是80）。

3. 過濾器（BPF語言）的使用

主要介紹一下在tcpdump中的過濾器使用，因爲懂了這個就可以得心應手的使用wireshark了。

從最簡單的開始，BPF語言主要有一個標誌或者數字和限定詞組成，限定詞有三種：

第一種：指定類型

         host, 定義抓取哪個IP地址（也可以給它mac地址，格式是00:00:00:00:00:00）的數據包，比如我想抓有關192.168.0.148這個IP地址的數據包，那麼就寫成tcpdump host 192.168.0.148, host是限定詞，192.168.0.148就是標誌。這條命令會抓取從發出或者向192.168.0.148發送的數據包。

         net, 定義抓取某個網絡的數據包，給出網絡號就行了，它根據給的網絡號字節數是1,2,3來判斷A類地址，B類地址或者C類地址，比如tcpdump net 10.1.1 ，它就認爲這是一個C類地址。

port，指定端口，比如tcpdump host and port 22, 這是抓端口爲22的數據包，不管是TCP還是UDP的，這裏我稍微早一點的給出了邏輯操作，and J，如果只想抓TCP的，那麼可以寫tcpdump host 192.168.0.148 and tcp port 22。

portrange，顧名思義，這個是指定端口範圍的，用連字符”-”指定範圍，比如tcpdump port 1025-8080

        第二種：指定方向

我們之前的命令都是說“這條命令會抓取從192.168.0.148發出或者向192.168.0.148發送”，所以，如果指向抓從發出的數據包可以使用限定詞src, 命令：tcpdump src host 192.168.0.148，反過來，想抓發向192.168.0.148的數據包，使用限定詞dst,命令：tcpdump dst host 192.168.0.148。

       第三種：指定協議

我們知道網絡協議有N種。。。我列一下常用的幾種，其他的可以去google一下J

ether和fddi, 以太網協議

tr, TR協議

ip, IP協議

ip6， IPv6協議

arp,  ARP協議

好了，最後還需要注意的是邏輯運算，and, or, not（與，或，非），上面已經有一個例子了，這裏就不再羅嗦了，和普通的編程語言沒有什麼不同。

除此之外，還有更加牛X的功能，比如指定TCP中的某個標識位是什麼，這種應用我一般很少用，不再羅嗦了。