tcpdump的用法

Tags: Tcpdump

tcpdump應用概述

通常情況下,直接啓動Tcpdump將監聽第一個網絡接口上的所有流量.
tcpdump中有幾種類型的關鍵字:
第一種:關於類型的關鍵字,主要有host,net,port.缺省類型是host
第二種:關於傳輸方向的關鍵字,主要是src,dst,dst or src,dst and src.缺省是dst or src.
第三種:關於協議的關鍵字,主要有ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp,udp.缺省情況下監聽所有協議的信息包
tcpdump還支持三種邏輯運算符:
與運算:and 或 &&
或運算:or 或 ||
取非運算:not 或 !

tcpdump的常用參數

-A用ASCII的方式打印出所抓到的包
-c 指定要監聽包的數量
-e(顯示鏈路層的包頭
-F把file的內容作爲過濾表達式,忽略命令行上的表達式
-i指定要監聽的網絡端口,如果不指定接口,tcpdump在系統接口清單中找號碼最小的,且已經配置好的接口(loopback除外).
-l行緩衝標準輸出,可用於在抓包到文件的同時可以查看所抓的包
    如:
    tcpdump -l | tee file.log 或
    tcpdump -l > file.log & tail -f file.log
-n 不把主機地址翻譯成域名,這可以避免DNS的查詢
-N 不打印主機名中的域名部分,如主機名nic.ddn.mail,會去掉域名部分,只顯示nic.
-p 不把接口置成混雜模式,但接口可能因爲其他原因運行在混雜模式下.
-q 快速輸出,輸出信息要比正常輸出要短.
-r 從file中讀入數據報文(file由-w選項所產生的),如果file是"-",就讀標準輸入.
-s 從每個報文中截取snaple字節的數據,而不是缺省的68字節(對於SUN的系統,這個最小值實際上是96字節),68字節適用於IP,ICMP,TCP和UDP,但有可能
截掉域名服務器和NFS報文的協議信息.如果輸出時指定截斷髮生處的協議層名稱,tcpdump可以指出那些撲捉量過小的數據包.因爲採用更大的範圍即增加了
處理報文的時間,又相應的減少了報文的緩衝數量,且可能導致報文丟失.所以你應該把snaplen設的儘量的小.如果設置snaplen爲0,則表示要抓取整個長度
的報文.
-S 顯示絕對的,而不是相對的TCP序列號
-t 不顯示時間戳
-tt 顯示未格式化的時間戳
-ttt 在每一行打印一個當前包與前一個包的時間差(毫秒級)
-tttt 在每一行打印一個當前時間
-T 將監聽到的包強制解釋爲指定類型的報文
-v 打印略微詳細的信息,如IP報文中的生存週期,服務類型.IP和ICMP的校驗報頭.
-vv 打印更加詳細的信息,如NFS的應答報文,SMB的解碼報文
-vvv 打印非常詳細的信息,如Telnet的SB…SE選項.當加入-X選項後可以以十六進制打印Telnet的選項
-w 把原始報文保存到file,而不是分析和顯示,之後可以用-r選項顯示,如果file是"-",就寫入到標準輸出
-x 去掉鏈路層報頭後,以16進制數形式顯示每一個報文.較小的報文和snaplen字節會被顯示,
-X 去掉鏈路層報頭後,以16進制數或ASCII形式顯示每一個報文,這個選項對分析新的協議很方便.
-XX 以16進制數或ASCII形式顯示每一個報文,包括鏈路層報頭.
-y 當抓數據鏈路類型的包時,設置所抓的包的類型.

tcpdump實例列舉

截獲所有指定IP主機的數據包.
tcpdump host 192.168.10.2

截獲主機192.168.10.1和192.168.10.167 或192.168.10.168之間的通信
tcpdump host 192.168.10.1 and /(192.168.10.167 or 192.168.10.168/)

截獲主機192.168.10.1除了和192.168.10.167之外的所有主機的通信的ip包
tcpdump ip host 192.168.10.1 and ! 192.168.10.167

截獲主機192.168.10.1接受或發出的telnet包
tcpdump tcp port 23 host 192.168.10.1

監聽本機udp的123端口
tcpdump udp port 123

監聽所有從192.168.10.1的eth0發出的數據包
tcpdump -i eth0 src host 192.168.10.1

監聽所有從192.168.10.1的eth0接收的數據包
tcpdump -i eth0 dst host 192.168.10.1

監聽通過指定網關的數據包(注:gateway後面必須是一個主機名,且這個這個主機必須可在網絡上找到,可通過添加host文件,dns,nis等實現)
tcpdump -i eth0 gateway gateway_name

監聽192.168.10.1上的目的端口是80的數據包
tcpdump -i eth0 host 192.168.10.1 and dst port 80

監聽arp廣播
tcpdump arp

以最詳細的信息記錄在eth0上的源端口是80的,包括鏈路層信息的,完整的數據包的最開始的十個
tcpdump -e -vvv -XXX -S -s 0 -i eth0 -c 10 src port 80

把監聽到的信息輸入到文件,並不在終端顯示
tcpdump -w tcpdump.out

把用-w選項保存的文件在終端顯示
tcpdump -r tcpdump.out

注:
一般情況下網絡硬件和TCP/IP堆棧不支持接收或發送與本計算機無關的數據包，爲了接收這些數據包，就必須使用網卡的混雜模式，並繞過標準的TCP/IP堆棧才行。在FreeBSD下，這就需要內核支持僞設備bpfilter。因此，在內核中取消bpfilter支持，就能屏蔽 tcpdump之類的網絡分析工具。
並且當網卡被設置爲混雜模式時，系統會在控制檯和日誌文件中留下記錄，提醒管理員留意這臺系統是否被用作攻擊同網絡的其他計算機的跳板。

Tcpdump 的用法
第一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網絡地址，port 23 指明端口號是23。如果沒有指定類型，缺省的類型是host.

第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網??上的特定的網絡協議，實際上它是"ether" 的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││'；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
普通情況下，直接啓動tcpdump將監視第一個網絡界面上所有流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i參數指定tcpdump監聽的網絡界面，這在計算機具有多個網絡界面時非常有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存

A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用　　　括號時，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123

F 系統將只對名爲hostname的主機的通信數據包進行監視。主機名可以是本地主機，也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據：
#tcpdump -i eth0 src host hostname

G 下面的命令可以監視所有送到主機hostname的數據包：
#tcpdump -i eth0 dst host hostname

H 我們還可以監視通過指定網關的數據包：
#tcpdump -i eth0 gateway Gatewayname

I 如果你還想監視編址到指定端口的TCP或UDP數據包，那麼執行以下命令：
#tcpdump -i eth0 host hostname and port 80

J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中適用　　　括號時，一定要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
　　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
　　　#tcpdump tcp port 23 host 210.27.48.1

第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||'；
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服務的主機
如果條件很多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

如果在ethernet 使用混雜模式 系統的日誌將會記錄

May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，然後再使用其他程序進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬盤。

除了過濾語句，還有一個很重要的參數，也就是說，如果這個參數不設置正確，會導致包數據的丟失！

它就是-s 參數，snaplen, 也就是數據包的截取長度，仔細看man就會明白的！默認截取長度爲60個字節，但一般ethernet MTU都是1500字節。所以，要抓取大於60字節的包時，使用默認參數就會導致包數據丟失！

只要使用-s 0就可以按包長，截取數據！
下面我們介紹幾種典型的tcpdump命令的輸出信息

A,數據鏈路層頭信息

使用命令
#tcpdump –e host ice
ice 是一臺裝有linux的主機，她的MAC地址是0：90：27：58：AF：1A
H219是一臺裝有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一條命令的輸出結果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)

    分析：21：50：12是顯示的時間， 847509是ID號，eth0 <表示從網絡接口eth0 接受該數據包，eth0 >表示從網絡接口設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它表明是從源地址H219發來的數據包. 0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是表明該數據包是IP數據包,60 是數據包的長度, h219.33357 > ice.telnet 表明該數據包是從主機H219的33357端口發往主機ICE的TELNET(23)端口. ack 22535 表明對序列號是222535的包進行響應. win 8760表明發送窗口的大小是8760.

B,ARP包的TCPDUMP輸出信息

使用命令
#tcpdump arp
得到的輸出結果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該數據包, arp表明是ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTE的MAC地址。 0:90:27:58:af:1a是主機ICE的MAC地址。

C,TCP包的輸出信息

    用TCPDUMP捕獲的TCP包的一般輸出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP包中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明數據包中是否有緊急指針. Options是選項.

D,UDP包的輸出信息

    用TCPDUMP捕獲的UDP包的一般輸出信息是：
route.port1 > ice.port2: udp lenth
UDP十分簡單，上面的輸出行表明從主機ROUTE的port1端口發出的一個UDP數據包到主機ICE的port2端口，類型是UDP， 包的長度是lenth