linux--tcpdump使用

原創 远去的栀子花 2020-06-19 10:46

1、tcpdump

        tcpdump 是一個很常用的網絡包分析工具,可以用來顯示通過網絡傳輸到本系統的 TCP/IP 以及其他網絡的數據包。tcpdump 使用 libpcap 庫來抓取網絡報,這個庫在幾乎在所有的 Linux/Unix 中都有。tcpdump 是一款靈活、功能強大的抓包工具,能有效地幫助排查網絡故障問題。

        tcpdump 存在於基本的 Linux 系統中,由於它需要將網絡界面設置爲混雜模式,普通用戶不能正常執行,但具備 root 權限的用戶可以直接執行它來獲取網絡上的信息。因此係統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。tcpdump 可以將網絡中傳送的數據包的 “頭” 完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供 and、or、not 等邏輯語句來幫助我們去掉無用的信息。

2、tcpdump安裝

#centos
[root@VM_0_11_centos ~]# yum -y install tcpdump*

 

3、tcpdump使用

TCPDUMP(8)                                                            System Manager's Manual                                                            TCPDUMP(8)

NAME
       tcpdump - dump traffic on a network

SYNOPSIS
       tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
               [ -c count ]
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
               [ --number ] [ -Q|-P in|out|inout ]
               [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
               [ -W filecount ]
               [ -E spi@ipaddr algo:secret,...  ]
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
               [ --time-stamp-precision=tstamp_precision ]
               [ --immediate-mode ] [ --version ]
               [ expression ]

1)-i,監控指定網絡端口

#監控所有網卡數據信息
[root@VM_0_11_centos ~]# tcpdump -i any
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
22:18:58.762556 IP VM_0_11_centos.ssh > 36.113.128.53.8461: Flags [P.], seq 1316679858:1316679894, ack 3713556919, win 292, length 36


#監控指定網卡
[root@VM_0_11_centos ~]# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

-w將獲得的包數據寫入文件中

[root@VM_0_11_centos ~]# tcpdump -i eth0 -w /tmp/eth0.package
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C24 packets captured
26 packets received by filter
0 packets dropped by kernel
[root@VM_0_11_centos ~]#

2)查看整個網絡數據包

[root@VM_0_11_centos ~]# tcpdump net 183.60.82.98
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:29:00.202646 IP VM_0_11_centos.53283 > 183.60.82.98.domain: 25943+ A? registry.access.redhat.com. (44)

3)根據ip地址查看網絡報文

#不管是源地址還是目的地址,用host
[root@VM_0_11_centos ~]# tcpdump host 183.60.82.98
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:32:42.467074 IP VM_0_11_centos.45371 > 183.60.82.98.domain: 191+ A? update2.agent.tencentyun.com. (46)

#ip作爲源地址,即該ip發送到本機的數據包
[root@VM_0_11_centos ~]# tcpdump src 183.60.82.98
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

#ip作爲目的地址,即本機發往目的ip的數據包
[root@VM_0_11_centos ~]# tcpdump dst 183.60.82.98
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:35:03.797669 IP VM_0_11_centos.56635 > 183.60.82.98.domain: 59547+ PTR? 2.0.254.169.in-addr.arpa. (42)

4)查看協議數據包

[root@VM_0_11_centos ~]# tcpdump udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:39:03.168139 IP VM_0_11_centos.ntp > gus.buptnet.edu.cn.ntp: NTPv4, Client, length 48

5)查看特定端口數據包

[root@VM_0_11_centos ~]# tcpdump port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:39:40.701809 IP VM_0_11_centos.ssh > 36.113.128.53.8461: Flags [P.], seq 1316900326:1316900514, ack 3713566635, win 292, length 188
22:39:40.753734 IP 36.113.128.53.8461 > VM_0_11_centos.ssh: Flags [.], ack 188, win 16519, length 0

6)使用 “與” (and,&&)、“或” (or,|| ) 和 “非”(not,!) 來將兩個條件組合起來

[root@VM_0_11_centos ~]# tcpdump host 183.60.82.98 && port 22 -w /tmp/test
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

7)列出網絡接口

[root@VM_0_11_centos ~]# tcpdump -D
1.eth0
2.docker0
3.nflog (Linux netfilter log (NFLOG) interface)
4.nfqueue (Linux netfilter queue (NFQUEUE) interface)
5.usbmon1 (USB bus number 1)
6.any (Pseudo-device that captures on all interfaces)
7.lo [Loopback]
[root@VM_0_11_centos ~]#

8)限制抓包次數 -c

[root@VM_0_11_centos ~]# tcpdump host 183.60.82.98 -c 10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:47:10.203892 IP VM_0_11_centos.48876 > 183.60.82.98.domain: 38715+ A? registry.access.redhat.com. (44)
22:47:10.206967 IP VM_0_11_centos.51334 > 183.60.82.98.domain: 65192+ PTR? 11.0.17.172.in-addr.arpa. (42)
22:47:10.208419 IP 183.60.82.98.domain > VM_0_11_centos.51334: 65192 NXDomain* 0/1/0 (101)
22:47:10.290120 IP 183.60.82.98.domain > VM_0_11_centos.48876: 38715 3/0/0 CNAME registry.access.redhat.com.edgekey.net., CNAME e14353.d.akamaiedge.net., A 23.204.45.225 (146)
22:47:10.290654 IP VM_0_11_centos.42036 > 183.60.82.98.domain: 9032+ A? registry.access.redhat.com. (44)
22:47:10.321802 IP 183.60.82.98.domain > VM_0_11_centos.42036: 9032 3/0/0 CNAME registry.access.redhat.com.edgekey.net., CNAME e14353.d.akamaiedge.net., A 23.204.45.225 (146)
22:47:10.322424 IP VM_0_11_centos.55344 > 183.60.82.98.domain: 7152+ A? registry.access.redhat.com. (44)
22:47:10.323860 IP 183.60.82.98.domain > VM_0_11_centos.55344: 7152 3/0/0 CNAME registry.access.redhat.com.edgekey.net., CNAME e14353.d.akamaiedge.net., A 23.204.45.225 (146)
22:47:53.203240 IP VM_0_11_centos.55849 > 183.60.82.98.domain: 10213+ A? registry.access.redhat.com. (44)
22:47:53.206932 IP 183.60.82.98.domain > VM_0_11_centos.55849: 10213 3/0/0 CNAME registry.access.redhat.com.edgekey.net., CNAME e14353.d.akamaiedge.net., A 23.204.45.225 (146)
10 packets captured
10 packets received by filter
0 packets dropped by kernel

4、數據包解析

22:39:42.295682 IP VM_0_11_centos.ssh > 36.113.128.53.8461: Flags [P.], seq 21840:21996, ack 37, win 292, length 156
22:39:42.295835 IP VM_0_11_centos.ssh > 36.113.128.53.8461: Flags [P.], seq 21996:22256, ack 37, win 292, length 260

字段解析:

1) 22:39:42.295682:時間戳;

2)IP:IP 是網絡層協議類型,這裏是 IPv4,如果是 IPv6 協議,該字段值是 IP6;

3)VM_0_11_centos.ssh:源地址與端口;

4)36.113.128.53.8461:目的地址與端口;

5)Flags [P.]:TCP 報文標記段 Flags [P.];

6)seq 21840:21996:對於抓取的第一個數據包,該字段值是一個絕對數字,後續包使用相對數值,以便更容易查詢跟蹤;

7)ack 37:數據包確認序號

8)win 292:窗口大小 win ,它表示接收緩衝區中可用的字節數;

9)length 156:length 代表數據包有效載荷字節長度;

 

 

 

 

 

 

 

 

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java代碼中,執行服務器上的shell腳本

1.解決什麼問題:代碼在118服務器上,shell腳本在119服務器上。118代碼調用shell腳本。 2.其它問題:如果代碼和腳本在同一服務器上,簡單多了。 移步:https://blog.csdn.net/vcfriend/artic

秋风凉~ 2020-07-07 07:29:46

Linux定時任務,任務調度(三)

介紹:任務調度是指在某個時間執行特定的程序或者命令 基本語法:crontab[選項] 快速入門: 1.每隔1分鐘,就將當前的日期信息,追加到 /tmp/mydate.log 文件中 1.1輸入:crontab -e 進去 1.2編輯:*

秋风凉~ 2020-07-01 03:29:07

Linux常用基本指令 :(二)解壓,壓縮指令

Linux中解壓和壓縮指令有很多:我們一般都是用 tar -zxvf(壓縮) 和 tar -zcvf(解壓) tar指令:tar 指令 是打包指令,最後打包後的文件是 .tar.gz 的文件。 [可以壓縮,和解壓] 1:打包:壓縮多個文件

秋风凉~ 2020-07-01 03:29:07

linux--uuid

1、UUID        通用唯一識別碼(英語:Universally Unique Identifier,簡稱UUID)是一種軟件建構的標準,亦爲自由軟件基金會組織在分散式計算環境領域的一部份。       UUID的目的,是讓分散式

远去的栀子花 2020-06-19 16:46:51

linux--源碼下載

1、源碼官網 https://www.kernel.org/ 可以直接下載,也可以使用git下載,git下載的好處是可以隨時切換版本,查看提交歷史,方便學習。 2、git下載配置 1)下載安裝git [root@VM_0_11_cen

远去的栀子花 2020-06-19 10:46:49

linux--雙網卡綁定bond

1、什麼是bond         網卡bond是通過多張網卡綁定爲一個邏輯網卡,實現本地網卡的冗餘,帶寬擴容和負載均衡,在生產場景中是一種常用的技術。Kernels 2.4.12及以後的版本均供bonding模塊,以前的版本可以通過pa

远去的栀子花 2020-06-19 09:41:11

linux--線性地址、邏輯地址、物理地址

1、邏輯地址    線性地址與邏輯地址是intel架構下的內存管理機制。機器語言指令中出現的內存地址,都是邏輯地址,需要轉換成線性地址,再經過MMU(CPU中的內存管理單元)轉換成物理地址才能夠被訪問到。即,邏輯地址-->線性地址-->物

远去的栀子花 2020-06-19 09:41:11

linux--安全配置hosts

1、/etc/hosts [root@VM_0_11_centos etc]# cat hosts 127.0.0.1 VM_0_11_centos VM_0_11_centos 127.0.0.1 localhost.localdom

远去的栀子花 2020-06-19 09:41:11

linux--selinux

1、Selinux         SELinux(Security-Enhanced Linux,安全增強型Linux)是美國國家安全局(NAS)對於強制訪問控制的實現,在這種訪問控制體系的限制下,進程只能訪問哪些在他的任務中所需的文件

远去的栀子花 2020-06-19 09:41:11

linux--內核同步

一、原子操作         原子操作可以保證指令以原子的方式執行,執行過程不被打斷。它通過把讀取和修改變量的行爲包含在一個單步中執行,從而防止了競爭的發生,保證操作結果總是一致的。原子操作在Linux內核裏分爲原子整數操作和原子位操作,

远去的栀子花 2020-06-19 09:41:11

linux--ssh配置使用

1、什麼是SSH         secure shell protocol簡稱SSH,是由IETF網絡工作小組(network working group) 制定,在進行數據傳輸之前,SSH先對聯級數據包通過加密技術進行加密處理,加密後

远去的栀子花 2020-06-19 09:41:11

linux--RAID

1、RAID是什麼         RAID(Redundant arrays of Independent Drives),有“獨立磁盤構成的具有冗餘能力的陣列”。磁盤陣是由很多價格較便宜的磁盤,組合成一個容量巨大的磁盤組,利用個別磁盤

远去的栀子花 2020-06-19 09:41:11

linux--大頁內存

1、什麼是大頁內存         大內存頁”有助於 Linux 系統進行虛擬內存管理。顧名思義,除了標準的 4KB 大小的頁面外,它們還能幫助管理內存中的巨大的頁面。使用“大內存頁”,你最大可以定義 1GB 的頁面大小。 2、爲什麼使用

远去的栀子花 2020-06-19 09:41:11

linux--centos搭建k8s集羣

1、環境信息 1)新安裝三臺cenos虛擬機,保證三臺虛擬機可以互相ping通 master:192.168.32.100 node1:192.168.32.110 node2:192.168.32.120 2)關閉防火牆 [lx

远去的栀子花 2020-06-19 09:41:11

linux--gdb程序調試

1、安裝gcc/g++/gdb [root@VM_0_11_centos Program]# yum -y install gcc [root@VM_0_11_centos Program]# yum -y install gcc-c+

远去的栀子花 2020-06-19 09:41:11