tcpdump网络抓包工具

tcpdump网络抓包工具__tcpdump(-X、-i eth0、"tcp and src host dst port")和sniffit__网络开发，非常重要 

网络监听分析工具        tcpdump       sniffit

      网络监听分析的工具有很多种,这里只简单介绍两种比较常用的工具.

1) tcpdump

tcpdump：监听流经一个本机网络接口上的数据，功能非常强劲

使用方法：

tcpdump [options]  [expression]

             options部分命令行选项：

命令	说明
-c num	接受到指定num个符合条件的包就退出
-n	Ip信息用数字显示
-x	以十六进制方式显示包内容
-X	同时以十六进制、ascii方式显示包内容
-i dev	指定要监听的网络接口   （例如  -i eth0） 注意::      在同一台机器上进行测试时，最好加上参数:         -iany      这样可以接收任何网卡的信息。
-w	把监听的信息写入文件中
-r	从用w选项创建的文件中读取保存的监听信息

-s(数据包大小)

设置每个数据包的大小   -s2400 表示每个数据包的大小是2400

-n	显示IP信息，而不是主机名

-A	将数据包以ascii方式显示出来

-d	把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

-dd	把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

 

           expression 监听网络报的条件表达式,只有符合此条件的数据包才会显示

        条件表达式有一个或多个条件组成

条件类型	常用条件标志
协议条件	ip, ip6, arp, rarp, tcp ,udp.
源/目的条件	src dst
具体条件	host,net,port

其中多个条件可以由关系运算符组合在一起 

关系类型	关系运算符
反	! 或 not
与	&& 或 and
或	|| 或 or

使用实例：

a) 显示所有主机192.168.1.3发送出和接收的数据包

   tcpdump host 192.168.1.3

 

b) 显示主机 A 与主机(B 或 C)之间的交互IP数据包

   tcpdump ‘ip and host A and (B or C)‘

 

c) 本机地址192.168.1.3 ,显示从主机192.168.5.1或网络192.168.1到本地53端口的udp数据包,但不显示本机发送到本地53端口的数据包,

同时显示十六进制和ASCII方式的数据包内容

tcpdump  -X 'udp and dst host 192.168.1.3 and dst port 53 and (src host 192.168.5.1 or src net 192.168.1) and src not 

localhost'

命令参数说明:

udp数据包             :udp

目的地址192.168.1.3   :dst host 192.168.1.3

目的端口 53           :dst port 53

源主机地址192.168.5.1 :src host 192.168.5.1

源网络地址192.168.1   :src net 192.168.1

非本机发送的包        : src not localhost

注意：-s0 完整显示包内容；类似strace的 -s size

用tcpdump解析tcp连接建立和释放

下面命令抓包：

# tcpdump -n -ieth1 'tcp and dst host 172.25.34.88 and port 7012'

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

 

1.          14:44:52.174122 IP 172.25.38.145.49563 > 172.25.34.88.7012: S 1986599379: 1986599379(0) win 5840 < mss 1460,sackOK,timestamp 3824018401 0,nop,wscale 2>

2.          14:44:52.174249 IP 172.25.34.88.7012 > 172.25.38.145.49563: S 4294961892: 4294961892(0) ack 1986599380 win 5792 < mss 1460,sackOK,timestamp 1927787323 3824018401,nop,wscale 2>

3.          14:44:52.174228 IP 172.25.38.145.49563 > 172.25.34.88.7012: . ack 1 win 1460 <nop,nop,timestamp 3824018401 1927787323>

4.          14:44:52.174433 IP 172.25.38.145.49563 > 172.25.34.88.7012: P 1: 109( 108) ack 1 win 1460 <nop,nop,timestamp 3824018401 1927787323>

5.          14:44:52.174443 IP 172.25.34.88.7012 > 172.25.38.145.49563: . ack 109 win 1448 <nop,nop,timestamp 1927787323 3824018401>

6.          14:44:52.186891 IP 172.25.34.88.7012 > 172.25.38.145.49563: P 1:857( 856) ack 109 win 1448 <nop,nop,timestamp 1927787326 3824018401>

7.          14:44:52.186914 IP 172.25.34.88.7012 > 172.25.38.145.49563: F 857:857(0) ack 109 win 1448 <nop,nop,timestamp 1927787326 3824018401>

8.          14:44:52.187054 IP 172.25.38.145.49563 > 172.25.34.88.7012: . ack 857 win 1888 <nop,nop,timestamp 3824018404 1927787326>

9.          14:44:52.195347 IP 172.25.38.145.49563 > 172.25.34.88.7012: F 109:109(0) ack 858 win 1888 <nop,nop,timestamp 3824018406 1927787326>

10.       14:44:52.195355 IP 172.25.34.88.7012 > 172.25.38.145.49563: . ack 110 win 1448 <nop,nop,timestamp 1927787328 3824018406>

 

每一行中间都有这个包所携带的标志：

S=SYN，     发起连接标志。

P=PUSH，    传送数据标志。

F=FIN，     关闭连接标志。

ack         表示确认包。

RST=RESET， 异常关闭连接。

.           表示没有任何标志。

()           括号中的数字是包的长度，建立连接和关闭连接时，包长都为0,括号前面的都是序列号。

上面抓包的过程解析：

 

第1行：14:44:52这个时间，从172.25.38.145（client）的临时端口49563向172.25.34.88（server）的7012监听端口发起连接，

                         client 初始包序号为1986599379，

                                win 滑动窗口大小为 5840 字节（ 滑动窗口 即 tcp接收缓冲区的大小，用于tcp 拥塞控制），

                               mss 大小为1460（即可接收的 最大包长度，通常为MTU减40字节，IP头和TCP头各20字节）。

 

第2行：                  server响应连接， 同时带上第一个包的 ack信息，为client端的初始包序号加1，即1986599380，

                                         也即server端下次等待接受这个包序号的包，用于tcp 字节流的顺序控制。

                         server端的 初始包序号为4294961892，mss也是1460。

第3行：client再次确认，tcp连接三次握手完成。

 

第4行：client发请求包，包长度108字节。

第5行：server响应ack。

第6行：server回包，包长度856字节。

第7行：client响应ack。（这里应该是有问题的，但应该是这样）

 

第8行：client发起关闭连接请求。

第9行：server响应ack，并且也发送FIN标志关闭。

第10行：客户端响应ack，关闭连接的四次握手完成。

 

 

 

 

2) sniffit

                 网络监听软件，可以监听到所'有流经本机网络接口上的tcp/ip数据

               

        使用方法：

                 sniffit –i //窗口界面

                     从中可以看到自己所在的网络中有哪些机器正在连接，使用什么端口号，

     其中可用的命令如下：

命令	说明
q	退出窗口环境，结束程序
r	刷新屏幕，重新显示正在在连线的机器
n	产生一个小窗口，包括TCP、IP、ICMP、UDP等协议的流量
g	产生数据包，正常情况下只有UDP协议才会产生，执行此命令要回答一些关于数据包的问题
F1	改变来源网域的IP地址，默认为全部
F2	改变目的网域的IP地址，默认为全部
F3	改变来源机器的端口号，默认为全部
F4	改变目的机器的端口号，默认为全部