Tcpdump抓包的一些参考
建议阅读 IBM 权威参考1
前言:
具体的详细定义等可以通过linux的命令查看官方英文文档;本文只是对其进行一些解读和应用。
>> man tcpdump
1、原理
linux下的抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理。
当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。
Linux 下抓取报文的位置,是在链路层处理报文之后,交给网络层之前的位置。
2、分析工具
wireshark工具,具体的linux安装命令为:
>> sudo apt-get install wireshark
用工具分析已抓包的命令为:
>> wireshark xxxx.cap &
其中的xxx.cap为你要分析的包的名字,& 的意思是以后台方式打开。
3、命令使用
- 定义:
tcpdump[ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]
[ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ --number ] [ -Q in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --immediate-mode ] [ --version ]
[ expression ]- 可选参数
-A以ASCII格式打印出所有分组,并将链路层的头最小化。
-c在收到指定的数量的分组后,tcpdump就会停止。
-C在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
-d将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F从指定的文件中读取表达式,忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l使标准输出变为缓冲行形式,可以把数据导出到文件。
-L 列出网络接口的已知数据链路。
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
-M如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
-n不把网络地址转换成名字。
-nn不进行端口名称的转换。
-N不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
-O 不运行分组分组匹配(packet-matching)代码优化程序。
-P不将网络接口设置成混杂模式。
-q快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S将tcp的序列号以绝对值形式输出,而不是相对值。
-s从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
-t不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u输出未解码的NFS句柄。
-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv输出详细的报文信息。
-w直接将分组写入文件中,而不是不分析并打印出来。
expresssion 等
expression参数可以作为单个Shell参数传递给tcpdump,也可以多个参数传递。 通常,如果表达式包含Shell元字符,例如用于转义协议名称的反斜杠,则更趋向将其作为单个引用参数传递,而不是转义Shell元字符。 在解析之前,多个参数与空格连接在一起。
表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。
- 主要包含以下几种类型
第一种 是关于类型的关键字。主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。
第二种 是确定传输方向的关键字。主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种 是协议的关键字。 主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater, 还有三种逻辑运算,取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’&&’;或运算是’or’ ,’||’; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。
输出分析
- 数据链路层头信息
>>tcpdump --e host ICEICE 是一台装有linux的主机。它的MAC地址是0:90:27:58:AF:1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一条命令的输出结果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)21:50:12是显示的时间,847509是ID号,eth0 <表示从网络接口eth0接收该分组, eth0 >表示从网络接口设备发送分组, 8:0:20:79:5b:46是主机H219的MAC地址, 它表明是从源地址H219发来的分组. 0:90:27:58:af:1a是主机ICE的MAC地址, 表示该分组的目的地址是ICE。ip是表明该分组是IP分组,60 是分组的长度,h219.33357 > ICE. telnet表明该分组是从主机H219的33357端口发往主机ICE的 TELNET(23)端口。 ack 22535 表明对序列号是222535的包进行响应。 win 8760表明发 送窗口的大小是8760。
2. ARP包的tcpdump输出信息
使用命令:
>> tcpdump arp得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)第一行 发送:22:32:42是时间戳, 802509是ID号,eth0 >表明从主机发出该分组,arp表明是ARP请求包,who-has route tell ICE表明是主机ICE请求主机route的MAC地址。 0:90:27:58:af:1a是主机 ICE的MAC地址。
第二行 收到:内容同理。
3. TCP包的输出信息
用tcpdump捕获的TCP包的一般输出信息是:
src > dst: flags data-seqno ack window urgent optionssrc > dst:表明从源地址到目的地址, flags是TCP报文中的标志信息,S是SYN标志, F(FIN), P (PUSH) , R(RST) "." (没有标记); data-seqno是报文中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小,urgent表明 报文中是否有紧急指针。 Options是选项。
4. UDP包的输出信息
用tcpdump捕获的UDP包的一般输出信息是:
route.port1 > ICE.port2: udp lenthUDP十分简单,上面的输出行表明从主机route的port1端口发出的一个UDP报文 到主机ICE的port2端口,类型是UDP, 包的长度是lenth。
4、使用示例
ip icmp arp rarp和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
常用的形式:
tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae]
[-qX] [-r 文件] [所欲捕获的数据内容]备注:输入命令回车后,要想结束抓包,可按:CTRL + C
简单抓包
1、抓取制定网口 eth1 的数据,并且保存在指定文件夹下
>>tcpdump -i eth1 -w /tmp/xxxxx.cap
2、截取所有210.27.48.1 的主机收到的和发出的所有的分组
>>tcpdump host 210.27.48.1 3、截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信
>>tcpdump host 210.27.48.1 and \(210.27.48.2or210.27.48.3\)4、想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
>>tcpdump ip host 210.27.48.1 and ! 210.27.48.25、获取主机192.168.228.246接收或发出的ssh包,并且不转换主机名
>>tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp6、获取主机192.168.228.246接收或发出的ssh包,并把mac地址也一同显示
>>tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn7、过滤源主机为192.168.0.1与目的网络为192.168.0.0的报头
>>tcpdump src host 192.168.0.1 and dst net 192.168.0.0/248、过滤源主机物理地址为XXX的报头;(ether src后面没有host或者net?物理地址当然不可能有网络)
tcpdump ether src 00:50:04:BA:9B and dst……9、过滤源主机192.168.0.1和目的端口不是telnet的报头,并导入到tes.t.txt文件中
>>cpdump src host 192.168.0.1 and dst port not telnet -l > test.txt10、截取本机(192.168.31.147)和主机 (114.114.114.114)之间的数据
>> tcpdump -n -i eth0 host 192.168.31.147 and 114.114.114.114
11、截取全部进入本机(192.168.31.147)的数据
>> tcpdump -n -i eth0 dst 192.168.31.147
12、截取当本机含有多个ip的数据,(192.168.31.147)(192.168.31.157)
>> tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157
13、抓取全部进入服务器的TCP数据包
>> tcpdump -n -i eth0 dst 192.168.31.147 or 192.168.31.157 and tcp
14、从本机发出去的数据包, (192.168.31.147)(192.168.31.157)
>> tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157
监视指定协议的数据包
1、打印TCP会话中的的开始和结束数据包, 并且数据包的源或目的不是本地网络上的主机.(xxx, 实际使用时要真正替换成本地网络的名字))
>>tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net xxx'2、打印所有源或目的端口是80, 网络层协议为IPv4, 并且含有数据,而不是SYN,FIN以及ACK-only等不含数据的数据包.
>>tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'(nt: 可理解为, ip[2:2]表示整个ip数据包的长度, (ip[0]&0xf)<<2)表示ip数据包包头的长度(ip[0]&0xf代表包中的IHL域, 而此域的单位为32bit, 要换算成字节数需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp头的长度, 此域的单位也是32bit, 换算成比特数为 ((tcp[12]&0xf0) >> 4) << 2, 即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整个ip数据包的长度减去ip头的长度,再减去tcp头的长度不为0, 这就意味着, ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的’Payload Length’ 与 ‘tcp头的长度’的差值, 并且其中表达方式’ip[]’需换成’ip6[]’.)
3、打印长度超过576字节, 并且网关地址是snup的IP数据包
>>tcpdump 'gateway snup and ip[2:2] > 576'4、打印所有IP层广播或多播的数据包,但不是物理以太网层的广播或多播数据报
>>tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'5、打印除’echo request’或者’echo reply’类型以外的ICMP数据包( 比如,需要打印所有非ping 程序产生的数据包时可用到此表达式 .(nt: ‘echo reuqest’ 与 ‘echo reply’ 这两种类型的ICMP数据包通常由ping程序产生))
>>tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'6、抓包保存用于分析
>>tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
7、http包
>>tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x48540x4745 为”GET”前两个字母”GE”,0x4854 为”HTTP”前两个字母”HT”。
- 参考
扫一扫
2810
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
