抓包工具 | tcpdump 简明教程

抓包工具 | tcpdump 简明教程[译]

tcpdump 毫无无疑是非常重要的网络分析工具,对于任何想深入理解TCP/IP的人来说,掌握该工具的使用是非常必要的。
img
本教程将向您展示如何以各种方式将流量基于 IP、端口、协议、应用程序层协议过滤出来,以确保您尽快找到所需的数据包内容。

基础

下面是一些用来配置 tcpdump 的选项,它们非常容易被遗忘,也容易和其它类型的过滤器比如 Wireshark 等混淆。

选项

  • -i any 监听所有的网卡接口,用来查看是否有网络流量
  • -i eth0 只监听eth0网卡接口
  • -D 显示可用的接口列表
  • -n 不要解析主机名
  • -nn 不要解析主机名或者端口名
  • -q 显示更少的输出(更加quiet)
  • -t 输出可读的时间戳
  • -tttt 输出最大程度可读的时间戳
  • -X 以hex和ASCII两种形式显示包的内容
  • -XX 与-X类似,增加以太网header的显示
  • -v, -vv, -vvv 显示更加多的包信息
  • -c 只读取x个包,然后停止
  • -s 指定每一个包捕获的长度,单位是byte,使用-s0可以捕获整个包的内容
  • -S 输出绝对的序列号
  • -e 获取以太网header
  • -E 使用提供的秘钥解密IPSEC流量

表达式

在 tcpdump 中,可以使用表达式过滤指定类型的流量。有三种主要的表达式类型:type,dir,proto。

  • 类型(type)选项包含:host,net,port
  • 方向(dir)选项包含:src,dst
  • 协议(proto)选项包含:tcp,udp,icmp,ah等

示例

接下来我们介绍一些在实际工作中会经常使用到的命令示例。

  1. 捕获网卡流量
    捕获所有流量

    tcpdump -i any

我们可以使用上面的命令查看所有网卡上发生了什么。运行下面的命令,可以监控一个指定的网络接口:

tcpdump -i eth0
  1. 基于IP查找流量

最重要的查询方式之一就是 host,我们可以用如下命令查看 IP 1.1.1.1 上的进出流量:

tcpdump host 1.1.1.1
06:20:25.593207 IP 172.30.0.144.39270 > one.one.one.one.domain: 12790+ A? google.com. (28) 06:20:25.594510 IP one.one.one.one.domain > 172.30.0.144.39270: 
12790 1/0/0 A 172.217.15.78 (44)
  1. 根据源和目标进行过滤

如果你只想看单一方向的流量,可以使用 src 或者 dst:

tcpdump src 1.1.1.1tcpdump dst 1.0.0.1
  1. 根据网段进行查找

如果想查看某一网段或者子网的进出流量,可以使用如下命令:

tcpdump net 1.2.3.0/24
  1. 使用十六进制输出

当我们想要检查包的内容是否有问题的时候,十六进制的输出很有帮助:

tcpdump -c 1 -X icmp
  1. 显示特定端口的流量

我们可以使用 port 查找特定端口的流量:

tcpdump port 3389 tcpdump src port 1025
  1. 显示特定协议的流量

如果你想查看特定协议的流量,你可以使用 tcp、udp、icmp 等各种协议:

tcpdump icmp
  1. 只显示 ipv6 的流量

通过协议参数可以查看所有 ipv6 的流量:

tcpdump ip6
  1. 查看一个端口段的流量

查看某一范围内的所有端口的流量:

tcpdump portrange 21-23
  1. 基于包大小进行筛选

如果你正在查看特定大小的包,你可以使用这个参数。使用 less、greater 或者对应的数学符号进行过滤:

tcpdump less 32 tcpdump greater 64 tcpdump <= 128
  1. 读写文件

我们经常需要将包存在文件中以便将来分析,这些文件叫做 PCAP(PEE-cap) 文件,它们可以被许许多多的工具进行分析,当然也包括 tcpdump 自己。使用 -w 保存到文件:

tcpdump port 80 -w capture_file

我们也可以使用 -r 从文件中读取,可以使用各种参数分析文件中的包,但是不能处理文件中根本不存在的包:

tcpdump -r capture_file

高级功能

前面几个例子我们介绍了 tcpdump 基本的功能,接下来我们介绍一些它的高级功能。tcpdump 有很多参数可以使用,单独使用一个参数就很强大了,但是 tcpdump 的魔力就在于可以创造性的组合参数,以便准确的过滤出你想查找的包。有三种方式可以组合,只要你稍微有点编程基础就很容易理解。

  • AND:and 或者 &&
  • OR:or 或者说 ||
  • EXCEPT:not 或者 !
  1. 原始数据输出

使用此组合可查看详细的输出,不解析主机名或端口号,使用绝对序列号,并显示可读性更强的时间戳:

tcpdump -ttnnvvS

下面是几个组合的例子。

  1. 来自特定的IP,发往特定的端口

来自10.5.2.3,发往任意主机的 3389 端口的包:

tcpdump -nnvvS src 10.5.2.3 and dst port 3389
  1. 从某个网段来,到某个网段去

我们来查看所有来自 192.168.x.x 并进入 10.x 或 172.16.x.x 的流量,并且显示十六进制输出,没有主机名解析:

tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
  1. 到某个IP的非ICMP流量

发往 192.168.0.2 的非 icmp 流量:

tcpdump dst 192.168.0.2 and src net and not icmp
  1. 来自某个主机,不是发往某个端口

来自mars主机,发往非 SSH 端口:

tcpdump -vv src mars and not dst port 22

如你所见,我们可以组合查询所需的所有数据。关键是你要准确弄清楚你要查找什么数据,然后去过滤数据。

注意当你需要一些复杂查询的时候,你可能需要使用引号。单引号告诉 tcpdump 忽略特定的特殊字符,如下面的例子中的括号:

tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'
  1. 据 TCP Flags 分离数据

17.1 例如使用 TCP RST flag 筛选:

tcpdump 'tcp[13] & 4!=0'tcpdump 'tcp[tcpflags] == tcp-rst'

17.2 根据 TCP SYN flag筛选

tcpdump 'tcp[13] & 2!=0'tcpdump 'tcp[tcpflags] == tcp-syn'

17.3 根据 TC SYN和ACK flag筛选

tcpdump 'tcp[13]=18'

17.4 根据 TCP URG flag筛选

tcpdump 'tcp[13] & 32!=0'tcpdump 'tcp[tcpflags] == tcp-urg'

17.5 根据 TCP ACK flag筛选

tcpdump 'tcp[13] & 16!=0'tcpdump 'tcp[tcpflags] == tcp-ack'

17.6 根据 TCP PSH flag 筛选

tcpdump 'tcp[13] & 8!=0'tcpdump 'tcp[tcpflags] == tcp-psh'

17.7 根据 TCP FIN flag 筛选

tcpdump 'tcp[13] & 1!=0'tcpdump 'tcp[tcpflags] == tcp-fin'
  1. 根据 SYN 和 RST 筛选

    tcpdump ‘tcp[13] = 6’

  2. 发现 HTTP User Agent

    tcpdump -vvAls0 | grep ‘User-Agent:’

  3. GET 请求

    tcpdump -vvAls0 | grep ‘GET’

  4. HTTP Host

    tcpdump -vvAls0 | grep ‘Host:’

  5. HTTP Cookie

    tcpdump -vvAls0 | grep ‘Set-Cookie|Host:|Cookie:’

  6. SH 连接

    tcpdump ‘tcp[(tcp[12]>>2):4] = 0x5353482D’

  7. DNS流量

    tcpdump -vvAs0 port 53

  8. FTP流量

    tcpdump -vvAs0 port ftp or ftp-data

  9. NTP流量

    tcpdump -vvAs0 port 123

  10. 过滤明文密码

    tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user ’

  11. 过滤恶意的包

IP header 中有一个 bit 从来没有被用过,我们叫 它evil bit,可以过滤设置它的包:

tcpdump 'ip[6] & 128 != 0'  
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java水泥工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值