抓包神器 tcpdump 使用介绍
tcpdump 命令使用简介
简单介绍
tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。
要想使用很好地掌握 tcpdump, 必须对网络报文(TCP/IP 协议)有一定的了解。不过对于简单的使用来说,只要有网络基础概念就行了。
tcpdump 是一个很复杂的命令,想了解它的方方面面非常不易,也不值得推荐,能够使用它解决日常工作中的问题才是关键。
选项
tcpdump 的选项也很多,要想知道所有选项的话,请参考 man tcpdump,下面只记录 tcpdump 最常用的选项。
需要注意的是,tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s number, number 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容。
-n表示不要解析域名,直接显示 ip。-nn不要解析域名和端口-X同时用 hex 和 ascii 显示报文的内容。-XX同-X,但同时显示以太网头部。-S显示绝对的序列号(sequence number),而不是相对编号。-i any监听所有的网卡-v, -vv, -vvv:显示更多的详细信息-c number: 截取 number 个报文,然后结束-A: 只使用 ascii 打印报文的全部数据,不要和-X一起使用。截取 http 请求的时候可以用sudo tcpdump -nSA port 80!
简单使用
1. tcpdump -nS
监听所有端口,直接显示 ip 地址。
2. tcpdump -nnvvS
显示更详细的数据报文,包括 tos, ttl, checksum 等。
3. tcpdump -nnvvXS
显示数据报的全部数据信息,用 hex 和 ascii 两列对比输出。
下面是抓取 ping 命令的请求和返回的两个报文,可以看到全部的数据。
➜ ~ sudo tcpdump -nnvXSs -c2 icmp
tcpdump: data link type PKTAP
tcpdump: listening on pktap, link-type PKTAP (Packet Tap), capture size bytes ::16.781856 IP (tos 0x0, ttl , id , offset , flags [none], proto ICMP (), length )
192.168.1.106 > 192.168.1.1: ICMP echo request, id , seq , length
0x0000: 0c72 2c28 b9ac 80e6 4c38 .r,(....P.L8..E.
0x0010: f00c 06e1 c0a8 016a c0a8 .T....@......j..
0x0020: 72c9 ff16 000b ....r.....U.X...
0x0030: ee08 0a0b 0c0d 0e0f ................
0x0040: 1a1b 1c1d 1e1f ...........!"#$%
0x0050: 2a2b 2c2d 2e2f &'()*+,-./012345
0x0060:
::17.674304 IP (tos 0x0, ttl , id , offset , flags [none], proto ICMP (), length )
192.168.1.1 > 192.168.1.106: ICMP echo reply, id , seq , length
0x0000: 80e6 4c38 0c72 2c28 b9ac ..P.L8.r,(....E.
0x0010: c059 c0a8 c0a8 .T6...@..Y......
0x0020: 016a 7ac9 ff16 000b .j..z.....U.X...
0x0030: ee08 0a0b 0c0d 0e0f ................
0x0040: 1a1b 1c1d 1e1f ...........!"#$%
0x0050: 2a2b 2c2d 2e2f &'()*+,-./012345
0x0060: packets captured
packets received by filter
packets dropped by kernel
过滤器
机器上的网络报文数量异常的多,很多时候我们只关系和具体问题有关的数据报(比如访问某个网站的数据,或者 icmp 超时的报文等等),而这些数据只占到很小的一部分。把所有的数据截取下来,从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpdump 提供了灵活的语法可以精确地截取关心的数据报,简化分析的工作量。这些选择数据包的语句就是过滤器(filter)!
过滤器也可以简单地分为三类:type, dir 和 proto。
Type 让你区分报文的类型,主要由 host(主机), net(网络) 和 port(端口) 组成。src 和 dst 也可以用来过滤报文的源地址和目的地址。
host: 过滤某个主机的数据报文
tcpdump host 1.2.3.4
src, dst: 过滤源地址和目的地址
tcpdump src 2.3.4.5
tcpdump dst 3.4.5.6
net: 过滤某个网段的数据,CIDR 模式
tcpdump net 1.2.3.0/
proto: 过滤某个协议的数据,支持 tcp, udp 和 icmp。使用的时候可以省略 proto 关键字。
tcpdump icmp
port: 过滤通过某个端口的数据报
tcpdump port
src/dst, port, protocol: 结合三者
tcpdump src port and tcp
tcpdump udp and src port
此外还有指定端口和数据报文范围的过滤器:
port 范围
tcpdump portrange -
数据报大小,单位是字节
tcpdump less
tcpdump greater
tcpdump >
tcpdump <=
过于过滤器的更多详细信息,请访问 tcpdump 官方 map page 的 PCAP-FILTER 部分。
输出到文件
使用 tcpdump 截取数据报文的时候,默认会打印到屏幕的默认输出,你会看到按照顺序和格式,很多的数据一行行快速闪过,根本来不及看清楚所有的内容。不过,tcpdump 提供了把截取的数据保存到文件的功能,以便后面使用其他图形工具(比如 wireshark,Snort)来分析。
-w 选项用来把数据报文输出到文件,比如下面的命令就是把所有 80 端口的数据导入到文件
# sudo tcpdump -w capture_file.pcap port
-r 可以读取文件里的数据报文,显示到屏幕上。
# tcpdump -nXr capture_file.pcap host web30
NOTE:保存到文件的数据不是屏幕上看到的文件信息,而是包含了额外信息的固定格式 pcap,需要特殊的软件来查看,使用 vim 或者 cat 命令会出现乱码。
强大的过滤器
过滤的真正强大之处在于你可以随意组合它们,而连接它们的逻辑就是常用的 与/AND/&&、 或/OR/|| 和 非/not/!。
源地址是 10.5.2.3,目的端口是 3389 的数据报
tcpdump -nnvS src 10.5.2.3 and dst port
从 192.168 网段到 10 或者 172.16 网段的数据报
tcpdump -nvX src net 192.168.0.0/ and dat net 10.0.0.0/ or 172.16.0.0/
从 Mars 或者 Pluto 发出的数据报,并且目的端口不是 22
tcpdump -vv src mars or pluto and not dat port
从上面的例子就可以看出,你可以随意地组合之前的过滤器来截取自己期望的数据报,最重要的就是知道自己要精确匹配的数据室怎样的!
对于比较复杂的过滤器表达式,为了逻辑的清晰,可以使用括号。不过默认情况下,tcpdump 把 () 当做特殊的字符,所以必须使用单引号 ' 来消除歧义:
tcpdump -nvv -c 'src 10.0.2.4 and (dat port 3389 or 22)'
理解 tcpdump 的输出
截取数据只是第一步,第二步就是理解这些数据,下面就解释一下 tcpdump 命令输出各部分的意义。
::06.995846 IP (tos 0x0, ttl , id , offset , flags [DF], proto TCP (), length )
192.168.1.106. > 124.192.132.54.: Flags [S], cksum 0xa730 (correct), seq , win , options [mss ,nop,wscale ,nop,nop,TS val ecr ,sackOK,eol], length ::07.030487 IP (tos 0x0, ttl , id , offset , flags [DF], proto TCP (), length )
124.192.132.54. > 192.168.1.106.: Flags [S.], cksum 0xedc0 (correct), seq , ack , win , options [mss ], length ::07.030527 IP (tos 0x0, ttl , id , offset , flags [DF], proto TCP (), length )
192.168.1.106. > 124.192.132.54.: Flags [.], cksum 0x3e72 (correct), ack , win , length
最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口,上面的例子第一条数据报中,源地址 ip 是 192.168.1.106,源端口是 56166,目的地址是 124.192.132.54,目的端口是 80。 > 符号代表数据的方向。
此外,上面的三条数据还是 tcp 协议的三次握手过程,第一条就是 SYN 报文,这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:
[S]: SYN(开始连接)[.]: 没有 Flag[P]: PSH(推送数据)[F]: FIN (结束连接)[R]: RST(重置连接)
而第二条数据的 [S.] 表示 SYN-ACK,就是 SYN 报文的应答报文。
参考文档
本文主要参考了下面两篇文章,算是翻译和二次创作。
抓包神器 tcpdump 使用介绍的更多相关文章
- 抓包神器 tcpdump 使用介绍 (转)
tcpdump 命令使用简介 简单介绍 tcpdump 是一款强大的网络抓包工具,运行在 linux 平台上.熟悉 tcpdump 的使用能够帮助你分析.调试网络数据. 要想使用很好地掌握 tcpdu ...
- 超详细的网络抓包神器 tcpdump 使用指南
原文链接:Tcpdump 示例教程 本文主要内容翻译自<Tcpdump Examples>. tcpdump 是一款强大的网络抓包工具,它使用 libpcap 库来抓取网络数据包,这个库在 ...
- linux抓包工具tcpdump基本使用
tcpdump 是一款灵活.功能强大的抓包工具,能有效地帮助排查网络故障问题. tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包.它通常被用作于网络故障分析工具以及安全工具. ...
- 网络异常时抓包操作说明tcpdump+Wireshark
转债至 https://help.aliyun.com/knowledge_detail/40564.html?spm=5176.11065259.1996646101.searchclickresu ...
- linux抓包命令-tcpdump命令详解
最近调试支付接口的时候,遇到了一个奇怪的问题:我按照支付接口文档,对接支付通道,当消费业务正常后,调试查余和冲正的时候,支付通道的对接技术告诉我,系统没有我们支付系统的请求报文,数据库和日志中都没有, ...
- Linux抓包工具tcpdump
Linux抓包工具tcpdump http://www.xuchanggang.cn/archives/1107.html
- Mac平台下的抓包神器 —— Charles
在开发界,“抓包”这个词想必大家耳熟能详.通过抓包工具,能够获取设备在网络通讯过程中的交换数据包.在 Windows 平台上,笔者使用较多的是 Fiddler 工具,但是由于 Fiddle 使用 C# ...
- 测试必备工具之最强抓包神器 Charles,你会了么?
前言 作为软件测试工程师,大家在工作中肯定经常会用到各种抓包工具来辅助测试,比如浏览器自带的抓包工具-F12,方便又快捷:比如时下特别流行的Fiddler工具,使用各种web和APP测试的各种场景 ...
- [转] Linux抓包工具tcpdump详解
http://www.ha97.com/4550.html PS:tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使 ...
随机推荐
- Springboot集成ES启动报错
报错内容 None of the configured nodes are available elasticsearch.yml配置 cluster.name: fans node.name: no ...
- linux 学习笔记 finding people
#who 或者 #w 展示所有登录到当前系统的用户信息 #who am i 展示真是用户信息 #whoami 展示登陆系统的用户名 例如 : 登陆用户和真实用户一致 #whoami root #wh ...
- Alpha(9/10)
鐵鍋燉腯鱻 项目:小鱼记账 团队成员 项目燃尽图 冲刺情况描述 站立式会议照片 各成员情况 团队成员 学号 姓名 git地址 博客地址 031602240 许郁杨 (组长) https://githu ...
- Redis自学笔记:1.简介
博主教材:李子骅.人民邮电出版社.<redis入门指南> 博主操作系统系统:虚拟机Ubuntu16.04 博主redis版本:3.0.6 第1章:简介 redis是一个开源的.高性能的.基 ...
- 搭建vue脚手架---vue-cli
vue-cli作为一款mvvm框架语言(vue)的脚手架,集成了webpack环境及主要依赖,对于项目的搭建.打包.维护管理等都非常方便快捷.我们在开发项目时尤其需要这样一个快速构建项目的工具. 以下 ...
- VMware5.5-虚拟机的迁移和资源分配
虚拟机的迁移 迁移:将虚拟机从一台主机(或数据存储)移到另一台主机(或数据存储). 迁移类型: 冷迁移 迁移处于关闭状态的虚拟机. 挂起 迁移处于挂起状态的虚拟机. vMotion 迁移处于开启状态的 ...
- 在UnrealEngine中用Custom节点实现描边效果
在<Real Time Rendering, third edition>一书中,作者把描边算法分成了5种类型.1.基于观察角度与表面法线的轮廓渲染.缺点很明显.2.过程式几何轮廓渲染.即 ...
- 哈希表(散列表),Hash表漫谈
1.序 该篇分别讲了散列表的引出.散列函数的设计.处理冲突的方法.并给出一段简单的示例代码. 2.散列表的引出 给定一个关键字集合U={0,1......m-1},总共有不大于m个元素.如果m不是很大 ...
- /etc/security/limits.conf 文件说明
/etc/security/limits.conf 是 Linux 资源使用配置文件,用来限制用户对系统资源的使用 语法:<domain> <type> <item& ...
- cookies和session
基于cookies做用户验证时,敏感信息不适合放在cookies中 cookies保存在客户浏览器端的键值对 session保存在服务器端的键值对(依赖于cookies),把用户浏览器中的cook ...