什麼是tcpdump 在Linux中輸入命令man tcpdump給出的定義如下所示: 是不是感覺很懵?我們用通俗、形象、學術的表達方式來全方位描述tcpdump: 通俗的來說,tcpdump是一個抓包工具,用於抓取網路中傳輸的數據包 形象的來說,tcpdump如同國家海 ...
什麼是tcpdump
在Linux中輸入命令man tcpdump給出的定義如下所示:
tcpdump - 轉儲網路上的數據流是不是感覺很懵?我們用通俗、形象、學術的表達方式來全方位描述tcpdump:
- 通俗的來說,tcpdump是一個抓包工具,用於抓取網路中傳輸的數據包
- 形象的來說,tcpdump如同國家海關,凡是入境和出境的貨物,海關都要抽樣檢查,看看裡面具體是什麼貨物
- 學術的來說,tcpdump是一種Sniffer(嗅探器),利用乙太網的特性,通過將網路設備置於混雜模式來獲取傳輸在網路中的信息包
在使用tcpdump需要瞭解以下的知識點:
1、瞭解和使用過Linux系統
2、學習OSI七層協議和作用
3、熟悉網路協議,特別是IP/TCP/UDP
4、瞭解交換機、路由器所對應的協議層且知道兩者的差異基本語法
tcpdump [選項] [網路介面]常用選項如下所示:
| 選項 | 說明 |
|---|---|
| -A | 只顯示ASCII形式的數據包內容 |
| -c | 就是Count的含義,指在接收到指定數量的分組包後退出,簡單來說就是允許抓幾個包 |
| -d | 將匹配信息包的編碼以人們能夠理解的格式進行顯示並退出 |
| -dd | 將匹配信息包的編碼以C語言程式段的格式顯示 |
| -ddd | 將匹配信息包的編碼以十進位的形式顯示 |
| -D | 列出所有可以選擇的抓包對象 |
| -e | 添加數據鏈路層的頭部信息 |
| -F | 指定過濾表達式所在的文件 |
| -i | 即interface,指定監聽的網路介面 |
| -l | 將輸出變為行緩衝模式 |
| -n | 不將主機地址轉換為名字 |
| -nn | 不轉換協議和埠號,當tcpdump遇到協議號或埠號,不需要將這些數字轉換為對應的協議名稱或埠名稱,如22埠SSH埠,我們希望顯示22,而非SSH |
| -p | 將網路介面設置為非混雜模式 |
| -q | 快速輸出,僅輸出較少的協議信息 |
| -r | 從文件中讀取原始數據包,而這個文件通過由選項 -w 所產生 |
| -t | 在每一行中不輸出時間戳 |
| -tt | 在每一行中輸出非格式化的時間戳 |
| -ttt | 在每一行中輸出本行與前一行的時間差,單位為ms |
| -tttt | 在每一行中輸出由date處理的預設格式的時間戳 |
| -ttttt | 在每一行中輸出本行與第一行的時間差,單位為ms |
| -v | 顯示更詳細的信息 |
| -w | 將原始數據包信息保存到文件中 |
| -X | 將協議頭和包內容原原本本的顯示出來 |
示例
如果要使用tcpdump抓包,一定要切換到root賬戶中。1、第一個抓包示例
[root@localhost ~]# tcpdump -i ens5f1 -nn -X 'port 22' -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
22:34:11.334916 IP 192.168.8.8.22 > 112.64.61.186.37035: Flags [P.], seq 3341229570:3341229782, ack 1999159071, win 31152, length 212
0x0000: 4510 00fc 7e99 4000 4006 44a8 c0a8 0808 E...~.@[email protected].....
0x0010: 7040 3dba 0016 90ab c727 1e02 7728 bf1f p@=......'..w(..
0x0020: 5018 79b0 7799 0000 0000 00b0 823d 4cf1 P.y.w........=L.
0x0030: 1108 58fc 3686 2bd2 5220 fe37 85ab 74cc ..X.6.+.R..7..t.
0x0040: bfb1 8831 7d1c 3b57 52ae aa91 28a2 67d8 ...1}.;WR...(.g.
0x0050: 08fb a257 7fc8 7186 39dc d266 3d32 cce8 ...W..q.9..f=2..
0x0060: 3eb7 130b a7d3 833b 59c9 bdf8 2141 6863 >......;Y...!Ahc
0x0070: 7cae 25ff 459e c94a a635 7098 6925 db48 |.%.E..J.5p.i%.H
0x0080: a9b0 32ab 5393 737f cf8c f2ed b47a 7d8b ..2.S.s......z}.
0x0090: 346c 39df 3ecc d2b0 e0ad 5104 272d 6513 4l9.>.....Q.'-e.
0x00a0: 4b8d 5ee6 6c7d 9477 e40b 8637 996a bb5a K.^.l}.w...7.j.Z
0x00b0: 471a 2ac4 3335 266d 0485 2e52 b2c2 f6e8 G.*.35&m...R....
0x00c0: 0549 5ae0 9c7b ad45 da0a eef2 1ccb b2ac .IZ..{.E........
0x00d0: a4a2 0a96 cc5f 238c 9570 0d15 984e 6f58 ....._#..p...NoX
0x00e0: d8ff 8034 1165 cf44 02e4 ed6b 631e 2548 ...4.e.D...kc.%H
0x00f0: 56fd 4c8a 664c e5ee d845 2e50 V.L.fL...E.P
1 packet captured
1 packet received by filter
0 packets dropped by kernel-i : 指定用來抓包的網路介面,這個參數在伺服器有多個網卡的時候非常有效
-nn : 不轉換協議和埠號,當tcpdump遇到協議號或埠號,不需要將這些數字轉換為對應的協議名稱或埠名稱,如22埠SSH埠,我們希望顯示22,而非SSH
-X : 將協議頭和包內容原原本本的顯示出來,tcpdump會同時以16進位和ASCII的形式進行顯示,在協議分析時非常好用。
'port 22' : 告訴tcpdump要有選擇的顯示所抓到的包,在該示例中,只顯示源埠或目的埠是22的數據包,其他的數據包則不顯示。
-c : 用來指定抓包的個數,示例設置的個數為1,則代表僅抓取一個包之後就退出不再抓包了。
2、-e 增加數據鏈路層的頭部信息
- 不帶-e的抓包
[root@localhost ~]# tcpdump -i ens5f1 -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
23:44:06.918259 IP localhost.localdomain.ssh > 112.64.61.186.37035: Flags [P.], seq 3341233794:3341234006, ack 1999165283, win 31152, length 212
1 packet captured
6 packets received by filter
0 packets dropped by kernel- 帶-e的抓包
[root@localhost ~]# tcpdump -i ens5f1 -c 1 -e
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
23:45:51.114314 dc:fe:18:65:76:f2 (oui Unknown) > 34:97:f6:5a:50:e0 (oui Unknown), ethertype IPv4 (0x0800), length 82: 112.85.42.197.20263 > localhost.localdomain.ssh: Flags [P.], seq 254675888:254675904, ack 306708143, win 155, options [nop,nop,TS val 3668622988 ecr 391712180], length 16
1 packet captured
8 packets received by filter
0 packets dropped by kernel通過兩個命令的輸出對比,可以看到增加-e選項後,輸出的結果中增加MAC地址信息。而且在輸出內容中會有oui Unknown,OUI即Organizationally unique identifier(組織唯一標識符),在任何一塊網卡中燒錄的6位元組MAC地址中,前3個位元組體現了OUI,其表明瞭網卡的製造組織,通常情況下,該標識符是唯一的。在本例中,由於沒有識別出網卡的製造商,因此顯示為Unknown。
3、-l 將輸出變為行緩衝模式
-l的作用是將tcpdump的輸出行為變為行緩衝方式,這樣可以保證tcpdump遇到換行符,就立即將緩衝的內容輸出到標準輸出(stdout),方便利用管道或重定向方式進行後續處理,而不會造成延遲。
在Linux的標準I/O中提供了全緩衝、行緩衝、無緩衝三種緩衝方式。標準錯誤是不帶緩衝的,而終端設備常為行緩衝,其他預設則為全緩衝。
[root@localhost ~]# tcpdump -i ens5f1 -l -c 5 | awk '{print $5}'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
112.64.61.186.37035:
gateway.domain:
localhost.localdomain.49348:
gateway.domain:
localhost.localdomain.ssh:
5 packets captured
13 packets received by filter
0 packets dropped by kernel在該例中,將tcpdump輸出的內容通過管道提取第5列,可以用來查看詳細的連接信息。而如果不加 -l 選項時,則只有當緩衝區全部占滿時,tcpdump才會將緩衝區中的內容輸出,這樣就有可能導致輸出不連續的,如果強行結束,則會影響下一行的完整性。
4、-t 輸出不加時間戳
[root@localhost ~]# tcpdump -i ens5f1 -c 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
23:48:03.193526 IP localhost.localdomain.ssh > 112.64.60.194.19101: Flags [P.], seq 3091447763:3091447975, ack 4113666212, win 251, length 212
1 packet captured
6 packets received by filter
0 packets dropped by kernel
[root@localhost ~]# tcpdump -i ens5f1 -c 1 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
IP localhost.localdomain.ssh > 112.64.60.194.19101: Flags [P.], seq 3091448643:3091448855, ack 4113666488, win 251, length 212
1 packet captured
6 packets received by filter
0 packets dropped by kernel在增加選項-t選項後,時間23:48:03.193526就消失了。tcpdump預設情況下是按微秒來計時,因此最一個時間精確到了第6位。
5、 -v 顯示詳細信息
[root@localhost ~]# tcpdump -i ens5f1 -c 1 -v
tcpdump: listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
23:53:13.252748 IP (tos 0x10, ttl 64, id 24820, offset 0, flags [DF], proto TCP (6), length 188)
localhost.localdomain.ssh > 112.64.60.194.19101: Flags [P.], cksum 0x7661 (incorrect -> 0x2474), seq 3091449471:3091449619, ack 4113666972, win 251, length 148
1 packet captured
7 packets received by filter
0 packets dropped by kernel在增加-v選項後,會在輸出的內容中增加tos、ttl、id、offset、協議編號、總長度等,如需要理解這些信息,就需要瞭解TCP/IP協議中的頭的具體定義了。
6、-F 指定過濾表達式所在的文件
在第一個示例中,命令行增加了'port 22',而這一項就叫過濾條件,如果設置了過濾條件,則tcpdump只抓取滿足過濾條件的數據包。如需要設置較為複雜的過濾條件或復用過濾條件時,這時可以將過濾條件保存為文件,然後通過-F載入該過濾文件。
[root@localhost ~]# cat tcpdumpFilter.txt
port 22
[root@localhost ~]# tcpdump -i ens5f1 -c 1 -v -F ~/tcpdumpFilter.txt
tcpdump: listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
00:05:52.685555 IP (tos 0x10, ttl 64, id 25291, offset 0, flags [DF], proto TCP (6), length 188)
localhost.localdomain.ssh > 112.64.60.194.19101: Flags [P.], cksum 0x7661 (incorrect -> 0x827b), seq 3091492507:3091492655, ack 4113685300, win 251, length 148
1 packet captured
3 packets received by filter
0 packets dropped by kernel7、 -w 將原始數據包信息保存到文件中
[root@localhost ~]# tcpdump -i ens5f1 -c 1 -v -F ~/tcpdumpFilter.txt -w ~/tcpdumpRAW
tcpdump: listening on ens5f1, link-type EN10MB (Ethernet), capture size 262144 bytes
1 packet captured
1 packet received by filter
0 packets dropped by kernel
[root@localhost ~]# cat tcpdumpRAW
Ճ²¡¯OW[ߌ
ˊݾev
