tcpdump 是一个数据包捕获工具,能够拦截和显示通过网络接口的数据包。它可以实时捕获数据包,也可以将捕获的数据保存到文件中以便后续分析。tcpdump 支持基于多种条件(如 IP 地址、端口号、协议等)来捕获特定的数据包。
tcpdump 可以捕获通过指定网络接口的数据包,这些数据包包括以太网帧、IP 数据包、TCP/UDP 数据包等。
捕获的数据包可以实时显示在终端,供用户即时分析。
tcpdump 使用 Berkeley Packet Filter (BPF) 语法,允许用户指定复杂的过滤条件,仅捕获感兴趣的数据包。
捕获的数据包可以保存到文件中(如 .pcap 文件),可以使用 tcpdump 或其他网络分析工具(如 Wireshark)进行离线分析。
tcpdump 支持多种协议,包括但不限于 Ethernet、IP、TCP、UDP、ICMP、ARP 等。
数据包(Data Packet)是网络通信中的一个基本单位。在计算机网络中,数据包是用于传输数据的结构化单元,它通常包含了发送方和接收方的信息、数据内容以及用于控制和校验的数据。在不同的网络层中,数据包的结构和术语可能有所不同,但其核心概念是相似的。
头部(Header):
头部包含控制信息和元数据,用于确保数据包能够正确到达目标地址。例如,在IP数据包中,头部包括源地址、目标地址、协议类型、长度、校验和等信息。
有效载荷(Payload):
有效载荷是数据包中实际传输的数据内容。例如,在HTTP请求中,有效载荷可能是请求的网页内容。
尾部(Footer,也称Trailer)
有时数据包的末尾还会包含一些用于校验的额外信息,如帧校验序列(Frame Check Sequence, FCS),用于检测数据传输过程中是否发生了错误。
物理层:
数据以比特或电信号的形式传输,通过物理介质(如电缆、光纤、无线电波)传播。
数据链路层:
数据包在这一层表现为帧(Frame),例如以太网帧。头部一般包含源和目的MAC地址以及帧类型等信息。
网络层:
在这一层,数据包被称为数据报(Datagram),例如IP数据报。头部信息包括源和目的IP地址、数据包长度、分片信息等。
传输层:
数据包在这一层被称为段(Segment)或数据报(Datagram),分别用于TCP和UDP协议。头部信息包括源和目的端口号、序列号、确认号、校验和等。
应用层:
数据包在这一层通常为应用数据单元(Application Data Unit),例如HTTP请求或响应。
封装:
数据在应用层生成,逐层向下传递,每一层都会添加相应的头部信息,形成数据包。
传输:
数据包通过物理介质传输,经过网络设备(如路由器、交换机)时,可能会被转发、路由或过滤。
解封装:
数据包到达目标地址后,逐层向上传递,每一层都会剥离相应的头部信息,还原为原始数据。
GET /index.html HTTP/1.1 ##请求方法 uri 协议版本
Host: www.example.com ##指定请求的目标主机和端口,通常是域名
TCP Header: ##TCP 头部包含了控制和管理 TCP 连接的信息,它位于 IP 数据包的负载部分
- Source Port: 12345 ##源端口号,标识发送数据包的应用程序端口
- Destination Port: 80 ##目的端口号,标识接收数据包的应用程序端口
- Sequence Number: 1 ##序列号,用于标识数据包的顺序,确保数据可以按序重组。对于第一个数据包,通常是一个初始序列号(ISN)
- Ack Number: 1 ##确认号,用于确认收到的数据包的序列号。只有在 ACK 标志设置时,此字段才有效。
- Flags: SYN, ACK ##用于控制 TCP 连接的状态和数据传输,一共有9个
- Window Size: 4096 ##用于流量控制,指示接收方可接受的最大数据量(以字节为单位)。
- Checksum: 0x1A2B ##校验和,用于校验数据包在传输过程中是否损坏,包括头部和数据的校验
Payload: HTTP GET Request ##在 TCP 数据包中传输的实际应用数据。此处是一个http请求
##补充:
Flags 标志位
URG(紧急指针有效):指示紧急指针字段有效。
ACK(确认号有效):指示确认号字段有效。
PSH(推送):指示接收方应用程序应立即处理该数据包。
RST(重置):用于重置连接。
SYN(同步):用于建立连接。
FIN(结束):用于关闭连接。
ECE(ECN-Echo):用于显式拥塞通知(ECN)。
CWR(Congestion Window Reduced):用于显式通知已减少的拥塞窗口。
NS(Nonce Sum):用于增强的安全性。
IP Header: ##IP头部是 IP 数据包的第一个部分,包含用于路由和传送数据的控制信息。IPv4 和 IPv6 是两种常见的 IP 协议版本
- Version: 4 ##版本(Version),IP 协议的版本号,对于 IPv4,该值为 4
- Header Length: 20 bytes ##头部长度,IP 头部的长度,以 32 位字(4 字节)为单位。最小值为 5(即 20 字节),最大值为 15(即 60 字节)
- Total Length: 60 bytes ##总长度,整个 IP 数据包的长度,包括头部和数据,以字节为单位。
- Time to Live: 5 ##指定数据包在网络中的最大生存时间。每经过一个路由器,该值会减少 1。当 TTL 值减到 0 时,数据包会被丢弃,而不会继续在网络中传输。
- Protocol: TCP ## 协议,承载的上层协议,如 TCP(值为 6)或 UDP(值为 17)
- Source Address: 192.xx.xx.xx ##源IP 地址,发送数据包的源 IP 地址
- Destination Address: 95.xx.xx.xx ##目的 IP 地址,接收数据包的目的 IP 地址
Payload: TCP Segment ##发送方将大块数据分段为适合传输的小块,每一块成为一个 TCP 段
Ethernet Header: ##
- Destination MAC: 00:11:22:33:44:55 ##目标MAC地址,帧的接收方MAC地址
- Source MAC: 66:77:88:99:AA:BB ##源MAC地址,帧的发送方MAC地址
- EtherType/Length: 0x0800 ##类型字段,如果值大于等于 0x0600(1536),表示帧的类型(0x0800 表示 IPv4 | 0x0806 表示 ARP | 0x86DD 表示 IPv6;如果值小于 0x0600,表示数据字段的长度,这是 IEEE 802.3 帧格式中的用法)
Payload: IP Datagram
连接建立:
使用三次握手(Three-way Handshake)过程建立 TCP 连接。
三个步骤:SYN(同步)→ SYN-ACK(同步确认)→ ACK(确认)。
数据传输:
分段:应用层数据被分成多个 TCP 段。
发送:通过网络将段传输给接收方。
确认:接收方对每个段发送 ACK 确认。
连接终止:
使用四次挥手(Four-way Handshake)终止 TCP 连接。
包括四个步骤:FIN(终止)→ ACK(确认)→ FIN(终止)→ ACK(确认)
--i <interface>:指定要抓包的网络接口。例如,-i eth0。
-w <file>:将抓取的数据包保存到文件中。例如,-w capture.pcap。
-r <file>:读取并分析保存的抓包文件。例如,-r capture.pcap。
-c <count>:指定捕获的数据包数量。例如,-c 100 只抓取 100 个数据包。
-s <snaplen>:设置捕获数据包的最大字节数。例如,-s 128 只抓取每个数据包的前 128 字节。
-v、-vv、-vvv:增加详细输出的级别。
-A:以 ASCII 格式显示数据包内容。
-X:同时以十六进制和 ASCII 格式显示数据包内容。
-n:不将地址解析为主机名(禁用 DNS 解析)。
-nn:不将端口号解析为服务名。
-tttt:打印时间戳详细格式。
host <host>:过滤与指定主机相关的流量。例如,host 192.168.1.1。
net <network>:过滤与指定网络相关的流量。例如,net 192.168.1.0/24。
port <port>:过滤与指定端口相关的流量。例如,port 80。
tcp、udp、icmp:过滤指定协议的流量。
src、dst:过滤源或目标。例如,src 192.168.1.1 或 dst 192.168.1.1。
逻辑运算符:可以使用 and、or 和 not 来组合条件。例如,tcp and port 80。
tcpdump -i <interface>
#捕获 eth0 接口的数据包
tcpdump -i eth0
tcpdump -c <count>
#捕获 10 个数据包:
tcpdump -c 10
tcpdump -w <filename>
#将捕获的数据包保存到 capture.pcap 文件:
tcpdump -w capture.pcap
tcpdump -r <filename>
#从 capture.pcap 文件读取数据包:
tcpdump -r capture.pcap
tcpdump <expression>
#捕获来自特定 IP 地址的数据包:
tcpdump src xx.xx.xx.xx
tcpdump -v # 提供详细信息
tcpdump -vv # 提供更详细的信息
tcpdump -vvv # 提供最详细的信息
tcpdump src xx.xx.xx.xx and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:21:16.112245 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [S], seq 2552390436, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
20:21:16.114159 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 1323695319, win 31, length 0
20:21:16.114193 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [P.], seq 0:75, ack 1, win 31, length 75: HTTP: GET / HTTP/1.1
20:21:16.116243 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 2921, win 31, length 0
20:21:16.116259 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 7301, win 29, length 0
20:21:16.116281 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 10221, win 30, length 0
20:21:16.116284 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 11572, win 30, length 0
20:21:16.121233 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [F.], seq 75, ack 11572, win 31, length 0
20:21:16.123125 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 11573, win 31, length 0
tcpdump src xx.xx.xx.xx or dst port 8080
tcpdump not udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:16:59.986437 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 1527365653:1527365841, ack 3439942592, win 31, length 188
20:16:59.986764 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 188:368, ack 1, win 31, length 180
20:16:59.986815 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 368:524, ack 1, win 31, length 156
20:16:59.986848 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 524:680, ack 1, win 31, length 156
20:16:59.986876 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 680:836, ack 1, win 31, length 156
20:16:59.986902 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 836:992, ack 1, win 31, length 156
tcpdump tcp or udp
tcpdump dst portrange 100-500
tcpdump src net 10.10.0.1/24
tcpdump -s 100
oot@xxx:~# tcpdump -i eth0 tcp and host 10.xx.xx.xx
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:46:22.748962 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [S], seq 303897082, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
21:46:22.751006 IP ubuntu-8-136.8140 > www.test01.com.57036: Flags [S.], seq 1574485005, ack 303897083, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
21:46:22.751121 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [.], ack 1, win 31, length 0
21:46:22.751736 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [P.], seq 1:225, ack 1, win 31, length 224
21:46:22.753667 IP ubuntu-8-136.8140 > www.test01.com.57036: Flags [F.], seq 1:189, ack 225, win 237, length 188
21:46:22.753778 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [R.], seq 225, ack 190, win 31, length 0
21:46:26.879108 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [S], seq 1927937680, win 29200, options [mss 1460,sackOK,TS val 471337684 ecr 0,nop,wscale 7], length 0
21:46:26.879165 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [S.], seq 3316735515, ack 1927937681, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
21:46:26.880957 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [.], ack 1, win 229, length 0
21:46:30.052234 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [P.], seq 1:7, ack 1, win 229, length 6
21:46:30.052265 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [.], ack 7, win 31, length 0
21:46:31.771616 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [F.], seq 7, ack 1, win 229, length 0
21:46:31.777194 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [F.], seq 1, ack 8, win 31, length 0
21:46:31.779066 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [.], ack 2, win 229, length 0
### 2)主要字段解释
- 时间戳:
```bash
21:46:22.748962:每行的开头是时间戳,表示捕获的数据包的时间
IP:协议类型,显示数据包使用的协议(其他常见的协议类型包括 IP、 ARP、ICMP 等)。
www.test01.com.57036 表示源 主机名或ip 和源端口(57036)
ubuntu-8-136.8140 表示源 主机名或ip 和目标端口(8140)
Flags [S] ##表示这是一个 SYN 包(用于连接请求)。
Flags [S.] ##表示 SYN-ACK 包(表示确认连接请求)。
Flags [.] ## 表示 ACK 包(表示确认已收到数据)。
###
SYN(同步,Synchronize)
标志位:S
用于初始化连接,标志这是一个连接请求。通常在三次握手的第一个数据包中设置。
如果一个数据包的 SYN 标志被设置,那么它也很可能会携带一个初始序列号。
ACK(确认,Acknowledgment)
标志位:A
表示确认前一个包已经接收,包含确认号。这个标志在三次握手的第一个数据包之后的所有数据包中都会设置。
FIN(终止,Finish)
标志位:F
用于释放连接,表示发送方已经完成发送数据。通常在四次挥手中的第一个和第三个数据包中设置。
RST(重置,Reset)
标志位:R
表示连接出现错误,需要立即终止。重置连接时设置这个标志,通常用于异常或错误的情况下。
PSH(推送,Push)
标志位:P
表示数据应该立即发送给应用程序,而不是在缓冲区中等待。它告知接收方接收数据后立即处理。
URG(紧急,Urgent)
标志位:U
表示数据包含紧急指针,紧急数据应该优先处理。紧急指针字段指出要优先处理的数据偏移量。
ECE(ECN-Echo,显式拥塞通知回显)
标志位:E
用于支持显式拥塞通知(ECN)。当接收到带有 CE 标志的数据包时,接收方在发送的确认包中设置 ECE 标志。
CWR(Congestion Window Reduced,拥塞窗口减少)
标志位:C
发送方在收到带有 ECE 标志的确认包后,发送带有 CWR 标志的包,表示它已经降低了发送速率以应对拥塞。
seq 1574485005 ##表示序列号
ack 303897083 ##表示确认号
win 31 ##TCP 窗口大小。
options [mss 1460,nop,nop,sackOK,nop,wscale 11] ##TCP 选项,包括最大段大小(MSS)、.nop 选项用于填充,使得TCP选项部分的长度对齐到4字节边界,nop 是 No Operation 的缩写,表示不执行任何操作,只是一个占位符、选择性确认(SACK)、时间戳(TS)和窗口缩放(wscale)
length 188:数据包数据部分的长度(字节)。