linux运维一天一个shell命令之tcpdump详解

一、tcpdump 的概念

tcpdump 是一个数据包捕获工具,能够拦截和显示通过网络接口的数据包。它可以实时捕获数据包,也可以将捕获的数据保存到文件中以便后续分析。tcpdump 支持基于多种条件(如 IP 地址、端口号、协议等)来捕获特定的数据包。

二、主要功能和特点

1.数据包捕获:

tcpdump 可以捕获通过指定网络接口的数据包,这些数据包包括以太网帧、IP 数据包、TCP/UDP 数据包等。

2.实时分析:

捕获的数据包可以实时显示在终端,供用户即时分析。

3.过滤功能:

tcpdump 使用 Berkeley Packet Filter (BPF) 语法,允许用户指定复杂的过滤条件,仅捕获感兴趣的数据包。

4.数据包存储:

捕获的数据包可以保存到文件中(如 .pcap 文件),可以使用 tcpdump 或其他网络分析工具(如 Wireshark)进行离线分析。

5.协议支持:

tcpdump 支持多种协议,包括但不限于 Ethernet、IP、TCP、UDP、ICMP、ARP 等。

三、衍生概念:数据包

1.什么是数据包:

数据包(Data Packet)是网络通信中的一个基本单位。在计算机网络中,数据包是用于传输数据的结构化单元,它通常包含了发送方和接收方的信息、数据内容以及用于控制和校验的数据。在不同的网络层中,数据包的结构和术语可能有所不同,但其核心概念是相似的。

2.数据包的组成:

  • 头部(Header):
    头部包含控制信息和元数据,用于确保数据包能够正确到达目标地址。例如,在IP数据包中,头部包括源地址、目标地址、协议类型、长度、校验和等信息。

  • 有效载荷(Payload):
    有效载荷是数据包中实际传输的数据内容。例如,在HTTP请求中,有效载荷可能是请求的网页内容。

  • 尾部(Footer,也称Trailer)
    有时数据包的末尾还会包含一些用于校验的额外信息,如帧校验序列(Frame Check Sequence, FCS),用于检测数据传输过程中是否发生了错误。

3.数据包在不同网络层中的表现

  • 物理层:
    数据以比特或电信号的形式传输,通过物理介质(如电缆、光纤、无线电波)传播。

  • 数据链路层:
    数据包在这一层表现为帧(Frame),例如以太网帧。头部一般包含源和目的MAC地址以及帧类型等信息。

  • 网络层:
    在这一层,数据包被称为数据报(Datagram),例如IP数据报。头部信息包括源和目的IP地址、数据包长度、分片信息等。

  • 传输层:
    数据包在这一层被称为段(Segment)或数据报(Datagram),分别用于TCP和UDP协议。头部信息包括源和目的端口号、序列号、确认号、校验和等。

  • 应用层:
    数据包在这一层通常为应用数据单元(Application Data Unit),例如HTTP请求或响应。

4.数据包的传输过程

  • 封装:
    数据在应用层生成,逐层向下传递,每一层都会添加相应的头部信息,形成数据包。

  • 传输:
    数据包通过物理介质传输,经过网络设备(如路由器、交换机)时,可能会被转发、路由或过滤。

  • 解封装:
    数据包到达目标地址后,逐层向上传递,每一层都会剥离相应的头部信息,还原为原始数据。

5.数据包的示例

  • 应用层:HTTP GET 请求
GET /index.html HTTP/1.1     ##请求方法  uri  协议版本
Host: www.example.com        ##指定请求的目标主机和端口,通常是域名
  • 传输层(TCP段)
TCP Header:   ##TCP 头部包含了控制和管理 TCP 连接的信息,它位于 IP 数据包的负载部分
- Source Port: 12345         ##源端口号,标识发送数据包的应用程序端口
- Destination Port: 80       ##目的端口号,标识接收数据包的应用程序端口
- Sequence Number: 1         ##序列号,用于标识数据包的顺序,确保数据可以按序重组。对于第一个数据包,通常是一个初始序列号(ISN)
- Ack Number: 1              ##确认号,用于确认收到的数据包的序列号。只有在 ACK 标志设置时,此字段才有效。
- Flags: SYN, ACK            ##用于控制 TCP 连接的状态和数据传输,一共有9个
- Window Size: 4096          ##用于流量控制,指示接收方可接受的最大数据量(以字节为单位)。
- Checksum: 0x1A2B           ##校验和,用于校验数据包在传输过程中是否损坏,包括头部和数据的校验

Payload: HTTP GET Request     ##在 TCP 数据包中传输的实际应用数据。此处是一个http请求

##补充:
Flags 标志位

URG(紧急指针有效):指示紧急指针字段有效。
ACK(确认号有效):指示确认号字段有效。
PSH(推送):指示接收方应用程序应立即处理该数据包。
RST(重置):用于重置连接。
SYN(同步):用于建立连接。
FIN(结束):用于关闭连接。
ECE(ECN-Echo):用于显式拥塞通知(ECN)。
CWR(Congestion Window Reduced):用于显式通知已减少的拥塞窗口。
NS(Nonce Sum):用于增强的安全性。

  • 网络层(IP数据报):
IP Header:      ##IP头部是 IP 数据包的第一个部分,包含用于路由和传送数据的控制信息。IPv4 和 IPv6 是两种常见的 IP 协议版本
- Version: 4     ##版本(Version),IP 协议的版本号,对于 IPv4,该值为 4
- Header Length: 20 bytes  ##头部长度,IP 头部的长度,以 32 位字(4 字节)为单位。最小值为 5(即 20 字节),最大值为 15(即 60 字节)
- Total Length: 60 bytes     ##总长度,整个 IP 数据包的长度,包括头部和数据,以字节为单位。
- Time to Live: 5  ##指定数据包在网络中的最大生存时间。每经过一个路由器,该值会减少 1。当 TTL 值减到 0 时,数据包会被丢弃,而不会继续在网络中传输。
- Protocol: TCP      ## 协议,承载的上层协议,如 TCP(值为 6)或 UDP(值为 17)
- Source Address: 192.xx.xx.xx  ##源IP 地址,发送数据包的源 IP 地址
- Destination Address: 95.xx.xx.xx   ##目的 IP 地址,接收数据包的目的 IP 地址

Payload: TCP Segment  ##发送方将大块数据分段为适合传输的小块,每一块成为一个 TCP 段
  • 数据链路层(以太网帧)
Ethernet Header:   ##
- Destination MAC: 00:11:22:33:44:55  ##目标MAC地址,帧的接收方MAC地址
- Source MAC: 66:77:88:99:AA:BB   ##源MAC地址,帧的发送方MAC地址
- EtherType/Length: 0x0800    ##类型字段,如果值大于等于 0x0600(1536),表示帧的类型(0x0800 表示 IPv4 | 0x0806 表示 ARP  | 0x86DD 表示 IPv6;如果值小于 0x0600,表示数据字段的长度,这是 IEEE 802.3 帧格式中的用法)

Payload: IP Datagram

6.TCP 段的传输过程

  • 连接建立:
    使用三次握手(Three-way Handshake)过程建立 TCP 连接。
    三个步骤:SYN(同步)→ SYN-ACK(同步确认)→ ACK(确认)。

  • 数据传输:
    分段:应用层数据被分成多个 TCP 段。
    发送:通过网络将段传输给接收方。
    确认:接收方对每个段发送 ACK 确认。

  • 连接终止:
    使用四次挥手(Four-way Handshake)终止 TCP 连接。
    包括四个步骤:FIN(终止)→ ACK(确认)→ FIN(终止)→ ACK(确认)

四、tcpdump的常用选项

1.选项

  • 选项
--i <interface>:指定要抓包的网络接口。例如,-i eth0。

-w <file>:将抓取的数据包保存到文件中。例如,-w capture.pcap。

-r <file>:读取并分析保存的抓包文件。例如,-r capture.pcap。

-c <count>:指定捕获的数据包数量。例如,-c 100 只抓取 100 个数据包。

-s <snaplen>:设置捕获数据包的最大字节数。例如,-s 128 只抓取每个数据包的前 128 字节。

-v、-vv、-vvv:增加详细输出的级别。

-A:以 ASCII 格式显示数据包内容。

-X:同时以十六进制和 ASCII 格式显示数据包内容。

-n:不将地址解析为主机名(禁用 DNS 解析)。

-nn:不将端口号解析为服务名。

-tttt:打印时间戳详细格式。
  • 表达式
    表达式用于过滤数据包,以便只捕获所关心的数据包类型。表达式可以包括一个或多个条件,条件可以使用逻辑运算符进行组合。
host <host>:过滤与指定主机相关的流量。例如,host 192.168.1.1。

net <network>:过滤与指定网络相关的流量。例如,net 192.168.1.0/24。

port <port>:过滤与指定端口相关的流量。例如,port 80。

tcp、udp、icmp:过滤指定协议的流量。

src、dst:过滤源或目标。例如,src 192.168.1.1 或 dst 192.168.1.1。

逻辑运算符:可以使用 and、or 和 not 来组合条件。例如,tcp and port 80

3.tcpdump的基本用法:

  • 指定网络接口:
tcpdump -i <interface>

#捕获 eth0 接口的数据包
tcpdump -i eth0
  • 捕获数量:
tcpdump -c <count>

#捕获 10 个数据包:
tcpdump -c 10
  • 保存到文件:
tcpdump -w <filename>

#将捕获的数据包保存到 capture.pcap 文件:
tcpdump -w capture.pcap
  • 从文件读取:
tcpdump -r <filename>

#从 capture.pcap 文件读取数据包:
tcpdump -r capture.pcap
  • 过滤表达式:
tcpdump <expression>

#捕获来自特定 IP 地址的数据包:
tcpdump src xx.xx.xx.xx
  • 详细输出:
tcpdump -v      # 提供详细信息

tcpdump -vv     # 提供更详细的信息

tcpdump -vvv    # 提供最详细的信息

4.tcpdump的高级用法

1)逻辑操作符(AND、OR、NOT)

  • 捕获源地址为 xx.xx.xx.xx 且目标端口为 80 的数据包:
tcpdump src xx.xx.xx.xx and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:21:16.112245 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [S], seq 2552390436, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
20:21:16.114159 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 1323695319, win 31, length 0
20:21:16.114193 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [P.], seq 0:75, ack 1, win 31, length 75: HTTP: GET / HTTP/1.1
20:21:16.116243 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 2921, win 31, length 0
20:21:16.116259 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 7301, win 29, length 0
20:21:16.116281 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 10221, win 30, length 0
20:21:16.116284 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 11572, win 30, length 0
20:21:16.121233 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [F.], seq 75, ack 11572, win 31, length 0
20:21:16.123125 IP 10.xx.xx.xx.30346 > ubuntu-8-xx.http: Flags [.], ack 11573, win 31, length 0

  • 捕获源地址为 xx.xx.xx.xx 或目标端口为 8080 的数据包:
tcpdump src xx.xx.xx.xx or dst port 8080
  • 捕获所有非 udp 的数据包:
tcpdump not udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:16:59.986437 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 1527365653:1527365841, ack 3439942592, win 31, length 188
20:16:59.986764 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 188:368, ack 1, win 31, length 180
20:16:59.986815 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 368:524, ack 1, win 31, length 156
20:16:59.986848 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 524:680, ack 1, win 31, length 156
20:16:59.986876 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 680:836, ack 1, win 31, length 156
20:16:59.986902 IP www.test01.com.ssh > seg-admin-xx-xx.17140: Flags [P.], seq 836:992, ack 1, win 31, length 156


2)协议类型和端口范围

  • 捕获所有 TCP 和 UDP 数据包:
tcpdump tcp or udp
  • 捕获目标端口在 100 到 500 之间的数据包:
tcpdump dst portrange 100-500

3)特定网络和子网

  • 捕获源地址在 10.10.0.1/24 子网中的数据包
tcpdump src net 10.10.0.1/24

4)数据包长度限制

  • 捕获前 100 字节的数据包,以使用 -s(snaplen)选项来限制捕获的数据包的最大长度,这有助于减少捕获文件的大小
tcpdump -s 100

五、tcpdump示例和解析

1.抓取指定主机到指定网口的tcp包

1)命令和输出

oot@xxx:~# tcpdump -i eth0 tcp and host  10.xx.xx.xx
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:46:22.748962 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [S], seq 303897082, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
21:46:22.751006 IP ubuntu-8-136.8140 > www.test01.com.57036: Flags [S.], seq 1574485005, ack 303897083, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
21:46:22.751121 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [.], ack 1, win 31, length 0
21:46:22.751736 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [P.], seq 1:225, ack 1, win 31, length 224
21:46:22.753667 IP ubuntu-8-136.8140 > www.test01.com.57036: Flags [F.], seq 1:189, ack 225, win 237, length 188
21:46:22.753778 IP www.test01.com.57036 > ubuntu-8-136.8140: Flags [R.], seq 225, ack 190, win 31, length 0
21:46:26.879108 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [S], seq 1927937680, win 29200, options [mss 1460,sackOK,TS val 471337684 ecr 0,nop,wscale 7], length 0
21:46:26.879165 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [S.], seq 3316735515, ack 1927937681, win 62780, options [mss 1460,nop,nop,sackOK,nop,wscale 11], length 0
21:46:26.880957 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [.], ack 1, win 229, length 0
21:46:30.052234 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [P.], seq 1:7, ack 1, win 229, length 6
21:46:30.052265 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [.], ack 7, win 31, length 0
21:46:31.771616 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [F.], seq 7, ack 1, win 229, length 0
21:46:31.777194 IP www.test01.com.microsoft-ds > ubuntu-8-136.50216: Flags [F.], seq 1, ack 8, win 31, length 0
21:46:31.779066 IP ubuntu-8-136.50216 > www.test01.com.microsoft-ds: Flags [.], ack 2, win 229, length 0
### 2)主要字段解释
- 时间戳:
```bash
21:46:22.748962:每行的开头是时间戳,表示捕获的数据包的时间
  • 协议类型:
IP:协议类型,显示数据包使用的协议(其他常见的协议类型包括 IP、 ARP、ICMP 等)。
  • 源地址和目标地址:
www.test01.com.57036 表示源 主机名或ip 和源端口(57036)
ubuntu-8-136.8140 表示源 主机名或ip 和目标端口(8140)
  • TCP 标志位:
Flags [S]  ##表示这是一个 SYN 包(用于连接请求)。
Flags [S.]  ##表示 SYN-ACK 包(表示确认连接请求)。
Flags [.]  ## 表示 ACK 包(表示确认已收到数据)。

###
SYN(同步,Synchronize)
标志位:S
用于初始化连接,标志这是一个连接请求。通常在三次握手的第一个数据包中设置。
如果一个数据包的 SYN 标志被设置,那么它也很可能会携带一个初始序列号。

ACK(确认,Acknowledgment)
标志位:A
表示确认前一个包已经接收,包含确认号。这个标志在三次握手的第一个数据包之后的所有数据包中都会设置。

FIN(终止,Finish)
标志位:F
用于释放连接,表示发送方已经完成发送数据。通常在四次挥手中的第一个和第三个数据包中设置。

RST(重置,Reset)
标志位:R
表示连接出现错误,需要立即终止。重置连接时设置这个标志,通常用于异常或错误的情况下。

PSH(推送,Push)
标志位:P
表示数据应该立即发送给应用程序,而不是在缓冲区中等待。它告知接收方接收数据后立即处理。

URG(紧急,Urgent)
标志位:U
表示数据包含紧急指针,紧急数据应该优先处理。紧急指针字段指出要优先处理的数据偏移量。

ECE(ECN-Echo,显式拥塞通知回显)
标志位:E
用于支持显式拥塞通知(ECN)。当接收到带有 CE 标志的数据包时,接收方在发送的确认包中设置 ECE 标志。

CWR(Congestion Window Reduced,拥塞窗口减少)
标志位:C
发送方在收到带有 ECE 标志的确认包后,发送带有 CWR 标志的包,表示它已经降低了发送速率以应对拥塞。
  • 序列号:
seq 1574485005  ##表示序列号
ack 303897083   ##表示确认号
  • 窗口大小:
win 31  ##TCP  窗口大小。
  • 选项
options [mss 1460,nop,nop,sackOK,nop,wscale 11]   ##TCP 选项,包括最大段大小(MSS)、.nop 选项用于填充,使得TCP选项部分的长度对齐到4字节边界,nop 是 No Operation 的缩写,表示不执行任何操作,只是一个占位符、选择性确认(SACK)、时间戳(TS)和窗口缩放(wscale)

  • 数据长度:
length 188:数据包数据部分的长度(字节)。

你可能感兴趣的:(Linux,系统运维,运维,linux,tcpdump)