tcpdump详解
�f��在的,��於 tcpdump �@����w�碚f,你甚至可以�f�@����w其��就是���客��w, 因�樗�不但可以分析封包的流向,�B封包的�热菀部梢赃M行『�O�』, 如果你使用的�鬏��Y料是明�a的�,不得了,在 router 上面就可能被人家�O�走了! 很可怕�龋∷�以,我��也要�聿t解一下�@����w啊!(�]:�@�� tcpdump 必�使用 root 的身份�绦�)
[root@linux ~]# tcpdump [-nn] [-i 介面] [-w �Υ�n名] [-c 次��] [-Ae]
[-qX] [-r �n案] [所欲�X取的�Y料�热�]
��担�
-nn:直接以 IP 及 port number �@示,而非主�C名�c服�彰��Q
-i :後面接要『�O�』的�W路介面,例如 eth0, lo, ppp0 等等的介面;
-w :如果你要�⒈O�所得的封包�Y料�Υ嫦�恚�用�@����稻�α耍♂崦娼�n名
-c :�O�的封包�担�如果�]有�@����担� tcpdump ��持�m不�嗟谋O�,
直到使用者�入 [ctrl]-c �橹埂�
-A :封包的�热菀� ASCII �@示,通常用�碜饺� WWW 的�W�封包�Y料。
-e :使用�Y料�B接�� (OSI 第二��) 的 MAC 封包�Y料�盹@示;
-q :�H列出�^�楹�短的封包�Y�,每一行的�热荼容^精�
-X :可以列出十六�M位 (hex) 以及 ASCII 的封包�热荩���於�O�封包�热莺苡杏�
-r :�尼崦娼拥�n案�⒎獍��Y料�x出�怼D��『�n案』是已�存在的�n案,
�K且�@��『�n案』是由 -w 所�u作出�淼摹�
所欲�X取的�Y料�热荩何��可以�iT��δ承┩ㄓ��f定或者是 IP �碓催M行封包�X取,
那就可以�化�出的�Y果,�K取得最有用的�Y�。常�的表示方法有:
'host foo', 'host 127.0.0.1' :���尾恐�C�磉M行封包�X取
'net 192.168' :��δ���W域�磉M行封包的�X取;
'src host 127.0.0.1' 'dst net 192.168':同�r加上�碓�(src)或目��(dst)限制
'tcp port 21':�可以��νㄓ��f定��y,如 tcp, udp, arp, ether 等
�可以利用 and �c or �磉M行封包�Y料的整合�@示呢!
�例一:以 IP �c port number 捉下 eth0 �@���W路卡上的封包,持�m 3 秒
[root@linux ~]# tcpdump -i eth0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 9648
01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648
<==按下 [ctrl]-c 之後�Y束
6680 packets captured <==捉下�淼姆獍��盗�
14250 packets received by filter <==由�^�V所得的�封包�盗�
7512 packets dropped by kernel <==被核心所�G��的封包
如果你是第一次看 tcpdump 的 man page �r,肯定一���^���大,因�� tcpdump �缀醵际欠治龇獍�的表�^�Y料,使用者如果�]有�易的�W路封包基�A,要看懂粉�y�龋� 所以,至少您得要回到�W路基�A�e面去�� TCP 封包的表�^�Y料理解理解才好啊! ^_^!至於那���例一所�a生的�出�例中,我��可以�s略�^分�����谖唬� 我��以�例一��中那��特殊字�w行�碚f明一下:
•01:33:40.41:�@��是此封包被�X取的�r�g,『�r:分:秒』的�挝唬�
•IP:透�^的通��f定是 IP ;
•192.168.1.100.22 > :�魉投耸� 192.168.1.100 �@�� IP,而�魉偷� port number �� 22,您必�要�t解的是,那��大於 (>) 的符�指的是封包的�鬏�方向喔!
•192.168.1.11.1190:接收端的 IP 是 192.168.1.11, 且�主�C�_�� port 1190 �斫邮眨�
•P 116:232(116):�@��封包�в� PUSH 的�Y料�鬏��苏I, 且�鬏�的�Y料�檎��w�Y料的 116~232 byte,所以�@��封包�в� 116 bytes 的�Y料量;
•ack 1 win 9648:ACK�c Window size 的相�P�Y料。
最��蔚恼f法,就是�封包是由 192.168.1.100 �鞯� 192.168.1.11,透�^的 port 是由 22 到 1190 , 且�в� 116 bytes 的�Y料量,使用的是 PUSH 的旗�耍�而不是 SYN 之�的主�舆B��苏I。 呵呵!不容易看的懂吧!所以�f,上�^才�v��毡氐� TCP 表�^�Y料的部分去瞧一瞧的啊!
再�恚�一���W路��B很忙的主�C上面,你想要取得某部主�C�δ氵B�的封包�Y料而已�r, 使用 tcpdump 配合管�命令�c正�表示法也可以,不�^,��竟不好捉取! 我��可以透�^ tcpdump 的表示法功能,就能�蜉p易的�⑺�需要的�Y料��立的取出�怼� 在上面的�例一��中,我���H��� eth0 做�O�,所以整�� eth0 介面上面的�Y料都��被�@示到�幕上, 不好分析啊!那�N我��可以�化�幔坷�如只取出 port 21 的�B�封包,可以�@�幼觯�
[root@linux ~]# tcpdump -i eth0 -nn port 21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 1 win 65535
01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240: P 1:21(20) ack 1 win 5840
01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 21 win 65515
01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21: P 1:17(16) ack 21 win 65515
01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840
01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840
瞧!�@�泳�H提出 port 21 的�Y�而已,且仔�看的�,你���l�F封包的�鬟f都是�p向的, client 端�l出『要求』而 server 端�t予以『回��』,所以,��然是有去有回啊! 而我��也就可以��^�@��封包的流向�聿t解到封包�\作的�^程。 �e例�碚f:
1.我��先在一���K端�C�窗�入『 tcpdump -i lo -nn 』 的�O�,
2.再另�_一���K端�C�窗��Ρ�C (127.0.0.1) 登入『ssh localhost』
那�N�出的�Y果��是如何?
[root@linux ~]# tcpdump -i lo -nn
1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
2 listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: S 933696132:933696132(0)
win 32767 <mss 16396,sackOK,timestamp 236681316 0,nop,wscale 2>
4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 920046702:920046702(0)
ack 933696133 win 32767 <mss 16396,sackOK,timestamp 236681316 236681316,nop,
wscale 2>
5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 1 win 8192 <nop,
nop,timestamp 236681316 236681316>
6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 1 win 8192
<nop,nop,timestamp 236681334 236681316>
7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 <nop,
nop,timestamp 236681334 236681334>
上表�@示的�^�尚惺� tcpdump 的基本�f明,然後:
•第 3 行�@示的是『�碜� client 端,�в� SYN 主�舆B�的封包』,
•第 4 行�@示的是『�碜� server 端,除了回�� client 端之外(ACK),��в� SYN 主�舆B�的�苏I;
•第 5 行�t�@示 client 端回�� server �_定�B�建立 (ACK)
•第 6 行以後�t�_始�M入�Y料�鬏�的步�E。
�牡� 3-5 行的流程�砜矗�熟不熟悉啊?�]�e!那就是 三向交握 的基�A流程啦!�蛴腥ぐ桑� 不�^ tcpdump 之所以被�Q�轳�客��w之一可不止上�^介�B的功能�龋� 上面介�B的功能可以用�碜�槲��主�C的封包�B��c�鬏�的流程分析, �@�⒂兄�於我���t解到封包的�\作,同�r�t解到主�C的防火���O定��t是否有需要修�的地方。
更神奇的使用要�砝玻∪绻�我��使用 tcpdump 在 router 上面�O�『明�a』的�鬏��Y料�r, 例如 FTP �鬏��f定,你�X得���l生什�N���}呢? 我��先在主�C端下�_『 tcpdump -i lo port 21 -nn -X 』然後再以 ftp 登入本�C,�K�入�ぬ��c密�a, �Y果你就可以�l�F如下的��r:
[root@linux ~]# tcpdump -i lo -nn -X 'port 21'
0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@.......
0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!I.\.%
0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<.........g
0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd.
0x0040: 322e 302e 3129 0d0a 2.0.1)..
0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@[email protected]....
0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d .........\.%.U!]
0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5.........7
0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai.
0x0040: 0a .
0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O@[email protected]....
0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f .........\.2.U!.
0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........2'
0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw
0x0040: 6f72 6469 7379 6f75 0d0a ordisyou..
上面的�出�Y果已�被�化�^了,你必�要自行在你的�出�Y果��中搜�は嚓P的字串才行。 �纳厦孑�出�Y果的特殊字�w中,我��可以�l�F『� FTP ��w使用的是 vsftpd ,�K且使用者�入 dmtsai �@���ぬ�名�Q,且密�a是 mypasswordisyou』 嘿嘿!你�f可不可怕啊!如果使用的是明�a的方式��鬏�你的�W路�Y料? 所以我��才常常在�v啊,�W路是很不安全低!
另外你得�t解,�榱俗��W路介面可以� tcpdump �O�,所以�绦� tcpdump �r�W路介面����釉� 『�e�y模式 (promiscuous)』,所以你��在 /var/log/messages �e面看到很多的警告�息, 通知你�f你的�W路卡被�O定成�殄e�y模式!�e��心,那是正常的。 至於更多的��用,��⒖� man tcpdump �樱�
例�}:如何使用 tcpdump �O� (1)�碜� eth0 介面卡且 (2)通��f定�� port 22 ,(3)目��碓�� 192.168.1.100 的封包�Y料?
答:
tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.100'
--------------------------------------------------------------------------------
ethereal
除了 tcpdump �@����w之外,其��你�可以使用 ethereal �@��好用的�W路流量分析��w�龋� ethereal 分�槲淖纸槊媾c�D形介面,文字介面的用法�c tcpdump 相��的�似,不�^他的指令名�Q�� tethereal 就是了。因�橛梅ú畈欢啵�所以建�h您直接使用 man tethereal 查�吧! 在 CentOS 上原本就有 ethereal 了,所以�拿出光碟�戆惭b即可喔! 需要安�b ethereal �c ethereal-gnome 才行�龋�
��拥姆椒ê芎��危�你必�要在 X Window 底下,先�_�⒁���K端�C,然後直接�入 ethereal 後, 就��出�F如下的��面了:
�D五、ethereal 使用�例�D
��蔚淖鞣ǎ�你可以�c�x如上�D�@示的那��按�o,��出�F挑�x�O�的介面�窗,如下所示:
�D六、ethereal 使用�例�D
你����x�褚��O�的介面,在�@�e因�槭�y�用的,所以�B哥使用的是 lo �@���炔拷槊妫� 你��然���要�x�衲阕约旱木W路介面才是。然後按下 start 後,就��出�F�_始��y的��面了:
�D七、ethereal 使用�例�D
在�@����面��中你可以看到很多�型的封包�f定,在等你�理完��後,就可以按下『stop』�Y束�O�, 而�_始�M入如下的封包分析��面。
�D八、ethereal 使用�例�D
封包分析��面共分�槿�大�^�K,如上�D所示,第一�^�K主要�@示的是封包的�祟^�Y料, �热菥陀悬c�似 tcpdump 的�@示�Y果,第二�^�K�t是��的表�^�Y料, 包括�框的�热荨⑼ㄓ��f定的�热菀约� socket pair 等等�Y�。 第三�^�K�t是 16 �M位�c ASCII �a的�@示�Y果。透�^�@�� ethereal 您就可以一口�獾玫剿�需要的所有封包�热堇玻� 而且�是�D形介面的,很方便吧!透�^在第一�^�K�x�癫煌�的封包,就能�虿殚�每��封包的�Y料�热�樱�
--------------------------------------------------------------------------------
nc, netcat
�@�� nc 可以用�碜�槟承┓��盏�z�y,因�樗�可以�B接到某�� port �磉M行�贤ǎ� 此外,�可以自行��右�� port ��A�其他用�舻倪B��龋》浅5牟诲e用! 如果在��g的�r候�o予『GAPING_SECURITY_HOLE』��档脑�,嘿嘿! �@����w�可以用�砣〉糜�舳说� bash 哩!可怕吧!我��的 CentOS 比�^人性化,�K�]有�o予上面的��担�所以我��不能�蛴�碜�轳�客��w~ 但是用�砣〈� telnet 也是��很棒的功能了!(有的系�y��绦�n改名�� netcat 啦!)
[root@linux ~]# nc [IP|host] [port]
[root@linux ~]# nc -l -p [port]
��担�
-l :作�楸O�之用,亦即�_�⒁�� port �肀O�用�舻倪B�;
-p :�_�⒌倪@�� port number
�例一:�B接本地端的 port 25 查�相�P�息
[root@linux ~]# nc localhost 25
localhost.localdomain [127.0.0.1] 25 (smtp) open
220 pc.dm.tsai ESMTP Postfix
ehlo localhost
250-pc.dm.tsai
250-PIPELINING
250-SIZE 40000000
250-ETRN
quit
221 Bye
�@��最��蔚墓δ芘c telnet �缀跻�影桑】梢匀�z查某��服�绽玻〔贿^,更神奇的在後面, 我��可以建立����B���饔�喔!�e��例子�碚f,我��先在 client 端的地方��右�� port �磉M行�A�:
�例二:��右�� port �肀O�使用者的�B�要求
[root@linux ~]# nc -l -p 20000
# ��右�� port 20000 在主�C上,如果此�r使用 netstat -tlnp
# 就可以看到系�y上多出�硪�� port 20000 在�A�使用者的�B�喔!
然後在主�C端的地方,也利用 nc �磉B�到用�舳耍��K且�入一些指令看看喔!
[root@linux ~]# nc localhost 20000
<==�@�e可以�_始�入字串了!
此�r,在主�C端我��可以打入一些字,你���l�F在 client 端��同�r出�F你�入的字眼�龋� 如果你同�r�o予一些�~外的��担�例如利用��瘦�入�c�出 (stdout, stdin) 的�, 那�N就可以透�^�@���B��碜骱芏嗍虑榱耍� ��然 nc 的功能不只如此,你�可以�l�F很多的用途喔! �自行到您主�C�鹊� /usr/share/doc/nc-1.10/scripts 目�下看看�@些 script ,有�椭�的�龋� 不�^,如果你需要�~外的��g出含有 GAPING_SECURITY_HOLE 功能, 以使�啥�
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/yeqihong/archive/2007/01/08/1477050.aspx