抓包工具tcpdump及分析工具wireshark
一、抓包工具tcpdump
tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。
tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
1.tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。
在表达式中一般如下几种类型的关键字:
第一种是关于类型的关键字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。
第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明 方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater, 还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&’;或运算是’or’ ,’||’; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。
实际操作:
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
2.监视指定的网络接口数据包:
tcpdump -i eth1
若不指定网络接口则默认会监视第一个网络接口,一般为eth0。
3.也可抓取指定数量的数据包:
抓取eth0网卡5个数据包如下
[root@hpf-linux ~]# tcpdump -c 5 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:07:13.076347 IP bogon.ssh > bogon.51363: Flags [P.], seq 4241485249:4241485365, ack 2060186985, win 321, length 116
20:07:13.078052 IP bogon.ssh > bogon.51363: Flags [P.], seq 116:232, ack 1, win 321, length 116
20:07:13.078319 IP bogon.51363 > bogon.ssh: Flags [.], ack 232, win 254, length 0
20:07:13.086005 ARP, Request who-has bogon tell bogon, length 28
20:07:13.087084 ARP, Reply bogon is-at d0:c7:c0:9f:92:3e (oui Unknown), length 46
5 packets captured
在默认情况下tcpdump会一直抓包,直到按‘Ctrl+C’停止,我们可以使用-c选项抓取指定数量的数据包。
4.上例中tcpdump会对域名和端口进行解析,若不想让其解析则使用如下命令:
[root@hpf-linux ~]# tcpdump -nn -c 5 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:21:55.904586 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 4241488513:4241488709, ack 2060189605, win 321, length 196
20:21:55.906627 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 196:376, ack 1, win 321, length 180
20:21:55.906929 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 376, win 252, length 0
20:21:55.908798 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 376:636, ack 1, win 321, length 260
20:21:55.911483 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 636:800, ack 1, win 321, length 164
5 packets captured
5.同时也可以在抓包时包含抓包日期:
[root@hpf-linux ~]# tcpdump -nn -tttt -c 5 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
2015-04-20 20:24:05.624340 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 4241490697:4241490893, ack 2060190717, win 321, length 196
2015-04-20 20:24:05.626165 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 196:392, ack 1, win 321, length 196
2015-04-20 20:24:05.626497 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 392, win 250, length 0
2015-04-20 20:24:05.627070 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 392:668, ack 1, win 321, length 276
2015-04-20 20:24:05.628562 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 668:832, ack 1, win 321, length 164
5 packets captured
在使用-tttt时应注意:
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
6.指定抓包的协议类型:
tcpdump支持指定以下协议:ip,ip6,arp,tcp,udp,wlan等。
[root@hpf-linux ~]# tcpdump -nn tcp -c 5 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:28:51.804033 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 4241496969:4241497165, ack 2060193653, win 321, length 196
20:28:51.805002 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 196:376, ack 1, win 321, length 180
20:28:51.805729 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 376, win 251, length 0
20:28:51.812823 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 376:636, ack 1, win 321, length 260
20:28:51.814461 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 636:800, ack 1, win 321, length 164
5 packets captured
7.指定抓包的端口:
[root@hpf-linux ~]# tcpdump -nn tcp -c 5 -i eth0 port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:30:31.359034 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 4241502953:4241503149, ack 2060196549, win 321, length 196
20:30:31.359953 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 196:376, ack 1, win 321, length 180
20:30:31.360207 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 376, win 252, length 0
20:30:31.361648 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 376:636, ack 1, win 321, length 260
20:30:31.363741 IP 192.168.1.132.22 > 192.168.1.100.51363: Flags [P.], seq 636:800, ack 1, win 321, length 164
5 packets captured
8.指定目标IP的数据包:
[root@hpf-linux ~]# tcpdump -nn -c 5 -i eth0 dst 192.168.1.132 and port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:11:34.383940 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 4241521353, win 255, length 0
21:11:34.593992 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 149, win 254, length 0
21:11:34.796001 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 297, win 254, length 0
21:11:35.000980 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 445, win 253, length 0
21:11:35.203034 IP 192.168.1.100.51363 > 192.168.1.132.22: Flags [.], ack 593, win 253, length 0
5 packets captured
9.可以将抓到的包写入文件中以及读取包文件:
[root@hpf-linux ~]# tcpdump -nn -c 5 -i eth0 tcp and port 22 -w /tmp/0420.pcap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
5 packets captured
5 packets received by filter
0 packets dropped by kernel
[root@hpf-linux ~]# tcpdump -r /tmp/0420.pcap
reading from file /tmp/0420.pcap, link-type EN10MB (Ethernet)
21:14:25.727939 IP bogon.ssh > bogon.51363: Flags [P.], seq 4241525737:4241525789, ack 2060214305, win 321, length 52
21:14:25.729555 IP bogon.ssh > bogon.51363: Flags [P.], seq 52:168, ack 1, win 321, length 116
21:14:25.729826 IP bogon.51363 > bogon.ssh: Flags [.], ack 168, win 255, length 0
21:14:34.206036 IP bogon.51363 > bogon.ssh: Flags [P.], seq 1:37, ack 168, win 255, length 36
21:14:34.246534 IP bogon.ssh > bogon.51363: Flags [.], ack 37, win 321, length 0
保存为.pcap后缀的文件,方便我们使用wireshark等工具读取分析。
10.综合举例:
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
二、wireshark的简介及使用:
在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
安装:yum install -y wireshark
常用命令:
显示访问http请求的域名以及uri
tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
注意:有时若无输出可能是需要指定网卡,具体使用如下:
tshark -i eth0 -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
2.以抓取mysql的查询
tshark -n -i eth1 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"
3.抓取指定类型的MySQL查询
tshark -n -i eth1 -R 'mysql matches "SELECT|INSERT|DELETE|UPDATE"' -T fields -e "ip.src" -e "mysql.query"
4.统计http的状态
tshark -n -q -z http,stat, -z http,tree
这个命令,直到你ctrl + c 才会显示出结果
5.实时打印当前http请求的url(包括域名)
tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包
-R 'http.host and http.request.uri' :过滤出http.host和http.request.uri
-T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
-l :输出到标准输出
6.实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
下面介绍参数含义:
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
-R 'mysql.query' :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句
以上只是简单的使用抓包工具的命令,若想深挖还需在今后的工作中继续学习!