超级详细Tcpdump 的用法
1、抓取回环网口的包:tcpdump -i lo
2、防止包截断:tcpdump -s0
3、以数字显示主机及端口:tcpdump -n
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口 网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&;或运算 是'or' ,'||';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,
使用-c参数指定要监听的数据包数量,
使用-w参数指定将监听到的数据包写入文件中保存
A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123
F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
#tcpdump -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包:
#tcpdump -i eth0 dst host hostname
H 我们还可以监视通过指定网关的数据包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)
L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'o
r' ,'||';
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump �Ci eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump �Ci eth0 host hostname and src port 80 源端口是80 一般是提供http的服务的主机
如果条件很多的话 要在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混杂模式 系统的日志将会记录
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参 数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
# tcpdump -i eth1 src host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576
表明在00:02:03点的时候,211.167.237.199通过ssh源端口连接到221.216.165.189的1467端口
#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576
截获所有由eth0进入、源地址(src)为192.168.0.5的主机(host),并且(and)目标(dst)端口(port)为80的数据包
观看网卡传送、接收数据包的状态
$ netstat -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 0 14639 0 0 0 5705 119 0 0 BMRU
Iface: 网卡
RX-OK RX-ERR RX-DRP RX-OVR : 网卡正确接收数据包的数量以及发生错误、流失、碰撞的总数
TX-OK TX-ERR TX-DRP TX-OVR : 网卡正确发送数据包的数量以及发生错误、流失、碰撞的总数
[root@linux ~]# tcpdump [-nn] [-i 介面] [-w �Υ�n名] [-c 次��] [-Ae] [-qX] [-r �n案] [所欲�X取的�Y料�热�]��担� -nn:直接以 IP 及 port number �@示,而非主�C名�c服�彰��Q -i :後面接要『�O�』的�W路介面,例如 eth0, lo, ppp0 等等的介面; -w :如果你要�⒈O�所得的封包�Y料�Υ嫦�恚�用�@����稻�α耍♂崦娼�n名 -c :�O�的封包�担�如果�]有�@����担� tcpdump ��持�m不�嗟谋O�, 直到使用者�入 [ctrl]-c �橹埂� -A :封包的�热菀� ASCII �@示,通常用�碜饺� WWW 的�W�封包�Y料。 -e :使用�Y料�B接�� (OSI 第二��) 的 MAC 封包�Y料�盹@示; -q :�H列出�^�楹�短的封包�Y�,每一行的�热荼容^精� -X :可以列出十六�M位 (hex) 以及 ASCII 的封包�热荩���於�O�封包�热莺苡杏� -r :�尼崦娼拥�n案�⒎獍��Y料�x出�怼D��『�n案』是已�存在的�n案, �K且�@��『�n案』是由 -w 所�u作出�淼摹� 所欲�X取的�Y料�热荩何��可以�iT��δ承┩ㄓ��f定或者是 IP �碓催M行封包�X取, 那就可以�化�出的�Y果,�K取得最有用的�Y�。常�的表示方法有: 'host foo', 'host 127.0.0.1' :���尾恐�C�磉M行封包�X取 'net 192.168' :��δ���W域�磉M行封包的�X取; 'src host 127.0.0.1' 'dst net 192.168':同�r加上�碓�(src)或目��(dst)限制 'tcp port 21':�可以��νㄓ��f定��y,如 tcp, udp, arp, ether 等 �可以利用 and �c or �磉M行封包�Y料的整合�@示呢!�例一:以 IP �c port number 捉下 eth0 �@���W路卡上的封包,持�m 3 秒[root@linux ~]# tcpdump -i eth0 -nntcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 964801:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648<==按下 [ctrl]-c 之後�Y束6680 packets captured <==捉下�淼姆獍��盗�14250 packets received by filter <==由�^�V所得的�封包�盗�7512 packets dropped by kernel <==被核心所�G��的封包 |
如果你是第一次看 tcpdump 的 man page �r,肯定一���^���大,因�� tcpdump �缀醵际欠治龇獍�的表�^�Y料,使用者如果�]有�易的�W路封包基�A,要看懂粉�y�龋� 所以,至少您得要回到�W路基�A�e面去�� TCP 封包的表�^�Y料理解理解才好啊! ^_^!至於那���例一所�a生的�出�例中,我��可以�s略�^分�����谖唬� 我��以�例一��中那��特殊字�w行�碚f明一下:
01:33:40.41:�@��是此封包被�X取的�r�g,『�r:分:秒』的�挝唬�
IP:透�^的通��f定是 IP ;
192.168.1.100.22 > :�魉投耸� 192.168.1.100 �@�� IP,而�魉偷� port number �� 22,您必�要�t解的是,那��大於 (>) 的符�指的是封包的�鬏�方向喔!
192.168.1.11.1190:接收端的 IP 是 192.168.1.11, 且�主�C�_�� port 1190 �斫邮眨�
P 116:232(116):�@��封包�в� PUSH 的�Y料�鬏��苏I, 且�鬏�的�Y料�檎��w�Y料的 116~232 byte,所以�@��封包�в� 116 bytes 的�Y料量;
ack 1 win 9648:ACK�c Window size 的相�P�Y料。
最��蔚恼f法,就是�封包是由 192.168.1.100 �鞯� 192.168.1.11,透�^的 port 是由 22 到 1190 , 且�в� 116 bytes 的�Y料量,使用的是 PUSH 的旗�耍�而不是 SYN 之�的主�舆B��苏I。 呵呵!不容易看的懂吧!所以�f,上�^才�v��毡氐� TCP 表�^�Y料的部分去瞧一瞧的啊!
再 �恚�一���W路��B很忙的主�C上面,你想要取得某部主�C�δ氵B�的封包�Y料而已�r, 使用 tcpdump 配合管�命令�c正�表示法也可以,不�^,��竟不好捉取! 我��可以透�^ tcpdump 的表示法功能,就能�蜉p易的�⑺�需要的�Y料��立的取出�怼� 在上面的�例一��中,我���H��� eth0 做�O�,所以整�� eth0 介面上面的�Y料都��被�@示到�幕上, 不好分析啊!那�N我��可以�化�幔坷�如只取出 port 21 的�B�封包,可以�@�幼觯�
[root@linux ~]# tcpdump -i eth0 -nn port 21tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 1 win 65535 01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240: P 1:21(20) ack 1 win 5840 01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 21 win 65515 01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21: P 1:17(16) ack 21 win 65515 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840 |
瞧!�@�泳�H提出 port 21 的�Y�而已,且仔�看的�,你���l�F封包的�鬟f都是�p向的, client 端�l出『要求』而 server 端�t予以『回��』,所以,��然是有去有回啊! 而我��也就可以��^�@��封包的流向�聿t解到封包�\作的�^程。 �e例�碚f:
我��先在一���K端�C�窗�入『 tcpdump -i lo -nn 』 的�O�,
再另�_一���K端�C�窗��Ρ�C (127.0.0.1) 登入『ssh localhost』
那�N�出的�Y果��是如何?
[root@linux ~]# tcpdump -i lo -nn 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 2 listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes 3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: S 933696132:933696132(0) win 32767 <mss 16396,sackOK,timestamp 236681316 0,nop,wscale 2> 4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 920046702:920046702(0) ack 933696133 win 32767 <mss 16396,sackOK,timestamp 236681316 236681316,nop, wscale 2> 5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 1 win 8192 <nop, nop,timestamp 236681316 236681316> 6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 1 win 8192 <nop,nop,timestamp 236681334 236681316> 7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 <nop, nop,timestamp 236681334 236681334> |
上表�@示的�^�尚惺� tcpdump 的基本�f明,然後:
第 3 行�@示的是『�碜� client 端,�в� SYN 主�舆B�的封包』,
第 4 行�@示的是『�碜� server 端,除了回�� client 端之外(ACK),��в� SYN 主�舆B�的�苏I;
第 5 行�t�@示 client 端回�� server �_定�B�建立 (ACK)
第 6 行以後�t�_始�M入�Y料�鬏�的步�E。
�牡� 3-5 行的流程�砜矗�熟不熟悉啊?�]�e!那就是 三向交握 的基�A流程啦!�蛴腥ぐ桑� 不�^ tcpdump 之所以被�Q�轳�客��w之一可不止上�^介�B的功能�龋� 上面介�B的功能可以用�碜�槲��主�C的封包�B��c�鬏�的流程分析, �@�⒂兄�於我���t解到封包的�\作,同�r�t解到主�C的防火���O定��t是否有需要修�的地方。
更 神奇的使用要�砝玻∪绻�我��使用 tcpdump 在 router 上面�O�『明�a』的�鬏��Y料�r, 例如 FTP �鬏��f定,你�X得���l生什�N���}呢? 我��先在主�C端下�_『 tcpdump -i lo port 21 -nn -X 』然後再以 ftp 登入本�C,�K�入�ぬ��c密�a, �Y果你就可以�l�F如下的��r:
[root@linux ~]# tcpdump -i lo -nn -X 'port 21' 0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!I./.% 0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<.........g 0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd. 0x0040: 322e 302e 3129 0d0a 2.0.1).. 0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d ........./.%.U!] 0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5.........7 0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai. 0x0040: 0a . 0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O@[email protected].... 0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f ........./.2.U!. 0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........2' 0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw 0x0040: 6f72 6469 7379 6f75 0d0a ordisyou.. |
上面的�出�Y果已�被�化�^了,你必�要自行在你的�出�Y果��中搜�は嚓P的字串才行。 �纳厦孑�出�Y果的特殊字�w中,我��可以�l�F『� FTP ��w使用的是 vsftpd ,�K且使用者�入 dmtsai �@���ぬ�名�Q,且密�a是 mypasswordisyou』 嘿嘿!你�f可不可怕啊!如果使用的是明�a的方式��鬏�你的�W路�Y料? 所以我��才常常在�v啊,�W路是很不安全低!
另 外你得�t解,�榱俗��W路介面可以� tcpdump �O�,所以�绦� tcpdump �r�W路介面����釉� 『�e�y模式 (promiscuous)』,所以你��在 /var/log/messages �e面看到很多的警告�息, 通知你�f你的�W路卡被�O定成�殄e�y模式!�e��心,那是正常的。 至於更多的��用,��⒖� man tcpdump �樱�
| 例�}:如何使用 tcpdump �O� (1)�碜� eth0 介面卡且 (2)通��f定�� port 22 ,(3)目��碓�� 192.168.1.100 的封包�Y料? 答:
|
ethereal
除了 tcpdump �@����w之外,其��你�可以使用 ethereal �@��好用的�W路流量分析��w�龋� ethereal 分�槲淖纸槊媾c�D形介面,文字介面的用法�c tcpdump 相��的�似,不�^他的指令名�Q�� tethereal 就是了。因�橛梅ú畈欢啵�所以建�h您直接使用 man tethereal 查�吧! 在 CentOS 上原本就有 ethereal 了,所以�拿出光碟�戆惭b即可喔! 需要安�b ethereal �c ethereal-gnome 才行�龋�
��拥姆椒ê芎��危�你必�要在 X Window 底下,先�_�⒁���K端�C,然後直接�入 ethereal 後, 就��出�F如下的��面了:
�D五、ethereal 使用�例�D
��蔚淖鞣ǎ�你可以�c�x如上�D�@示的那��按�o,��出�F挑�x�O�的介面�窗,如下所示:
�D六、ethereal 使用�例�D
你����x�褚��O�的介面,在�@�e因�槭�y�用的,所以�B哥使用的是 lo �@���炔拷槊妫� 你��然���要�x�衲阕约旱木W路介面才是。然後按下 start 後,就��出�F�_始��y的��面了:
�D七、ethereal 使用�例�D
在�@����面��中你可以看到很多�型的封包�f定,在等你�理完��後,就可以按下『stop』�Y束�O�, 而�_始�M入如下的封包分析��面。
�D八、ethereal 使用�例�D
封 包分析��面共分�槿�大�^�K,如上�D所示,第一�^�K主要�@示的是封包的�祟^�Y料, �热菥陀悬c�似 tcpdump 的�@示�Y果,第二�^�K�t是��的表�^�Y料, 包括�框的�热荨⑼ㄓ��f定的�热菀约� socket pair 等等�Y�。 第三�^�K�t是 16 �M位�c ASCII �a的�@示�Y果。透�^�@�� ethereal 您就可以一口�獾玫剿�需要的所有封包�热堇玻� 而且�是�D形介面的,很方便吧!透�^在第一�^�K�x�癫煌�的封包,就能�虿殚�每��封包的�Y料�热�樱�
nc, netcat
�@�� nc 可以用�碜�槟承┓��盏�z�y,因�樗�可以�B接到某�� port �磉M行�贤ǎ� 此外,�可以自行��右�� port ��A�其他用�舻倪B��龋》浅5牟诲e用! 如果在��g的�r候�o予『GAPING_SECURITY_HOLE』��档脑�,嘿嘿! �@����w�可以用�砣〉糜�舳说� bash 哩!可怕吧!我��的 CentOS 比�^人性化,�K�]有�o予上面的��担�所以我��不能�蛴�碜�轳�客��w~ 但是用�砣〈� telnet 也是��很棒的功能了!(有的系�y��绦�n改名�� netcat 啦!)
[root@linux ~]# nc [IP|host] [port][root@linux ~]# nc -l -p [port]��担� -l :作�楸O�之用,亦即�_�⒁�� port �肀O�用�舻倪B�; -p :�_�⒌倪@�� port number�例一:�B接本地端的 port 25 查�相�P�息[root@linux ~]# nc localhost 25localhost.localdomain [127.0.0.1] 25 (smtp) open 220 pc.dm.tsai ESMTP Postfixehlo localhost250-pc.dm.tsai 250-PIPELINING 250-SIZE 40000000 250-ETRNquit221 Bye |
�@��最��蔚墓δ芘c telnet �缀跻�影桑】梢匀�z查某��服�绽玻〔贿^,更神奇的在後面, 我��可以建立����B���饔�喔!�e��例子�碚f,我��先在 client 端的地方��右�� port �磉M行�A�:
�例二:��右�� port �肀O�使用者的�B�要求[root@linux ~]# nc -l -p 20000# ��右�� port 20000 在主�C上,如果此�r使用 netstat -tlnp # 就可以看到系�y上多出�硪�� port 20000 在�A�使用者的�B�喔! |
然後在主�C端的地方,也利用 nc �磉B�到用�舳耍��K且�入一些指令看看喔!
[root@linux ~]# nc localhost 20000 <==�@�e可以�_始�入字串了! |
此�r,在主�C端我��可以打入一些字,你���l�F在 client 端��同�r出�F你�入的字眼�龋� 如果你同�r�o予一些�~外的��担�例如利用��瘦�入�c�出 (stdout, stdin) 的�, 那�N就可以透�^�@���B��碜骱芏嗍虑榱耍� ��然 nc 的功能不只如此,你�可以�l�F很多的用途喔! �自行到您主�C�鹊� /usr/share/doc/nc-1.10/scripts 目�下看看�@些 script ,有�椭�的�龋� 不�^,如果你需要�~外的��g出含有 GAPING_SECURITY_HOLE 功能, 以使�啥�
绿色通道:好文要顶关注我收藏该文与我联系