Linux 命令- tcpdump

        tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。

        tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。

        有时候也许有这样的需求,想看一下某个网卡上都有哪些数据包,尤其是当初判定服务器上有流量攻击。这时使用tcpdump来抓一下数据包,就可以知道有哪些IP在攻击了。

        如果系统没有tcpdump这个命令需要用yum安装一下。

1
yum install -y tcpdump

命令格式

1
tcpdump [-nn] [-i 接口] [-w 存储档名] [-c 次数] [-Ae] [-qX] [-r 文件] [所欲捕获的数据内容]

命令参数

  • -A 以ASCII格式打印出所有分组,并将链路层的头最小化。
  • -c 在收到指定的数量的分组后,tcpdump就会停止。
  • -C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
  • -d 将匹配信息包的代码以人们能够理解的汇编格式给出。
  • -dd 将匹配信息包的代码以c语言程序段的格式给出。
  • -ddd 将匹配信息包的代码以十进制的形式给出。
  • -D 打印出系统中所有可以用tcpdump截包的网络接口。
  • -e 在输出行打印出数据链路层的头部信息。
  • -E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
  • -f 将外部的Internet地址以数字的形式打印出来。
  • -F 从指定的文件中读取表达式,忽略命令行中给出的表达式。
  • -i 指定监听的网络接口。
  • -l 使标准输出变为缓冲行形式,可以把数据导出到文件。
  • -L 列出网络接口的已知数据链路。
  • -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
  • -M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
  • -b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。
  • -n 不把网络地址转换成名字。
  • -nn 不进行端口名称的转换。
  • -N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
  • -t 在输出的每一行不打印时间戳。
  • -O 不运行分组分组匹配(packet-matching)代码优化程序。
  • -P 不将网络接口设置成混杂模式。
  • -q 快速输出。只输出较少的协议信息。
  • -r 从指定的文件中读取包(这些包一般通过-w选项产生)。
  • -S 将tcp的序列号以绝对值形式输出,而不是相对值。
  • -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
  • -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
  • -t 不在每一行中输出时间戳。
  • -tt 在每一行中输出非格式化的时间戳。
  • -ttt 输出本行和前面一行之间的时间差。
  • -tttt 在每一行中输出由date处理的默认格式的时间戳。
  • -u 输出未解码的NFS句柄。
  • -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
  • -vv 输出详细的报文信息。
  • -w 直接将分组写入文件中,而不是不分析并打印出来。

命令功能

        顾名思义,tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。他支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助去掉无用的信息。

tcpdump的表达式

        表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。

        在表达式中一般如下几种类型的关键字:

第一种是关于类型的关键字

        主要包括host、net、prot,例如host 210.27.48.2 ,指明210.27.48.2是一台主机,net202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23.如果没有指定类型,缺省的类型是host。

第二种是确定传输方向的关键字

        主要包括src、dst、dst or src、dst and src,这些关键字指明了传输的方向。

        举例说明,src 210.27.48.2,指明ip包中源地址是210.27.48.2,dst net 202.0.0.0指明目的网络地址是202.0.0.0.如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字

        主要包括fddi、ip、arp、rarp、tcp、udp等类型。fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是“ether”的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

        除了这三种类型的关键字之外,其他重要的关键字如下:gateway、breadcast、less、greater,还有三种逻辑运算,取非运算是‘not’ ‘!’,与运算是‘and’,‘&&’;或运算是‘or’,‘|……#124;’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

输出结果介绍

数据链路层头信息

        命令

1
tcpdump --e host localhost

        localhost 是一台linux主机。它的MAC地址是0:90:27:58:AF:1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一条命令的输出结果如下所示:

1
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)

        21:50:12是显示的时间, 847509是ID号,eth0 <表示从网络接口eth0接收该分组, eth0 >表示从网络接口设备发送分组, 8:0:20:79:5b:46是主机H219的MAC地址, 它表明是从源地址H219发来的分组. 0:90:27:58:af:1a是主机ICE的MAC地址, 表示该分组的目的地址是ICE。 ip 是表明该分组是IP分组,60 是分组的长度, h219.33357 > ICE. telnet 表明该分组是从主机H219的33357端口发往主机ICE的 TELNET(23)端口。 ack 22535 表明对序列号是222535的包进行响应。 win 8760表明发 送窗口的大小是8760。

ARP包的tcpdump输出信息

        命令

1
tcpdump arp

        输出结果

1
2
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)

        22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该分组,arp表明是ARP请求包, who-has route tell ICE表明是主机ICE请求主机route的MAC地址。 0:90:27:58:af:1a是主机 ICE的MAC地址。

TCP包的输出信息

        用tcpdump捕获的TCP包的一般输出信息是:

1
src > dst: flags data-seqno ack window urgent options

        src > dst:表明从源地址到目的地址, flags是TCP报文中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记); data-seqno是报文中的数据 的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明 报文中是否有紧急指针。 Options是选项。

UDP包的输出信息

        用tcpdump捕获的UDP包的一般输出信息是: 

1
route.port1 > ICE.port2: udp lenth

        UDP十分简单,上面的输出行表明从主机route的port1端口发出的一个UDP报文 到主机ICE的port2端口,类型是UDP, 包的长度是lenth。

使用实例

实例1:默认启动

        命令

1
tcpdump

        输出

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
[root@localhost ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:53:58.186853 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2571645771:2571645967, ack 2817097466, win 141, length 196
12:53:58.187498 IP 192.168.0.73.43721 > www.routerlogin.com.domain: 13011+ PTR? 100.0.168.192.in-addr.arpa. (44)
12:53:58.193280 IP www.routerlogin.com.domain > 192.168.0.73.43721: 13011 NXDomain* 0/1/0 (93)
12:53:58.193391 IP 192.168.0.73.54701 > www.routerlogin.com.domain: 55618+ PTR? 73.0.168.192.in-addr.arpa. (43)
12:53:58.198669 IP www.routerlogin.com.domain > 192.168.0.73.54701: 55618 NXDomain* 0/1/0 (92)
12:53:58.198775 IP 192.168.0.73.39373 > www.routerlogin.com.domain: 10426+ PTR? 1.0.168.192.in-addr.arpa. (42)
12:53:58.200468 IP www.routerlogin.com.domain > 192.168.0.73.39373: 10426- 1/0/0 PTR www.routerlogin.com. (75)
12:53:58.200515 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 196:376, ack 1, win 141, length 180
12:53:58.200595 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 376, win 256, length 0
12:53:58.208513 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 376:1276, ack 1, win 141, length 900
12:53:58.224403 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 1276:1440, ack 1, win 141, length 164
12:53:58.224597 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 1440, win 252, length 0
12:53:58.239996 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 1440:1700, ack 1, win 141, length 260
12:53:58.255361 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 1700:1864, ack 1, win 141, length 164
12:53:58.255508 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 1864, win 256, length 0
12:53:58.271142 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 1864:2124, ack 1, win 141, length 260
12:53:58.286589 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2124:2288, ack 1, win 141, length 164
12:53:58.286754 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 2288, win 254, length 0
12:53:58.286912 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2288:2548, ack 1, win 141, length 260
12:53:58.302161 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2548:2712, ack 1, win 141, length 164
12:53:58.302377 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 2712, win 253, length 0
12:53:58.302462 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2712:2972, ack 1, win 141, length 260
12:53:58.317893 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 2972:3136, ack 1, win 141, length 164
12:53:58.318078 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 3136, win 251, length 0
12:53:58.318149 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 3136:3300, ack 1, win 141, length 164
12:53:58.333352 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 3300:3560, ack 1, win 141, length 260
12:53:58.333507 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 3560, win 256, length 0
12:53:58.348907 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 3560:3820, ack 1, win 141, length 260
12:53:58.366358 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 3820:3984, ack 1, win 141, length 164
12:53:58.366514 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 3984, win 254, length 0
12:53:58.381239 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 3984:4244, ack 1, win 141, length 260
12:53:58.396759 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 4244:4408, ack 1, win 141, length 164
12:53:58.396965 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 4408, win 253, length 0
12:53:58.412465 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 4408:4668, ack 1, win 141, length 260
12:53:58.428078 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 4668:4832, ack 1, win 141, length 164
12:53:58.428276 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 4832, win 251, length 0
12:53:58.443786 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 4832:5092, ack 1, win 141, length 260
12:53:58.459211 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 5092:5256, ack 1, win 141, length 164
12:53:58.459444 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 5256, win 256, length 0
12:53:58.474768 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 5256:5516, ack 1, win 141, length 260
12:53:58.490445 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 5516:5680, ack 1, win 141, length 164
12:53:58.490611 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 5680, win 254, length 0
12:53:58.490693 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 5680:5940, ack 1, win 141, length 260
12:53:58.490904 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 5940:6104, ack 1, win 141, length 164
12:53:58.491013 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [.], ack 6104, win 253, length 0
12:53:58.506024 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 6104:6364, ack 1, win 141, length 260
12:53:58.516922 IP 192.168.0.100.49602 > 192.168.0.73.ssh: Flags [P.], seq 1:53, ack 6364, win 252, length 52
12:53:58.517035 IP 192.168.0.73.ssh > 192.168.0.100.49602: Flags [P.], seq 6364:6528, ack 53, win 141, length 164
^C
48 packets captured
51 packets received by filter
0 packets dropped by kernel

        说明

        普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包

实例2:监视指定网络接口的数据包

        命令

1
tcpdump -i eth1

        说明
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。

实例3:以IP与port number抓下eth0这个网卡上 使得数据包

        命令

1
tcpdump -i eth0 -nn

        输出

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@localhost ~]# tcpdump -nn -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:00:35.277585 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 2573734647:2573734843, ack 2817100566, win 141, length 196
13:00:35.277769 IP 192.168.0.100.49602 > 192.168.0.73.22: Flags [.], ack 196, win 252, length 0
13:00:35.292177 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 196:472, ack 1, win 141, length 276
13:00:35.307810 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 472:636, ack 1, win 141, length 164
13:00:35.308018 IP 192.168.0.100.49602 > 192.168.0.73.22: Flags [.], ack 636, win 251, length 0
13:00:35.338945 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 636:896, ack 1, win 141, length 260
13:00:35.340898 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 896:1060, ack 1, win 141, length 164
13:00:35.341088 IP 192.168.0.100.49602 > 192.168.0.73.22: Flags [.], ack 1060, win 256, length 0
13:00:35.356706 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 1060:1320, ack 1, win 141, length 260
13:00:35.356935 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 1320:1484, ack 1, win 141, length 164
13:00:35.357059 IP 192.168.0.100.49602 > 192.168.0.73.22: Flags [.], ack 1484, win 254, length 0
13:00:35.372128 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 1484:1744, ack 1, win 141, length 260
13:00:35.382482 IP 192.168.0.100.49602 > 192.168.0.73.22: Flags [P.], seq 1:53, ack 1744, win 253, length 52
13:00:35.382649 IP 192.168.0.73.22 > 192.168.0.100.49602: Flags [P.], seq 1744:2020, ack 53, win 141, length 276
^C
14 packets captured
14 packets received by filter
0 packets dropped by kernel

        说明
        第三列和第四列显示的信息为哪一个IP+port 在连接哪一个IP+port,后面的信息是该数据包的相关信息。这里需要关注的只是第三列以及第四列。-i选项后面跟设备名称,如果想抓其他网卡的包,后面则要跟其他网卡名。至于-nn选项是作用是让第三列和第四列西安市城IP+端口号的形式,如果不加-nn则显示的是主机名+服务名称。

实例4:截获所有210.27.48.1的主机收到的和发出的所有的数据

        命令

1
tcpdump host 210.27.48.1

实例5:截获主机210.24.48.1和主机210.24.48.2或210.27.48.3的通信

        命令

1
tcpdump host 210.2748.1 and 210.27.48.2 or 210.27.48.3

实例6:获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

        命令

1
tcpdump ip host 210.27.48.1 and ! 210.27.48.2

实例7:获取主机192.168.228.246接收或发出的ssh包,并且不转换主机名

        命令

1
tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

实例8:获取主机192.168.228.246接收或发出的ssh包,并把mac地址也一同显示

        命令

1
tcpdump  -e src host 192.168.228.246 and port 22 and tcp -n -nn

实例9:过滤的是源主机为192.168.0.1与目的网路哦为192.168.0.0的报头

        命令

1
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

实例10:过滤源主机物理地址为XXX的报头

        命令

1
tcpdump ether src 00:50:04:BA:98 and dst……

        ether src后面没有host或者net,物理地址当然不可能有网络。

实例11:过滤源主机192.168.0.1和目的端口不是telnet的报头,并导入到test.txt文件中

        命令

1
tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

        ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

实例12:捕获192.168.1.100主机eth1网卡上80端口接收和发出的数据100条,并保存文件1.cap

        命令

1
tcpdump -nn -i eth1 host 192.168.1.100 and port 80 -c 100 -w 1.cap

        说明

        用host指定ip,port指定端口,-c指定包数量,-w写入指定文件里。而不加 -w直接在屏幕上显示的不是数据包,而是数据流向。这个1.cap可以下载到windows上,谈后用wireshark查看。