1、tcpdump简介

  tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、 or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其是它提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和***者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。另外,由于其相对于Wireshark来说,没有非常详细的用户界面,所以非常适合于在终端上使用,网管员可以通过常见的命令行来进行流量捕捉和过滤等操作,所以非常方便,这也是它一直广泛为网络管理员欢迎和使用的原因。

  2、 安装tcpdump

  在linux下tcpdump的安装十分简单,一般是以源程序的形式安装。其实,Linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的,人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。最新的tcpdump的源代码可以在网站 http://www.tcpdump.org/上即时获得。

  在源程序的安装方式中,我们首先要取得tcpdump的源程序分发包。目前,该源程序包的最新版本为:tcpdump-4.0.0.tar.gz,安装的具体过程如下所示:

  (1)解压缩源代码包

  #tar xvfz tcpdump-4.0.0.tar.gz

  (2)做好编译源程序前的准备活动

  在编译源程序之前,需要已经确定库文件libpcap已经安装完毕,这个库文件是tcpdump软件所需的库文件。同样,你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。在tcpdump的源程序目录中。有一个文件是Makefile.in,configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中,可以根据系统的配置来修改BINDEST和MANDEST这两个宏定义,缺省值如下:

  BINDEST = @sbindir@

  MANDEST = @mandir@

  第一个宏值表明安装tcpdump的二进制文件的路径名,第二个表明tcpdump的man帮助页的路径名,用户可以修改它们来满足系统的需求。

  (3)编译源程序

  使用源程序目录中的configure脚本,它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件,以便编译使用。make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。

  具体的编译步骤,如下命令所示:

  # . /configure

  # make

  # make install

  3、 使用tcpdump

  普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。如下命令所示:

  tcpdump支持相当多的不同参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。

  然而更复杂的tcpdump参数是用于过滤目的,这是因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,充分利用这些过滤规则就能达到迅速定位故障的目的。请使用man tcpdump查看这些过滤规则的具体用法。

  (1)tcpdump的选项介绍

  tcpdump的选项非常多,下面给出一些常用的命令选项供大家使用时参考:

  a:将网络地址和广播地址转变成名字;

  -d:将匹配信息包的代码以人们能够理解的汇编格式给出

  -dd:将匹配信息包的代码以c语言程序段的格式给出;

  -ddd:将匹配信息包的代码以十进制的形式给出;

  -e:在输出行打印出数据链路层的头部信息;

  -f:将外部的Internet地址以数字的形式打印出来;

  -l:使标准输出变为缓冲行形式;

  -n:不把网络地址转换成名字;

  -t:在输出的每一行不打印时间戳;

  -v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

  -vv:输出详细的报文信息;

  -c:在收到指定的包的数目后,tcpdump就会停止;

  -F:从指定的文件中读取表达式,忽略其它的表达式;

  -i:指定监听的网络接口;

  -r:从指定的文件中读取包(这些包一般通过-w选项产生);

  -w:直接将包写入文件中,并不分析和打印出来;

  -T:将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)

  (2)tcpdump的表达式介绍

  表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。

  一种是关于类型的关键字,主要包括host,net,port, 例如 host 211.78.3.2,指明 211.78.3.2是一台主机,net 210.0.0.0 指明 210.0.0.0是一个网络地址,port 25指明端口号是25。如果没有指定类型,缺省的类型是host。

  第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 211.78.3.2 ,指明ip包中源地址是211.78.3.2 , dst net 210.0.0.0 指明目的网络地址是210.0.0.0。如果没有指明方向关键字,则缺省是src or dst关键字。

  第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp 等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则 tcpdump将会监听所有协议的信息包。除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来进行详细说明:

普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00
使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,
使用-c参数指定要监听的数据包数量,
使用-w参数指定将监听到的数据包写入文件中保存
 A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据:
#tcpdump -i eth0 src host hostname
G 下面的命令可以监视所有送到主机hostname的数据包:
#tcpdump -i eth0 dst host hostname
H  我们还可以监视通过指定网关的数据包:
#tcpdump -i eth0 gateway Gatewayname
I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令:
#tcpdump -i eth0 host hostname and port 80
J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令
:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
 #tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
 #tcpdump tcp port 23 host 210.27.48.1
第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,
greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'o
r' ,'||';
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,
如果我们只需要列出送到80端口的数据包,用dst port;如果我们只希望看到返回80端口的数据包,用src port。
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  一般是提供http的服务的主机
如果条件很多的话  要在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混杂模式 系统的日志将会记录
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。

 

  a) 截获所有211.78.3.2的主机收到的和发出的所有的数据包:

  #tcpdump host 211.78.3.2

  b) 截获主机211.78.3.2和主机211.78.3.3或211.78.3.4的通信,使用命令:

  #tcpdump host 211.78.3.2 and \ (211.78.3.2 or 211.78.3.4 \)

  c) 获取主机211.78.3.2除了和主机211.78.3.6之外所有主机通信的ip包,使用命令:

  #tcpdump ip host 211.78.3.2 and ! 211.78.3.6

  d) 获取主机211.78.3.1接收或发出的telnet包,使用如下命令:

  #tcpdump tcp port 23 host 211.78.3.1

  (3)查看tcpdump的输出结果

  由于tcpdump的捕包功能强大,因而其输出也是非常丰富的,下面我们介绍几种典型的tcpdump命令的输出信息。

  a) 查看数据链路层头信息

  使用如下命令

  #tcpdump --e host patterson

  patterson是一台装有linux的主机,其MAC地址是0:58:46:32:EF:AF,S_Server是一台装有SOLARIC的SUN工作站,它的MAC地址是7:43:25:98:6E:AF;上一条命令的输出结果如下所示:

  23:49:35.102598 eth0 < 7:43:25:98:6e:af 0:58:46:32:ef:af ip 60: S_Server.33357 >

  patterson.telnet 0:0(0) ack 22535 win 8760 (DF)

  分析:23:49:35是显示的时间,102598是ID号,eth0 <表示从网络接口eth0 接受该数据包,eth0 >表示从网络接口设备发送数据包, 7:43:25:98:6e:af是主机S_Server的MAC地址,它表明是从源地址S_Server发来的数据包. 0:58:46:32:ef:af是主机PATTERSON的MAC地址,表示该数据包的目的地址是PATTERSON . ip 是表明该数据包是IP数据包,60 是数据包的长度, S_Server.33357 > patterson.telnet 表明该数据包是从主机S_Server的33357端口发往主机PATTERSON的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.

  b) ARP包的tcpdump输出信息

  使用如下命令

  #tcpdump arp

  得到的输出结果是:

  23:52:42.203783 eth0 > arp who-has route tell patterson (0:58:46:32:ef:af)

  23:52:42.204025 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:58:46:32:ef:af)

  分析: 23:52:42是时间戳, 203783是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell patterson表明是主机patterson请求主机ROUTE的MAC地址。0:58:46:32:ef:af是主机patterson的MAC地址。

  c) TCP包的输出信息

  src > dst: flags data-seqno ack window urgent options

  src > dst:表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志, F(FIN), P (PUSH) , R (RST),"." (没有标记); data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.Options是选项.

  d) UDP包的输出信息

  用tcpdump捕获的UDP包的一般输出信息是:

  route.port1 > patterson.port2: udp length

  route.port1 > patterson.port2: udp length

  UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机patterson的port2端口,类型是UDP,包的长度是length。