tcpdump介绍
tcpdump 具备开源软件的优势,接口公开,具有较强的可扩展性。运行此命令必须有root权限,它通过将网络接口设置为混杂模式,绕过标准TCP/IP堆栈,进行工作。出于安全等问题考虑,FreeBSD里通过内核取消对伪设备bpfilter的支持,来屏蔽tcpdump之类的网络分析工具,也可使用网桥、交换机等将不信任网络隔开,但不能解决内网通信安全问题。在linux下可采用软件包或编译源代码的方式安装。
tcpdump官方网站:http://www.tcpdump.org/
运行效果
kongove@ubuntu:~$ sudo tcpdump -i eth0 host ubuntu.local tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 09:39:10.448284 IP ubuntu.local.2425 > 255.255.255.255.2425: UDP, length 35 09:39:15.565249 IP ubuntu.local.2425 > 255.255.255.255.2425: UDP, length 29
基本使用
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ][ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ][ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -Z user ] [ expression ]
tcpdump选项
选项 | 含义 |
---|---|
-A | 以ASCII格式打印出所有分组,并将链路层的头最小化 |
-d | 将匹配信息包的代码以人们能够理解的汇编格式给出 |
-D | 打印出系统中所有可以用tcpdump截包的网络接口 |
-ddd | 将匹配信息包的代码以十进制的形式输出 |
-e | 在输出行打印出数据链路层的头部信息 |
-f | 将外部的Internet地址以数字的形式打印出来 |
-l | 使标准输出变为缓冲行形式 |
-L | 列出网络接口的已知数据链路 |
-n | 不把网络地址转换成名字 |
-N | 不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove” |
-O | 不运行分组分组匹配(packet-matching)代码优化程序 |
-p | 不将网络接口设置成混杂模式 |
-q | 快速输出,只输出较少的协议信息 |
-S | 将tcp的序列号以绝对值形式输出,而不是相对值 |
-t | 在输出的每一行不打印时间戳 |
-u | 输出未解码的NFS句柄 |
-v | 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息 |
-vv | 输出详细的报文信息 |
-c count | 指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止 |
-C file_size | 限定数据包写入文件大小 |
-F file | 从指定的文件中读取表达式,忽略其它的表达式 |
-i interface | 指定监听网络接口 |
-m module | 打开指定的SMI MIB组件 |
-M secret | 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385) |
-r file | 从指定的文件中读取包(这些包一般通过-w选项产生) |
-s snaplen | 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节 |
-T type | 将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等 |
-w file | 指定将监听到的数据包写入文件,不分析和打印数据包 |
-W filecount | 限定能写入文件数据包的数量 |
-E spi@ipaddr algo:secret,... | 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组 |
expression | 综合表达式 |
tcpdump的表达式介绍
- 1) 指定参数类型的关键字,主要包括host,net,port等,如果没有指定类型,缺省的类型是host; 例如:#tcpdump host 222.24.20.86 截获ip为222.24.20.86的主机收发的所有数据包
- 2) 指定数据报文传输方向的关键字,主要包括src , dst ,dst or src, dst and src,缺省为src or dst; 例如:#tcpdump src net 222.24.20.1 截取源网络地址为 222.24.20.1 的所有数据包
- 3) 指定协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型,默认监听所有协议的数据包; 例如:#tucpdump arp 截获所有arp协议的数据包
- 4) 其他重要的关键字还有,gateway,broadcast,less,greater,三种逻辑运算(取非运算是 'not ','! '; 与运算是 'and ','&& ';或运算 是'or ','|| ')等。这些关键字的巧妙组合,能灵活构造过滤条件,从而满足用户需要。 例如:#tcpdump host ubuntu and src port \(80 or 8080\) 截取主机ubuntu上源端口为80或8080的所有数据包。
- type
类型修饰子指出标识名称或标识数字代表什么类型的东西. 可以使用的类型有host, net 和 port。例如, `host foo', `net 128.3', `port 20'. 如果不指定类型修饰子, 就使用缺省的 host。
- dir
方向修饰子指出相对于标识的传输方向(数据是传入还是传出标识)。 可以使用的方向有 src, dst, src or dst 和 src and dst。例如, `src foo', `dst net 128.3', `src or dst port ftp-data'。如果不指定方向修饰子, 就使用缺省的src or dst。 对于`null'链路层 (就是说象slip之类的点到点协议), 用inbound和outbound修饰子指定所需的传输方向。
- proto
协议修饰子要求匹配指定的协议。可以使用的协议有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp。例如, `ether srcfoo', `arp net 128.3', `tcp port 21'。 如果不指定协议修饰子, 就使用所有符合类型的协议. 例如, `src foo' 指 `(ip 或 arp 或 rarp) src foo'(注意后者不符合语法), `net bar'指`(ip 或 arp 或 rarp) net bar', `port 53'指 `(tcp 或 udp) port 53'。(`fddi'实际上是 `ether'的别名; 分析器把它们视为 ``用在指定网络接口上的数据链路层.'' FDDI报头包含类似于以太协议的源目地址, 而且通常包含类似于以太协议的报文类型, 因此你可以过滤FDDI域, 就象分析以太协议一样. FDDI报头也包含其他域, 但是你不能在过滤器表达式里显式描述。)
- dst host host
如果报文中IP的目的地址域是host, 则逻辑为真. host既可以是地址, 也可以是主机名.
- src host host
如果报文中IP的源地址域是host, 则逻辑为真.
- host host
如果报文中IP的源地址域或者目的地址域是host, 则逻辑为真. 上面所有的host表达式都可以加上ip, arp, 或rarp关键字做前缀, 就象:ip host host 它等价于: ether proto \ip and host host。如果host是拥有多个IP地址的主机名, 它的每个地址都会被查验。
- ether dst ehost
如果报文的以太目的地址是ehost, 则逻辑为真。Ehost既可以是名字(/etc/ethers里有),也可以是数字(有关数字格式另见 ethers(3N) )。
- ether src ehost
如果报文的以太源地址是ehost, 则逻辑为真。
- ether host ehost
如果报文的以太源地址或以太目的地址是ehost, 则逻辑为真。
- gateway host
如果报文把host当做网关, 则逻辑为真。也就是说,报文的以太源或目的地址是host, 但是IP的源目地址都不是host。 host必须是个主机名, 而且必须存在/etc/hosts和/etc/ethers中. (一个等价的表达式是ether host ehost and not host host,对于 host/ehost, 它既可以是名字, 也可以是数字。)
- dst net net
如果报文的IP目的地址属于网络号net,则逻辑为真.net既可以是名字(存在/etc/networks中),也可以是网络号.(详见networks(4))。
- src net net
如果报文的IP源地址属于网络号net,则逻辑为真。
- net net
如果报文的IP源地址或目的地址属于网络号net,则逻辑为真.
- net net mask mask
如果IP地址匹配指定网络掩码(netmask)的net,则逻辑为真.本原语可以用src或dst修饰.
- net net/len
如果IP地址匹配指定网络掩码的net,则逻辑为真,掩码的有效位宽为len.本原语可以用src或dst修饰。
- dst port port
如果报文是ip/tcp或ip/udp,并且目的端口是port,则逻辑为真.port是一个数字,也可以是/etc/services中说明过的名字(参看tcp(4P)和udp(4P)).如果使用名字,则检查端口号和协议.如果使用数字,或者有二义的名字,则只检查端口号(例如,dstport513将显示tcp/login的数据和udp/who的数据,而portdomain将显示tcp/domain和udp/domain的数据)。
- src port port
如果报文的源端口号是port,则逻辑为真。
- port port
如果报文的源端口或目的端口是port,则逻辑为真.上述的任意一个端口表达式都可以用关键字tcp或udp做前缀,就象:
- tcp src port port
它只匹配源端口是port的TCP报文。
- less length
如果报文的长度小于等于length,则逻辑为真.它等同于:len <= length。
- greater length
如果报文的长度大于等于length,则逻辑为真.它等同于:len >= length。
- ip proto protocol
如果报文是IP数据报(参见ip(4P)),其内容的协议类型是protocol,则逻辑为真.Protocol可以是数字,也可以是下列名称中的一个:icmp,igrp,udp,nd,或tcp.注意这些标识符tcp,udp,和icmp也同样是关键字,所以必须用反斜杠(\)转义,在C-shell中应该是\\.
- ether broadcast
如果报文是以太广播报文,则逻辑为真.关键字ether是可选的.
- ip broadcast
如果报文是IP广播报文,则逻辑为真.Tcpdump检查全0和全1广播约定,并且检查本地的子网掩码.
- ether multicast
如果报文是以太多目传送报文(multicast),则逻辑为真.关键字ether是可选的.这实际上是`ether[0]&1!=0'的简写.
- ip multicast
如果报文是IP多目传送报文,则逻辑为真.
- ether proto protocol
如果报文协议属于以太类型的protocol,则逻辑为真.Protocol可以是数字,也可以是名字,如ip,arp,或rarp.注意这些标识符也是关键字,所以必须用反斜杠(\)转义.[如果是FDDI(例如,`fddiprotocolarp'),协议标识来自802.2逻辑链路控制(LLC)报头,它通常位于FDDI报头的顶层.当根据协议标识过滤报文时,Tcpdump假设所有的FDDI报文含有LLC报头,而且LLC报头用的是SNAP格式.]
- decnet src host
如果DECNET的源地址是host,则逻辑为真,该主机地址的形式可能是``10.123'',或者是DECNET主机名.[只有配置成运行DECNET的Ultrix系统支持DECNET主机名.]
- decnet dst host
如果DECNET的目的地址是host,则逻辑为真.
- decnet host host
如果DECNET的源地址或目的地址是host,则逻辑为真.ip, arp, rarp, decnet是:ether proto p的简写形式,其中p为上述协议的一种.lat, moprc, mopdl 是: ether proto p的简写形式,其中p为上述协议的一种.注意tcpdump目前不知道如何分析这些协议.tcp, udp, icmp 是: ip proto p的简写形式,其中p为上述协议的一种.
- expr relop expr
如果这个关系成立,则逻辑为真,其中relop是<,>,<=,>=,=,!=之一,expr是数学表达式,由常整数(标准C语法形式),普通的二进制运算符[+,-,*,/,&,|],一个长度运算符,和指定的报文数据访问算符组成.要访问报文内的数据,使用下面的语法:proto [ expr : size ]
Proto是ether,fddi,ip,arp,rarp,tcp,udp,oricmp之一,同时也指出了下标操作的协议层.expr给出字节单位的偏移量,该偏移量相对于指定的协议层.Size是可选项,指出感兴趣的字节数;它可以是1,2,4,缺省为1字节.由关键字len给出的长度运算符指明报文的长度.
例如,`ether[0]&1!=0'捕捉所有的多目传送报文.表达式`ip[0]&0xf!=5'捕捉所有带可选域的IP报文.表达式`ip[6:2]&0x1fff=0'只捕捉未分片和片偏移为0的数据报.这种检查隐含在tcp和udp下标操作中.例如,tcp[0]一定是TCP报头的第一个字节,而不是其中某个IP片的第一个字节.
tcpdump的输出信息
数据链路层头信息
输出结果:
11:15:12.247009 eth0 < 88:0:0:7:2b:26 0:90:27:58:af:1a ip 60: host2.25258 > host1.telnet 0:0(0) ack 22552 win 7890 (DF)
分析:“11:15:12”是显示的时间,“247009”是ID号,“eth0 <”表示从网络接口eth0接受该数据包,“88:0:0:7:2b:26”为发送数据主机的MAC地址,“ ip”是表明该数据包是IP类型数据包,“60”是数据包的长度,“ host2.25258 > host1.telnet” 表明该数据包是从主机host2的25258端口发往主机host1的TELNET(23)端口。“ack 22552”表明对序列号是22552的包进行响应。“ win 7890”表明发送窗口的大小是7890。
ARP包的TCPDUMP输出信息
输出结果:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
分析:“eth0 >”表示从网络接口eth0发送数据包。
TCP包的输出信息
分析:“src > dst:”表明从源地址到目的地址, flags是TCP包中的标志信息(S是SYN标志,F(FIN),P(PUSH),R(RST),"."(没有标记));data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针,Options是选项。
UDP包的输出信息
分析:从主机host的p1端口发出的一个udp类型数据包到主机linux的p2端口,包的长度是lenth。
功能扩展
范例
显示所有进出sundown的报文:
显示helios和主机hot,ace之间的报文传送:
显示ace和除了helios以外的所有主机的IP报文
显示本地的主机和Berkeley的主机之间的网络数据
显示所有通过网关snup的ftp报文(注意这个表达式被单引号括起,防止shell解释园括弧)
显示既不是来自本地主机,也不是传往本地主机的网络数据(如果你把网关通往某个其他网络,这个做法将不会把数据发往你的本地网络).
显示每个TCP会话的起始和结束报文(SYN和FIN报文),而且会话方中有一个远程主机.
显示经过网关snup中大于576字节的IP数据报
显示IP广播或多目传送的数据报,这些报文不是通过以太网的广播或多目传送形式传送的
显示所有不是回响请求/应答的ICMP报文(也就是说,不是ping报文)
链路层报头 (Link Level Headers)
ARP/RARP 报文
TCP 报文
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1
UDP 报文
UDP域名服务请求(NameServerRequests)
UDP名字服务回答
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)
NFS请求和响应
src.nfs > dst.xid: reply stat len op results
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150
KIPAppletalk(UDP上的DDP)
1.254 ether
16.1 icsd-net
1.254.110 ace
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002
Helios用8个512字节的报文应答.跟在交易号后面的`:digit'给筹
#tcpdump -i eth0 -X src host 10.1.2.1
实践经验
诊断arp风暴
tcpdump -e arp 可以用来监听网络内部广播的所有数据包,监听结果中包含数据发送方Mac地址、arp请求方法IP地址等其他信息,如果某个或多个固定MAC地址的主机连续发送大量请求广播,并得到回应,则其有可能为arp风暴源。可以对此主机进行物理隔离,进行再判断。
kongove@ubuntu:~$ sudo tcpdump -e arp 09:43:48.630521 00:15:c5:6d:0e:80 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.2.1 tell 192.168.8.237 09:43:48.734420 00:e0:4d:1a:c9:24 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.44.138 tell 192.168.44.156 09:43:48.842663 00:e0:e4:02:32:59 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.21.1 tell 192.168.21.251
上一篇:TCP三次握手/四次挥手详解
下一篇:syslog-ng学习心得之一