超級詳細Tcpdump 的用法

一、抓取回環網口的包：tcpdump -i lo

二、防止包截斷：tcpdump -s0

三、以數字顯示主機及端口：tcpdump -n

 

 第一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網絡地址，port 23 指明端口號是23。若是沒有指定類型，缺省的類型是host.

第二種是肯定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。若是沒有指明方向關鍵字，則缺省是src or dst關鍵字。

第三種是協議的關鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議，實際上它是"ether"的別名，fddi和ether具備相似的源地址和目的地址，因此能夠將fddi協議包看成ether的包進行處理和 分析。其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議，則tcpdump將會監聽全部協議的信息包。

 

  除了這三種類型的關鍵字以外，其餘重要的關鍵字以下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&;或運算 是'or' ,'||'；這些關鍵字能夠組合起來構成強大的組合條件來知足人們的須要，下面舉幾個例子來講明。

  普通狀況下，直接啓動tcpdump將監視第一個網絡界面上全部流過的數據包。
# tcpdump 
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00

使用-i參數指定tcpdump監聽的網絡界面，這在計算機具備多個網絡界面時很是有用，
使用-c參數指定要監聽的數據包數量，
使用-w參數指定將監聽到的數據包寫入文件中保存
A想要截獲全部210.27.48.1 的主機收到的和發出的全部的數據包：
#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令：（在命令行中適用　括號時，必定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

C若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123

 

F 系統將只對名爲hostname的主機的通訊數據包進行監視。主機名能夠是本地主機，也能夠是網絡上的任何一臺計算機。下面的命令能夠讀取主機hostname發送的全部數據： 
#tcpdump -i eth0 src host hostname

 

G 下面的命令能夠監視全部送到主機hostname的數據包： 
#tcpdump -i eth0 dst host hostname

H  咱們還能夠監視經過指定網關的數據包： 
#tcpdump -i eth0 gateway Gatewayname

I 若是你還想監視編址到指定端口的TCP或UDP數據包，那麼執行如下命令： 
#tcpdump -i eth0 host hostname and port 80

J 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊，使用命令
：（在命令行中適用　括號時，必定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

L 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包，使用命令：
　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 若是想要獲取主機210.27.48.1接收或發出的telnet包，使用以下命令：
　#tcpdump tcp port 23 host 210.27.48.1

第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字以外，其餘重要的關鍵字以下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||'；
第二種是肯定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,
若是咱們只須要列出送到80端口的數據包，用dst port；若是咱們只但願看到返回80端口的數據包，用src port。 
#tcpdump –i eth0 host hostname and dst port 80  目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80  源端口是80  通常是提供http的服務的主機
若是條件不少的話  要在條件以前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
若是在ethernet 使用混雜模式 系統的日誌將會記錄
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並無進行完全解碼，數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障，一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中，而後再使用其餘程序進行解碼分析。固然也應該定義過濾規則，以免捕獲的數據包填滿整個硬盤。

 

# tcpdump   -i eth1 src  host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576

代表在00:02:03點的時候，211.167.237.199經過ssh源端口鏈接到221.216.165.189的1467端口

#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576

截獲全部由eth0進入、源地址(src)爲192.168.0.5的主機(host)，而且(and)目標(dst)端口(port)爲80的數據包

觀看網卡傳送、接收數據包的狀態
$ netstat  -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500  0  14639   0      0      0    5705    119    0     0   BMRU

Iface:  網卡
RX-OK RX-ERR RX-DRP RX-OVR : 網卡正確接收數據包的數量以及發生錯誤、流失、碰撞的總數
TX-OK TX-ERR TX-DRP TX-OVR : 網卡正確發送數據包的數量以及發生錯誤、流失、碰撞的總數

 

 

[root@linux ~]# tcpdump [-nn] [-i 介面] [-w 儲存檔名] [-c 次數] [-Ae] [-qX] [-r 檔案] [所欲擷取的資料內容] 參數： -nn：直接以 IP 及 port number 顯示，而非主機名與服務名稱 -i ：後面接要『監聽』的網路介面，例如 eth0, lo, ppp0 等等的介面； -w ：若是你要將監聽所得的封包資料儲存下來，用這個參數就對了！後面接檔名 -c ：監聽的封包數，若是沒有這個參數， tcpdump 會持續不斷的監聽， 直到使用者輸入 [ctrl]-c 為止。 -A ：封包的內容以 ASCII 顯示，一般用來捉取 WWW 的網頁封包資料。 -e ：使用資料連接層 (OSI 第二層) 的 MAC 封包資料來顯示； -q ：僅列出較為簡短的封包資訊，每一行的內容比較精簡 -X ：能夠列出十六進位 (hex) 以及 ASCII 的封包內容，對於監聽封包內容頗有用 -r ：從後面接的檔案將封包資料讀出來。那個『檔案』是已經存在的檔案， 並且這個『檔案』是由 -w 所製做出來的。 所欲擷取的資料內容：我們能夠專門針對某些通訊協定或者是 IP 來源進行封包擷取， 那就能夠簡化輸出的結果，並取得最有用的資訊。常見的表示方法有： 'host foo', 'host 127.0.0.1' ：針對單部主機來進行封包擷取 'net 192.168' ：針對某個網域來進行封包的擷取； 'src host 127.0.0.1' 'dst net 192.168'：同時加上來源(src)或目標(dst)限制 'tcp port 21'：還能夠針對通訊協定偵測，如 tcp, udp, arp, ether 等 還能夠利用 and 與 or 來進行封包資料的整合顯示呢！ 範例一：以 IP 與 port number 捉下 eth0 這個網路卡上的封包，持續 3 秒 [root@linux ~]# tcpdump -i eth0 -nn tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 9648 01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648 <==按下 [ctrl]-c 之後結束 6680 packets captured <==捉下來的封包數量 14250 packets received by filter <==由過濾所得的總封包數量 7512 packets dropped by kernel <==被核心所丟棄的封包

若是你是第一次看 tcpdump 的 man page 時，確定一個頭兩個大，因為 tcpdump 幾乎都是分析封包的表頭資料，使用者若是沒有簡易的網路封包基礎，要看懂粉難吶！ 因此，至少您得要回到 網路基礎裡面去將 TCP 封包的表頭資料理解理解纔好啊！ ^_^！至於那個範例一所產生的輸出範例中，我們能夠約略區分為數個欄位， 我們以範例一當中那個特殊字體行來說明一下：

• 01:33:40.41：這個是此封包被擷取的時間，『時:分:秒』的單位；
• IP：透過的通訊協定是 IP ；
• 192.168.1.100.22 > ：傳送端是 192.168.1.100 這個 IP，而傳送的 port number 為 22，您必須要瞭解的是，那個大於 (>) 的符號指的是封包的傳輸方向喔！
• 192.168.1.11.1190：接收端的 IP 是 192.168.1.11， 且該主機開啟 port 1190 來接收；
• P 116:232(116)：這個封包帶有 PUSH 的資料傳輸標誌， 且傳輸的資料為整體資料的 116~232 byte，因此這個封包帶有 116 bytes 的資料量；
• ack 1 win 9648：ACK與 Window size 的相關資料。

最簡單的說法，就是該封包是由 192.168.1.100 傳到 192.168.1.11，透過的 port 是由 22 到 1190 ， 且帶有 116 bytes 的資料量，使用的是 PUSH 的旗標，而不是 SYN 之類的主動連線標誌。 呵呵！不容易看的懂吧！因此說，上頭才講請務必到  TCP 表頭資料的部分去瞧一瞧的啊！

再來，一個網路狀態很忙的主機上面，你想要取得某部主機對你連線的封包資料而已時， 使用 tcpdump 配合管線命令與正規表示法也能夠，不過，畢竟很差捉取！ 我們能夠透過 tcpdump 的表示法功能，就能夠輕易的將所須要的資料獨立的取出來。 在上面的範例一當中，我們僅針對 eth0 作監聽，因此整個 eth0 介面上面的資料都會被顯示到螢幕上， 很差分析啊！那麼我們能夠簡化嗎？例如只取出 port 21 的連線封包，能夠這樣作：

[root@linux ~]# tcpdump -i eth0 -nn port 21 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:54:37.96 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 1 win 65535 01:54:37.96 IP 192.168.1.100.21 > 192.168.1.11.1240: P 1:21(20) ack 1 win 5840 01:54:38.12 IP 192.168.1.11.1240 > 192.168.1.100.21: . ack 21 win 65515 01:54:42.79 IP 192.168.1.11.1240 > 192.168.1.100.21: P 1:17(16) ack 21 win 65515 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: . ack 17 win 5840 01:54:42.79 IP 192.168.1.100.21 > 192.168.1.11.1240: P 21:55(34) ack 17 win 5840

瞧！這樣就僅提出 port 21 的資訊而已，且仔細看的話，你會發現封包的傳遞都是雙向的， client 端發出『要求』而 server 端則予以『回應』，因此，當然是有去有回啊！ 而我們也就能夠經過這個封包的流向來瞭解到封包運做的過程。 舉例來說：

1. 我們先在一個終端機視窗輸入『 tcpdump -i lo -nn 』 的監聽，
2. 再另開一個終端機視窗來對本機 (127.0.0.1) 登入『ssh localhost』

那麼輸出的結果會是如何？

[root@linux ~]# tcpdump -i lo -nn 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 2 listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes 3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: S 933696132:933696132(0) win 32767 <mss 16396,sackOK,timestamp 236681316 0,nop,wscale 2> 4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: S 920046702:920046702(0) ack 933696133 win 32767 <mss 16396,sackOK,timestamp 236681316 236681316,nop, wscale 2> 5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 1 win 8192 <nop, nop,timestamp 236681316 236681316> 6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 1 win 8192 <nop,nop,timestamp 236681334 236681316> 7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 <nop, nop,timestamp 236681334 236681334>

上表顯示的頭兩行是 tcpdump 的基本說明，然後：

• 第 3 行顯示的是『來自 client 端，帶有 SYN 主動連線的封包』，
• 第 4 行顯示的是『來自 server 端，除了回應 client 端以外(ACK)，還帶有 SYN 主動連線的標誌；
• 第 5 行則顯示 client 端回應 server 確定連線創建 (ACK)
• 第 6 行以後則開始進入資料傳輸的步驟。

從第 3-5 行的流程來看，熟不熟悉啊？沒錯！那就是  三向交握 的基礎流程啦！夠有趣吧！ 不過 tcpdump 之因此被稱為駭客軟體之一可不止上頭介紹的功能吶！ 上面介紹的功能能夠用來做為我們主機的封包連線與傳輸的流程分析， 這將有助於我們瞭解到封包的運做，同時瞭解到主機的防火牆設定規則是否有須要修訂的地方。

更神奇的使用要來啦！若是我們使用 tcpdump 在 router 上面監聽『明碼』的傳輸資料時， 例如 FTP 傳輸協定，你覺得會發生什麼問題呢？ 我們先在主機端下達『 tcpdump -i lo port 21 -nn -X 』然後再以 ftp 登入本機，並輸入帳號與密碼， 結果你就能夠發現以下的狀況：

[root@linux ~]# tcpdump -i lo -nn -X 'port 21' 0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!I./.% 0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<.........g 0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd. 0x0040: 322e 302e 3129 0d0a 2.0.1).. 0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@.@.iY.... 0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d ........./.%.U!] 0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5.........7 0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai. 0x0040: 0a . 0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O@.@.iL.... 0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f ........./.2.U!. 0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........2' 0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw 0x0040: 6f72 6469 7379 6f75 0d0a ordisyou..

上面的輸出結果已經被簡化過了，你必須要自行在你的輸出結果當中搜尋相關的字串才行。 從上面輸出結果的特殊字體中，我們能夠發現『 該 FTP 軟體使用的是 vsftpd ，並且使用者輸入 dmtsai 這個帳號名稱，且密碼是 mypasswordisyou』 嘿嘿！你說可不可怕啊！若是使用的是明碼的方式來傳輸你的網路資料？ 因此我們才經常在講啊，網路是很不安全低！

另外你得瞭解，為了讓網路介面能夠讓 tcpdump 監聽，因此執行 tcpdump 時網路介面會啟動在 『錯亂模式 (promiscuous)』，因此你會在 /var/log/messages 裡面看到不少的警告訊息， 通知你說你的網路卡被設定成為錯亂模式！別擔心，那是正常的。 至於更多的應用，請參考 man tcpdump 囉！

例題：如何使用 tcpdump 監聽 (1)來自 eth0 介面卡且 (2)通訊協定為 port 22 ，(3)目標來源為 192.168.1.100 的封包資料？ 答： tcpdump -i eth0 -nn 'port 22 and src host 192.168.1.100'

---

ethereal

除了 tcpdump 這個軟體以外，其實你還可使用 ethereal 這個好用的網路流量分析軟體吶！ ethereal 分為文字介面與圖形介面，文字介面的用法與 tcpdump 相當的類似，不過他的指令名稱為 tethereal 就是了。因為用法差很少，因此建議您直接使用 man tethereal 查閱吧！ 在 CentOS 上本來就有 ethereal 了，因此請拿出光碟來安裝便可喔！ 須要安裝 ethereal 與 ethereal-gnome 才行吶！

啟動的方法很簡單，你必須要在 X Window 底下，先開啟一個終端機，然後直接輸入 ethereal 後， 就會出現以下的畫面了：


圖5、ethereal 使用範例圖
簡單的做法，你能夠點選如上圖顯示的那個按鈕，會出現挑選監聽的介面視窗，以下所示：


圖6、ethereal 使用範例圖
你應該選擇要監聽的介面，在這裡因為是測試用的，因此鳥哥使用的是 lo 這個內部介面， 你當然應該要選擇你本身的網路介面纔是。然後按下 start 後，就會出現開始偵測的畫面了：


圖7、ethereal 使用範例圖
在這個畫面當中你能夠看到不少類型的封包協定，在等你處理完畢後，就能夠按下『stop』結束監聽， 而開始進入以下的封包分析畫面。


圖8、ethereal 使用範例圖
封包分析畫面共分為三大區塊，如上圖所示，第一區塊主要顯示的是封包的標頭資料， 內容就有點類似 tcpdump 的顯示結果，第二區塊則是詳細的表頭資料， 包括訊框的內容、通訊協定的內容以及 socket pair 等等資訊。 第三區塊則是 16 進位與 ASCII 碼的顯示結果。透過這個 ethereal 您就能夠一口氣獲得所須要的全部封包內容啦！ 並且還是圖形介面的，很方便吧！透過在第一區塊選擇不一樣的封包，就能夠查閱每個封包的資料內容囉！

---

nc, netcat

這個 nc 能夠用來做為某些服務的檢測，因為他能夠連接到某個 port 來進行溝通， 此外，還能夠自行啟動一個 port 來傾聽其餘用戶的連線吶！很是的不錯用！ 若是在編譯的時候給予『GAPING_SECURITY_HOLE』參數的話，嘿嘿！ 這個軟體還能夠用來取得用戶端的 bash 哩！可怕吧！我們的 CentOS 比較人性化，並沒有給予上面的參數，因此我們不能夠用來做為駭客軟體～ 可是用來取代 telnet 也是個很棒的功能了！(有的系統將執行檔更名為 netcat 啦！)

[root@linux ~]# nc [IP|host] [port] [root@linux ~]# nc -l -p [port] 參數： -l ：做為監聽之用，亦即開啟一個 port 來監聽用戶的連線； -p ：開啟的這個 port number 範例一：連接本地端的 port 25 查閱相關訊息 [root@linux ~]# nc localhost 25 localhost.localdomain [127.0.0.1] 25 (smtp) open 220 pc.dm.tsai ESMTP Postfix ehlo localhost 250-pc.dm.tsai 250-PIPELINING 250-SIZE 40000000 250-ETRN quit 221 Bye

這個最簡單的功能與 telnet 幾乎一樣吧！能夠去檢查某個服務啦！不過，更神奇的在後面， 我們能夠創建兩個連線來傳訊喔！舉個例子來說，我們先在 client 端的地方啟動一個 port 來進行傾聽：

範例二：啟動一個 port 來監聽使用者的連線要求 [root@linux ~]# nc -l -p 20000 # 啟動一個 port 20000 在主機上，若是此時使用 netstat -tlnp # 就能夠看到系統上多出來一個 port 20000 在傾聽使用者的連線喔！

然後在主機端的地方，也利用 nc 來連線到用戶端，並且輸入一些指令看看喔！

[root@linux ~]# nc localhost 20000 <==這裡能夠開始輸入字串了！

此時，在主機端我們能夠打入一些字，你會發現在 client 端會同時出現你輸入的字眼吶！ 若是你同時給予一些額外的參數，例如利用標準輸入與輸出 (stdout, stdin) 的話， 那麼就能夠透過這個連線來做不少事情了！ 當然 nc 的功能不僅如此，你還能夠發現不少的用途喔！ 請自行到您主機內的 /usr/share/doc/nc-1.10/scripts 目錄下看看這些 script ，有幫助的吶！ 不過，若是你須要額外的編譯出含有 GAPING_SECURITY_HOLE 功能， 以使兩端