Tcpdump用法
1.監聽全部非echo requests/replies的ICMP數據包 //ICMP ECHO(Type 8) 和ECHO Reply (Type 0)
#tcpdump "icmp[0] != 8 and icmp[0] != 0"
2.監聽非本地網絡的每次TCP會話開始和結束數據包
#tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'
3.監聽網關snup上長度大於576字節的IP數據包
#tcpdump 'gateway snup and ip[2:2] > 576'
4.監聽不通過以太網的廣播或多播數據包
#tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
5.監視經過指定網關的數據包
#tcpdump -i eth0 gateway Gatewayname
6.監聽網卡eth0的TCP數據
#tcpdump –i eth0 tcp
7.監聽網卡網卡eth0是否有IP地址爲 192.168.0.1 端口爲80的數據
#tcpdump –i eth0 host 192.168.0.1 port 80
8.監聽網卡網卡eth0是否有源IP地址爲192.168.0.1且源端口爲80的數據
#tcpdump –i eth0 src 192.168.0.1 and src port 80
9.監聽網卡網卡eno1,地址www.baidu.com, 目的端口爲80的數據(http協議數據)
#sudo tcpdump -i eno1 dst www.baidu.com and dst port 80 -vvw pack.pcapphp
10.將網卡eth0的數據存入到文件aaaa.dmp中
#tcpdump –i eth0 –s 1600 –w aaaa.dmp
11.將獲得的數據存入tcpcap.txt文件中
#tcpdump -l >tcpcap.txt
12.監聽除192.168.30.69和192.168.30.69主機的ssh數據包之外的數據包
#tcpdump -c 5 -x host \(192.168.30.69 or 192.168.30.64 \) and port ! \(ssh or 22\)
Tcpdump使用方法 (2011-06-10 15:05:15)
轉載
▼
標籤: it
1、簡介
Linux做爲網絡服務器,特別是做爲路由器和網關時,數據的採集和分析是必不可少的。因此,今天咱們就來看看Linux中強大的網絡數據採集分析工具——TcpDump。
用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。
做爲互聯網上經典的的系統管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成爲每一個高級的系統管理員分析網絡,排查問題等所必備的東東之一。
顧名思義,TcpDump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
tcpdump提供了源代碼,公開了接口,所以具有很強的可擴展性,對於網絡維護和入侵者都是很是有用的工具。tcpdump存在於基本的 FreeBSD系統中,因爲它須要將網絡界面設置爲混雜模式,普通用戶不能正常執行,但具有root權限的用戶能夠直接執行它來獲取網絡上的信息。所以系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其餘計算機的安全存在威脅。
普通狀況下,直接啓動tcpdump將監視第一個網絡界面上全部流過的數據包。
2、選項
-e在輸出行打印出數據鏈路層的頭部信息;
-d將匹配信息包的代碼以人們可以理解的彙編格式給出;
-dd將匹配信息包的代碼以c語言程序段的格式給出;
-ddd將匹配信息包的代碼以十進制的形式給出;
-t在輸出的每一行不打印時間戳;
-v輸出一個稍微詳細的信息,例如在ip包中能夠包括ttl和服務類型的信息;
-vv輸出詳細的報文信息;
-c在收到指定的包的數目後,tcpdump就會中止;
-i指定監聽的網絡接口;
-r從指定的文件中讀取包(這些包通常經過-w選項產生);
-w直接將包寫入文件中,並不分析和打印出來;(也能夠使用 tcpdump >+文件名進行保存,保存的信息不會爲亂碼)
-s 也就是數據包的截取長度
默認截取長度爲60個字節,但通常ethernet MTU都是1500字節。因此,要抓取大於60字節的包時,使用默認參數就會致使包數據丟失!
3、表達式介紹
表達式是一個正則表達式,tcpdump利用它做爲過濾報文的條件,若是一個報文知足表達式的條件,則這個報文將會被捕獲。若是沒有給出任何條件,則網絡上全部的信息包將會被截獲。在表達式中通常以下幾種類型的關鍵字.
第一種是關於類型的關鍵字,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一臺主機,net202.0.0.0指明202.0.0.0是一個網絡地址,port23指明端口號是23。若是沒有指定類型,缺省的類型是host.
dst port port 若是 報文 是 ip/tcp 或 ip/udp, 而且 目的端口 是 port, 則邏輯 爲 真. port 是一個 數字, 也能夠是 /etc/services 中 說明過的 名字。若是 使用 名字, 則檢查端口號 和 協議. 若是 使用 數字, 或者 有二義的名字, 則 只檢查 端口號。
第二種是肯定傳輸方向的關鍵字,主要包括src,dst,dst or src,dst and src,這些關鍵字指明瞭傳輸的方向。舉例說明,src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的網絡地址是202.0.0.0。若是沒有指明方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,能夠使用的 協議 有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定的網絡協議,實際上它是"ether"的別名,fddi和ether具備相似的源地址和目的地址,因此能夠將fddi協議包看成ether的包進行處理和分析。其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議,則tcpdump將會監聽全部協議的信息包。
更復雜的 過濾器表達式 能夠 經過 and, or 和 not 鏈接,,取非運算是‘not‘‘!‘,與運算是‘and‘,‘&&‘;或運算是‘or‘,‘||‘;有一些特殊的 `原語' 關鍵字, 它們 不一樣於 上面的模式: gateway, broadcast, less, greater 和 數學表達式。
gateway host ,若是 報文 把 host 當作 網關, 則 邏輯 爲 真. 也就是說, 報文的以太源或目的地址 是 host, 可是 IP 的 源目地址 都不是 host. host 必須 是個 主機名, 並且 必須 存在 /etc/hosts 和 /etc/ethers 中
less length
若是 報文 的 長度 小於等於 length, 則 邏輯 爲 真. 它等同於:
len <= length.
greater length
若是 報文 的 長度 大於等於 length, 則 邏輯 爲 真. 它等同於:
len >= length.
原語 能夠 用 下述 方法 結合使用:
園括弧 括起來的 原語 和 操做符 (園括弧 在 Shell 中 有專用, 因此必須轉義).
取反操做 (`!' or `not').
連結操做 (`&&' or `and').
或操做 (`||' or `or').
取反操做 有 最高優先級. 或操做 和 連結操做 有 相同的 優先級, 運算時 從左到右 結合. 注意連結操做 須要 顯式的 and 算符, 而不是並列放置.
4、幾種典型的tcpdump命 令的輸出信息
A, 數據鏈路層頭信息
使 用命令
#tcpdump --e host ice
ice 是一臺裝有linux的主機,她的MAC地址是 0:90:27:58:AF:1A
H219是一臺裝有SOLARIC的SUN工做站,它的MAC地址是8:0:20:79:5B:46;上一條命令的輸出結果以下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0 接受該數據包,eth0 >表示從網絡接口設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它代表是從源地址H219發來的數據包. 0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是代表該數據包是IP數據包,60 是數據包的長度, h219.33357 > ice.telnet 代表該數據包是從主機H219的33357端口發往主機ICE的TELNET(23)端口. ack 22535 代表對序列號是222535的包進行響應. win 8760代表發送窗口的大小是8760.
B,ARP包的TCPDUMP輸出信息
使 用命令
#tcpdump arp
獲得的輸出結果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >代表從主機發出該數據包, arp代表是ARP請求包, who-has route tell ice代表是主機ICE請求主機ROUTE的MAC地址。 0:90:27:58:af:1a是主機ICE的MAC地址。
C,TCP包的輸出信息
用TCPDUMP捕獲的TCP包的通常輸出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:代表從源地址到目的地址, flags是TCP包中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次指望的順序號, window是接收緩存的窗口大小, urgent代表數據包中是否有緊急指針. Options是選項.
D,UDP包的輸出信息
用TCPDUMP捕獲的UDP包的通常輸出信息是:
route.port1 > ice.port2: udp lenth
UDP 十分簡單,上面的輸出行代表從主機ROUTE的port1端口發出的一個UDP數據包到主機ICE的port2端口,類型是UDP,包的長度是lenth。
5、實例:
A想要截獲全部210.27.48.1 的主機收到的和發出的全部的數據包:
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊:
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123
F 系統將只對名爲hostname的主機的通訊數據包進行監視。主機名能夠是本地主機,也能夠是網絡上的任何一臺計算機。下面的命令能夠讀取主機 hostname發送的全部數據:
#tcpdump -i eth0 src host hostname
G 下面的命令能夠監視全部送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 咱們還能夠監視經過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 若是你還想監視編址到指定端口的TCP或UDP數據包,那麼執行如下命令:
#tcpdump -i eth0 host hostname and port 80
J 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
N若是咱們只須要列出送到80端口的數據包,用dst port;若是咱們只但願看到返回80端口的數據包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 通常是提供http的服務的主機
O若是條件不少的話 要在條件以前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
備註: -c 50 參數含義:只抓取50個數據包,便可結束抓包;(小寫c)
-C 1 參數含義:抓取的數據包1M爲一個文件,抓N個文件;(大寫C)
tcpdump -i eth1 -C 1 >xie.txt
以1M爲一個文件,抓取eth1網卡的數據包,系統將自動執行記錄;惟一須要注意的是硬盤的大小!
TCPDump使用方法小結
2011-11-11 16:56:17 我來講兩句
收藏 我要投稿
在進行網絡測試的時候,咱們常常須要進行抓包的工做,固然有許多測試工具能夠使用,好比sniffer, ethreal等.但最爲方便和簡單得就非TCPDump莫屬. Linux的發行版裏基本都包括了這個工具. TCPDump將網絡接口設置成混雜模式以便捕獲到達的每個數據包.下面給出TCPDump的部分經常使用選項:
-i <interface> 指定監聽的網絡接口
-v指定詳細模式輸出詳細的報文信息
-vv指定更詳細模式輸出更詳細的報文信息
-x指定以16進制數格式顯示數據包
-X規定以ASCII碼格式顯示輸出
-n規定在捕獲過程當中不需向DNS查詢IP地址
-F <file> 從指定文件中讀取表達式
-D顯示可用網絡接口
-s <length> 設置捕獲數據包的長度
TCPDump的表達式:
默認狀況下TCPDump將捕獲全部到達網絡的數據包.這並非咱們想要的,所以就必須經過表達式來限制沒必要要的流量,只輸出咱們須要監聽的數據包.
1.類型限定詞
類型限定詞有: host, port和net. host用來指定主機或目的地址,port指定端口,net能夠用來指定某一子網. 如:
tcpdump 'port 80' 監聽80端口
tcpdump 'net 192.168.1' 監聽子網192.168.1.0
tcpdump 'net 192.168.1.0/24'
2.邏輯運算符
邏輯運算符有AND,OR和NOT. ()可將多個表達式組合起來.
tcpdump 'port 80 and (host 192.168.1.10 or host 192.168.1.11)'
監聽主機192.168.1.10 或192.168.1.11的80端口.
3.傳輸方向限定詞
關鍵詞src指定源地址,dst指定目的地址
tcpdump 'port 80 and (src 192.168.1.10 or src 192.168.1.11)'
tcpdump 'dst port 25'
4.協議限定詞
用來捕獲特定協議的數據包有: ether(Ethernet), TCP,UDP,ICMP,IP,ip6(IPv6),ARP,rarp(reverse ARP)等.
5.原語
原語主要有: 算術運算符(+,-,*,/,>,<,>=,<=,!=等), broadcast, gateway, greater, less.
broadcast捕獲廣播數據包, greater和less至關於>=和<=.
小例子:
//本機20000端口通信數據抓包
tcpdump -s 0 -i lo port 20000 -w /tmp/20000.pcap
//10.8.2.181:7001端口通信數據抓包
tcpdump -i eth0 -s 0 host 10.8.2.181 and port 7001 -w /tmp/syrk.pcap
Tcpdump的詳細用法
1. TCPDump介紹
TcpDump能夠將網絡中傳送的數據包的「頭」徹底截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。tcpdump就是一種免費的網絡分析工具,尤爲其提供了源代碼,公開了接口,所以具有很強的可擴展性,對於網絡維護和入侵者都是很是有用的工具。tcpdump存在於基本的FreeBSD系統中,因爲它須要將網絡界面設置爲混雜模式,普通用戶不能正常執行,但具有root權限的用戶能夠直接執行它來獲取網絡上的信息。所以系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其餘計算機的安全存在威脅。
咱們用盡可能簡單的話來定義tcpdump,就是:dump the traffice on anetwork.,根據使用者的定義對網絡上的數據包進行截獲的包分析工具。做爲互聯網上經典的的系統管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成爲每一個高級的系統管理員分析網絡,排查問題等所必備的東西之一。tcpdump提供了源代碼,公開了接口,所以具有很強的可擴展性,對於網絡維護和入侵者都是很是有用的工具。tcpdump存在於基本的FreeBSD系統中,因爲它須要將網絡界面設置爲混雜模式,普通用戶不能正常執行,但具有root權限的用戶能夠直接執行它來獲取網絡上的信息。所以系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其餘計算機的安全存在威脅。
2. TcpDump的使用
普通狀況下,直接啓動tcpdump將監視第一個網絡界面上全部流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
tcpdump支持至關多的不一樣參數,如使用-i參數指定tcpdump監聽的網絡界面,這在計算機具備多個網絡界面時很是有用,使用-c參數指定要監聽的數據包數量,使用-w參數指定將監聽到的數據包寫入文件中保存,等等。
然而更復雜的tcpdump參數是用於過濾目的,這是由於網絡中流量很大,若是不加分辨將全部的數據包都截留下來,數據量太大,反而不容易發現須要的數據包。使用這些參數定義的過濾規則能夠截留特定的數據包,以縮小目標,才能更好的分析網絡中存在的問題。tcpdump使用參數指定要監視數據包的類型、地址、端口等,根據具體的網絡問題,充分利用這些過濾規則就能達到迅速定位故障的目的。請使用man tcpdump查看這些過濾規則的具體用法。
顯然爲了安全起見,不用做網絡管理用途的計算機上不該該運行這一類的網絡分析軟件,爲了屏蔽它們,能夠屏蔽內核中的bpfilter僞設備。通常狀況下網絡硬件和TCP/IP堆棧不支持接收或發送與本計算機無關的數據包,爲了接收這些數據包,就必須使用網卡的混雜模式,並繞過標準的TCP/IP堆棧才行。在FreeBSD下,這就須要內核支持僞設備bpfilter。所以,在內核中取消bpfilter支持,就能屏蔽tcpdump之類的網絡分析工具。
而且當網卡被設置爲混雜模式時,系統會在控制檯和日誌文件中留下記錄,提醒管理員留意這臺系統是否被用做攻擊同網絡的其餘計算機的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
雖然網絡分析工具能將網絡中傳送的數據記錄下來,可是網絡中的數據流量至關大,如何對這些數據進行分析、分類統計、發現並報告錯誤倒是更關鍵的問題。網絡中的數據包屬於不一樣的協議,而不一樣協議數據包的格式也不一樣。所以對捕獲的數據進行解碼,將包中的信息儘量的展現出來,對於協議分析工具來說更爲重要。昂貴的商業分析工具的優點就在於它們能支持不少種類的應用層協議,而不只僅只支持tcp、udp等低層協議。
從上面tcpdump的輸出能夠看出,tcpdump對截獲的數據並無進行完全解碼,數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,而後再使用其餘程序進行解碼分析。固然也應該定義過濾規則,以免捕獲的數據包填滿整個硬盤。FreeBSD提供的一個有效的解碼程序爲tcpshow,它能夠經過Packages Collection來安裝。
# pkg_add /cdrom/packages/security/tcpshow*
# tcpdump -c 3 -w tcpdump.out
tcpdump: listening on fxp0
# tcpshow < tcpdump.out
---------------------------------------------------------------------------
Packet 1
TIME:12:00:59.984829
LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026
<*** No decode support for encapsulated protocol ***>
---------------------------------------------------------------------------
Packet 2
TIME:12:01:01.074513 (1.089684)
LINK:00:A0:C9:AB:3C:DF -> FF:FF:FF:FF:FF:FF type=ARP
ARP:htype=Ethernet ptype=IP hlen=6 plen=4 op=request
sender-MAC-addr=00:A0:C9:AB:3C:DF sender-IP-address=202.102.245.3
target-MAC-addr=00:00:00:00:00:00 target-IP-address=202.102.245.3
---------------------------------------------------------------------------
Packet 3
TIME:12:01:01.985023 (0.910510)
LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026
<*** No decode support for encapsulated protocol ***>
tcpshow能以不一樣方式對數據包進行解碼,並以不一樣的方式顯示解碼數據,使用者能夠根據其手冊來選擇最合適的參數對截獲的數據包進行分析。從上面的例子中能夠看出,tcpshow支持的協議也並不豐富,對於它不支持的協議就沒法進行解碼。
除了tcpdump以外,FreeBSD的PackagesCollecion中還提供了Ethereal和Sniffit兩個網絡分析工具,以及其餘一些基於網絡分析方式的安全工具。其中Ethereal運行在X Window 下,具備不錯的圖形界面,Sniffit使用字符窗口形式,一樣也易於操做。然而因爲tcpdump對過濾規則的支持能力更強大,所以系統管理員仍然更喜歡使用它。對於有經驗的網絡管理員,使用這些網絡分析工具不但能用來了解網絡究竟是如何運行的,故障出如今何處,還能進行有效的統計工做,如那種協議產生的通訊量佔主要地位,那個主機最繁忙,網絡瓶頸位於何處等等問題。所以網絡分析工具是用於網絡管理的寶貴系統工具。爲了防止數據被濫用的網絡分析工具截獲,關鍵仍是要在網絡的物理結構上解決。經常使用的方法是使用交換機或網橋將信任網絡和不信任網絡分隔開,能夠防止外部網段竊聽內部數據傳輸,但仍然不能解決內部網絡與外部網絡相互通訊時的數據安全問題。若是沒有足夠的經費將網絡上的共享集線器升級爲以太網交換機,能夠使用FreeBSD系統執行網橋任務。這須要使用option BRIDGE編譯選項從新定製內核,此後使用bridge命令啓動網橋功能。
tcpdump採用命令行方式,它的命令格式爲:
tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]
[ -i 網絡接口 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達式 ]
(1). tcpdump的選項介紹
-a 將網絡地址和廣播地址轉變成名字;
-d 將匹配信息包的代碼以人們可以理解的彙編格式給出;
-dd 將匹配信息包的代碼以c語言程序段的格式給出;
-ddd 將匹配信息包的代碼以十進制的形式給出;
-e 在輸出行打印出數據鏈路層的頭部信息;
-f 將外部的Internet地址以數字的形式打印出來;
-l 使標準輸出變爲緩衝行形式;
-n 不把網絡地址轉換成名字;
-t 在輸出的每一行不打印時間戳;
-v 輸出一個稍微詳細的信息,例如在ip包中能夠包括ttl和服務類型的信息;
-vv 輸出詳細的報文信息;
-c 在收到指定的包的數目後,tcpdump就會中止;
-F 從指定的文件中讀取表達式,忽略其它的表達式;
-i 指定監聽的網絡接口;
-r 從指定的文件中讀取包(這些包通常經過-w選項產生);
-w 直接將包寫入文件中,並不分析和打印出來;
-T 將監聽到的包直接解釋爲指定的類型的報文,常見的類型有rpc (遠程過程調用)和snmp(簡單網絡管理協議;)
(2). tcpdump的表達式介紹
http://anheng.com.cn/news/24/586.html 表達式是一個正則表達式,tcpdump利用它做爲過濾報文的條件,若是一個報文知足表達式的條件,則這個報文將會被捕獲。若是沒有給出任何條件,則網絡上全部的信息包將會被截獲。在表達式中通常以下幾種類型的關鍵字。
第一種是關於類型的關鍵字,主要包括host,net,port, 例如 host 210.27.48.2,指明210.27.48.2是一臺主機,net 202.0.0.0 指明 202.0.0.0是一個網絡地址,port 23指明端口號是23。若是沒有指定類型,缺省的類型是host. http://anheng.com.cn/news/24/586.html
第二種是肯定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src,這些關鍵字指明瞭傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net202.0.0.0 指明目的網絡地址是202.0.0.0 。若是沒有指明方向關鍵字,則缺省是src or dst關鍵字。
http://anheng.com.cn/news/24/586.html 第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定的網絡協議,實際上它是"ether"的別名,fddi和ether具備相似的源地址和目的地址,因此能夠將fddi協議包看成ether的包進行處理和分析。其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議,則tcpdump將會監聽全部協議的信息包。
除了這三種類型的關鍵字以外,其餘重要的關鍵字以下:gateway,broadcast,less,greater,還有三種邏輯運算,取非運算是 'not ' '! ',與運算是'and','&&';或運算 是'or','││';這些關鍵字能夠組合起來構成強大的組合條件來知足人們的須要,下面舉幾個例子來講明。
A想要截獲全部210.27.48.1 的主機收到的和發出的全部的數據包:
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令:(在命令行中使用括號時,必定要添加'\')
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123
F 系統將只對名爲hostname的主機的通訊數據包進行監視。主機名能夠是本地主機,也能夠是網絡上的任何一臺計算機。下面的命令能夠讀取主機hostname發送的全部數據:
#tcpdump -i eth0 src host hostname
G 下面的命令能夠監視全部送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 咱們還能夠監視經過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 若是你還想監視編址到指定端口的TCP或UDP數據包,那麼執行如下命令:
#tcpdump -i eth0 host hostname and port 80
J 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令:
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
(3). tcpdump的輸出結果介紹
http://anheng.com.cn/news/24/586.html 下面咱們介紹幾種典型的tcpdump命令的輸出信息
A,數據鏈路層頭信息
使用命令: #tcpdump --e host ice
ice 是一臺裝有linux的主機,她的MAC地址是0:90:27:58:AF:1A
H219是一臺裝有SOLARIC的SUN工做站,它的MAC地址是8:0:20:79:5B:46;上一條命令的輸出結果以下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析:21:50:12是顯示的時間, 847509是ID號,eth0 <表示從網絡接口eth0 接受該數據包,eth0>表示從網絡接口設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它代表是從源地址H219發來的數據包.0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是代表該數據包是IP數據包,60是數據包的長度, h219.33357 > ice.telnet代表該數據包是從主機H219的33357端口發往主機ICE的TELNET(23)端口. ack 22535代表對序列號是222535的包進行響應. win 8760代表發送窗口的大小是8760.
B,ARP包的TCPDUMP輸出信息
使用命令:#tcpdump arp
獲得的輸出結果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >代表從主機發出該數據包, arp代表是ARP請求包,who-has route tell ice代表是主機ICE請求主機ROUTE的MAC地址。0:90:27:58:af:1a是主機ICE的MAC地址。
C,TCP包的輸出信息
用TCPDUMP捕獲的TCP包的通常輸出信息是:
src > dst: flags data-seqno ack window urgent options
src> dst:代表從源地址到目的地址, flags是TCP包中的標誌信息,S 是SYN標誌, F (FIN), P (PUSH) , R(RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次指望的順序號,window是接收緩存的窗口大小, urgent代表數據包中是否有緊急指針. Options是選項.
D,UDP包的輸出信息
用TCPDUMP捕獲的UDP包的通常輸出信息是:
route.port1 > ice.port2: udp lenth
UDP十分簡單,上面的輸出行代表從主機ROUTE的port1端口發出的一個UDP數據包到主機ICE的port2端口,類型是UDP, 包的長度是lenth
3. 輔助工具
(1) 想查看TCP或者UDP端口使用狀況,使用 netstat -anp
若是有些進程看不見,如只顯示」-」,能夠嘗試
sudo netstat -anp
若是想看某個端口的信息,使用lsof命令,如:
sudo lsof -i :631
-bash-3.00# netstat -tln
netstat -tln 命令是用來查看linux的端口使用狀況
/etc/init.d/vsftp start 是用來啓動ftp端口~!
看文件/etc/services
netstat
查看已經鏈接的服務端口(ESTABLISHED)
netstat -a
查看全部的服務端口(LISTEN,ESTABLISHED)
sudo netstat -ap
查看全部 的服務端口並顯示對應的服務程序名
nmap <掃描類型><掃描參數>
例如:
nmap localhost
nmap -p 1024-65535 localhost
nmap -PT 192.168.1.127-245
當咱們使用 netstat -apn 查看網絡鏈接的時候,會發現不少相似下面的內容:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 52 218.104.81.152:7710 211.100.39.250:29488 ESTABLISHED 6111/1
顯示這臺服務器開放了7710端口,那麼 這個端口屬於哪一個程序呢?咱們能夠使用 lsof -i :7710 命令來查詢:
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 1990 root 3u IPv4 4836 TCP *:7710 (LISTEN)
這樣,咱們就知道了7710端口是屬於sshd程序的。
(2) 運行tcpdump命令出現錯誤信息排除
tcpdump: no suitable device found
tcpdump: no devices found /dev/bpf4: A file or directory in the path name does not exist.
解決方案 2種緣由:
1.權限不夠,通常不通過處理,只用root用戶能使用tcpdump
2.缺省只能同時使用4個tcpdump,如用完,則報此類錯。須要停掉多餘的tcpdump
tcpdump高級用法
分類: C/C++/linux 2007-12-14 16:27 5663人閱讀 評論(0) 收藏 舉報
primitivetcpdstoutputinterface網絡
Tcpdump高級用法
做者:林海楓
http://blog.csdn.net/linyt
[*]轉載請註明做者,請匆用於商業用途。
在linux下輸入man tcpdump,在manual的開始會看到以下內容:
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -Z user ]
[ expression ]
這是tcpdump的格式介紹,本文只分析[expression]的寫法,如何寫出 嚴格的匹配條件。由於在大型的網絡中,數據包的目數是很是多的,若是不進行嚴格的匹配,可能對協議的分析形成很大影響。 在此不討論expression前面的選項,所以它在手冊有比較全面的介紹,下面就expression進行介紹。
[expression]的用法:
expression是tcpdump最爲有用的高級用法,能夠利用它來匹配一些特殊的包。下面介紹一下expression的用法,主要是如何寫出符合要求最爲嚴格expression。若是tcpdump中沒有expression,那麼tcpdump會把網卡上的全部數據包輸出,不然會將被expression匹配的包輸出。
expression 由一個或多個[primitives]組成,而[primitives]由一個或多個[qualitifer]加一個id(name)或數字組成,它們的結構如用正則表達式則可表示爲:
expression = ([qualitifer]+(id|number))+
依次看來,expression是一個複雜的條件表達式,其中[qualitifer]+(id|number)就是一個比較基本條件,qualitifer就表達一些的名稱(項,變量),id或number則表示一個值(或常量)。
qualitifer共有三種,分別是:
type 表示id name或number涉及到的類型,這些詞有host, nest, port ,portrange等等。
例子:
host foo 此爲一個簡單的primitive,host爲qualitifer, foo爲id name
net 128.3 net爲qualitifer, 128.3爲number
port 20
等等
每一個privimtive必須有一個type詞,若是表達式中沒有,則默認是host.
dir 指定數據傳輸的方向,這些詞有src, dst, src or dst, src and dst
例子:
dst net 128.3 ;此爲一個相對複雜的primitive,結構爲dir type number,表示目標網絡爲128.3的條件。
src or dst port ftp-data 此爲比上一個相對簡的結構,src or dst表示源或目標,ftp-data爲id,表示ftp協議中數據傳輸端口,故總體表示源或目標端口ftp-data的數據包即匹配。
若是在一個primitive中沒有dir詞,此默認爲src or dst. 如 host foo則表示源或目標主機爲foo的數據包都匹配。
proto 此種詞是用來匹配某種特定協議的,這些詞包括:ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet,tcp和udp。其實這些詞常常用來匹配某種協議,是使用率最高的一組詞了。
上面三種qualitifer和id name或number組成一個primitive一般是下面這種方式的:
proto dir type id(number) ,即primitive=proto dir type (id | number)
如:
tcp src port 80
ip dst host 192.168.1.1
若是出現type的話,必定會出現id或num
若是出現dir,那麼也會出現type,若是不出現,默認爲host
而proto可單獨出現,如 tcpdump 'tcp'
經過上面介紹的三種qualitifer,咱們很快就能夠寫出一個primitive,下面我就只用一個primitive做爲expression匹配數據包。
(1)匹配ether包
匹配特定mac地址的數據包。
tcpdump 'ether src 00:19:21:1D:75:E6'
匹配源mac爲00:19:21:1D:75:E6的數據包其中src可改成dst, src or dst來匹改變條件
匹配ether廣播包。ether廣播包的特徵是mac全1.故以下便可匹配:
tcpdump 'ether dst ff:ff:ff:ff:ff:ff'
ylin@ylin:~$ sudo tcpdump -c 1 'ether dst ff:ff:ff:ff:ff:ff'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:47:57.784099 arp who-has 192.168.240.77 tell 192.168.240.189
在此,只匹配1個包就退出了。第一個是arp請求包,arp請求包的是採用廣播的方式發送的,被匹配那是當之無愧的。
匹配ether組播包,ether的組播包的特徵是mac的最高位爲1,其它位用來表示組播組編號,若是你想匹配其的多播組,知道它的組MAC地址便可。如
tcpdump 'ether dst <Mac_Adrress>' Mac_Address表示地址,填上適當的便可。若是想匹配全部的ether多播數據包,那麼暫時請放下,下面會繼續爲你講解更高級的應用。
(2)匹配arp包
arp包用於IP到Mac址轉換的一種協議,包括arp請求和arp答應兩種報文,arp請求報文是ether廣播方式發送出去的,也即 arp請求報文的mac地址是全1,所以用ether dst FF;FF;FF;FF;FF;FF能夠匹配arp請求報文,但不能匹配答應報文。所以要匹配arp的通訊過程,則只有使用arp來指定協議。
tcpdump 'arp' 便可匹配網絡上arp報文。
ylin@ylin:~$ arping -c 4 192.168.240.1>/dev/null& sudo tcpdump -p 'arp'
[1] 9293
WARNING: interface is ignored: Operation not permitted
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:09:25.042479 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:25.042702 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:26.050452 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:26.050765 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:27.058459 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:27.058701 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:33.646514 arp who-has ylin.local tell 192.168.240.1
11:09:33.646532 arp reply ylin.local is-at 00:19:21:1d:75:e6 (oui Unknown)
本例中使用arping -c 4 192.168.240.1產生arp請求和接收答應報文,而tcpdump -p 'arp'匹配出來了。此處-p選項是使網絡工做於正常模式(非混雜模式),這樣是方便查看匹配結果。
(3)匹配IP包
衆所周知,IP協議是TCP/IP協議中最重要的協議之一,正是由於它才能把Internet互聯起來,它可謂功不可沒,下面分析匹配IP包的表達式。
對IP進行匹配
tcpdump 'ip src 192.168.240.69'
ylin@ylin:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:20:00.973605 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840 <mss 1460,sackOK,timestamp 1687608 0,nop,wscale 5>
11:20:00.974328 IP ylin.local.32849 > 192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)
11:20:01.243490 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183 <nop,nop,timestamp 1687676 4155416897>
IP廣播組播數據包匹配:只需指明廣播或組播地址便可
tcpdump 'ip dst 240.168.240.255'
ylin@ylin:~$ sudo tcpdump 'ip dst 192.168.240.255'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:25:29.690658 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 1, length 64
11:25:30.694989 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 2, length 64
11:25:31.697954 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 3, length 64
11:25:32.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 4, length 64
11:25:33.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 5, length 64
11:25:34.697982 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 6, length 64
此處匹配的是ICMP的廣播包,要產生此包,只須要同一個局域網的另外一臺主機運行ping -b 192.168.240.255便可,固然還可產生組播包,因爲沒有適合的軟件進行模擬產生,在此不舉例子。
(4)匹配TCP數據包
TCP一樣是TCP/IP協議棧裏面最爲重要的協議之一,它提供了端到端的可靠數據流,同時不少應用層協議都是把TCP做爲底層的通訊協議,由於TCP的匹配是很是重要的。
若是想匹配HTTP的通訊數據,那隻需指定匹配端口爲80的條件便可
tcpdump 'tcp dst port 80'
ylin@ylin:~$ wget http://www.baidu.com 2>1 1 >/dev/null & sudo tcpdump -c 5 'tcp port 80'
[1] 10762
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:02:47.549056 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: S 1202130469:1202130469(0) ack 1132882351 win 2896 <mss 1460,sackOK,timestamp 3497190920 2329221,nop,wscale 2>
12:02:47.549085 IP ylin.local.47945 > xd-22-43-a8.bta.net.cn.www: . ack 1 win 183 <nop,nop,timestamp 2329258 3497190920>
12:02:47.549226 IP ylin.local.47945 > xd-22-43-a8.bta.net.cn.www: P 1:102(101) ack 1 win 183 <nop,nop,timestamp 2329258 3497190920>
12:02:47.688978 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: . ack 102 win 698 <nop,nop,timestamp 3497190956 2329258>
12:02:47.693897 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: . 1:1409(1408) ack 102 win 724 <nop,nop,timestamp 3497190957 2329258>
(5)匹配udp數據包
udp是一種無鏈接的非可靠的用戶數據報,所以udp的主要特徵一樣是端口,用以下方法能夠匹配某一端口
tcpdump 'upd port 53' 查看DNS的數據包
ylin@ylin:~$ ping -c 1 www.baidu.com > /dev/null& sudo tcpdump -p udp port 53
[1] 11424
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:28:09.221950 IP ylin.local.32853 > 192.168.200.150.domain: 63228+ PTR? 43.22.108.202.in-addr.arpa. (44)
12:28:09.222607 IP ylin.local.32854 > 192.168.200.150.domain: 5114+ PTR? 150.200.168.192.in-addr.arpa. (46)
12:28:09.487017 IP 192.168.200.150.domain > ylin.local.32853: 63228 1/0/0 (80)
12:28:09.487232 IP 192.168.200.150.domain > ylin.local.32854: 5114 NXDomain* 0/1/0 (140)
12:28:14.488054 IP ylin.local.32854 > 192.168.200.150.domain: 60693+ PTR? 69.240.168.192.in-addr.arpa. (45)
12:28:14.755072 IP 192.168.200.150.domain > ylin.local.32854: 60693 NXDomain 0/1/0 (122)
使用ping www.baidu.com目標是產生DNS請求和答應,53是DNS的端口號。
此外還有不少qualitifer是尚未說起的,下面是其它合法的primitive,在tcpdump中是能夠直接使用的。
gateway host
匹配使用host做爲網關的數據包,即數據報中mac地址(源或目的)爲host,但IP報的源和目的地址不是host的數據包。
dst net net
src net net
net net
net net mask netmask
net net/len
匹配IPv4/v6地址爲net網絡的數據報。
其中net能夠爲192.168.0.0或192.168這兩種形式。如net 192.168 或net 192.168.0.0
net net mask netmask僅對IPv4數據包有效,如net 192.168.0.0 mask 255.255.0.0
net net/len一樣只對IPv4數據包有效,如net 192.168.0.0/16
dst portrange port1-port2
src portrange port1-port2
portrange port1-port2
匹配端口在port1-port2範圍內的ip/tcp,ip/upd,ip6/tcp和ip6/udp數據包。dst, src分別指明源或目的。沒有則表示src or dst
less length 匹配長度少於等於length的報文。
greater length 匹配長度大於等於length的報文。
ip protochain protocol 匹配ip報文中protocol字段值爲protocol的報文
ip6 protochain protocol 匹配ipv6報文中protocol字段值爲protocol的報文
如tcpdump 'ip protochain 6 匹配ipv4網絡中的TCP報文,與tcpdump 'ip && tcp'用法同樣,這裏的&&鏈接兩個primitive。6是TCP協議在IP報文中的編號。
ether broadcast
匹配以太網廣播報文
ether multicast
匹配以太網多播報文
ip broadcast
匹配IPv4的廣播報文。也即IP地址中主機號爲全0或全1的IPv4報文。
ip multicast
匹配IPv4多播報文,也就是IP地址爲多播地址的報文。
ip6 multicast
匹配IPv6多播報文,即IP地址爲多播地址的報文。
vlan vlan_id
匹配爲vlan報文 ,且vlan號爲vlan_id的報文
到些爲此,咱們一直在介紹primitive是如何使用的,也即expression只有一個primitive。經過學會寫好每一個primtive,咱們就很容易把多個primitive組成一個expression,方法很簡單,經過邏輯運算符鏈接起來就能夠了,邏輯運算符有如下三個:
「&&」 或」and」
「||」 或「or」
「!」 或「not」
而且可經過()進行復雜的鏈接運算。
如tcpdump ‘ip && tcp’
tcpdump ‘ host 192.168.240.3 &&( tcp port 80 || tcp port 443)’
經過上面的各類primitive,咱們能夠寫出很豐富的條件,如ip, tcp, udp,vlan等等。如IP,能夠按址址進行匹,tcp/udp能夠按端口匹配。可是,若是我想匹配更細的條件呢?如tcp中只含syn標誌,fin標誌的報文呢?上面的primitive恐怕無能爲力了。不用怕,tcpdump爲你提供最後一個功能最強大的primitive,記住是primitive,而不是expression。你能夠用多個這個的primitive組成更復雜的 expression.
最後一個primitive形式爲 expr relop expr
若把這個形式記爲A,那麼你可這樣寫tcpdump 'A1 && A2 && ip src 192.168.200.1',等等。
下面咱們就來分析A這個形式,看看這是如何強大,若是你以爲很亂的話,建議你先用用上面的知識來實際操做幾回,要否則就會很亂的,由於expression太複雜了。
形式:expr relop expr
relop表示關係操做符,能夠爲>, < ,>=,<=, =, !=之一,
expr是一個算術表達式,由整數組成和二元運算符(+,-,*,/,&,|, <<, >>),長度操做,報文數據訪問子。同時全部的整數都是無符號的,即0x80000000 和 0xffffffff > 0。爲了訪問報文中的數據,可以使用以下方式:
proto [ expr : size ]
proto表示該問的報文,expr的結果表示該報文的偏移,size爲可選的,表示從expr偏移量起的szie個字節,整個表達式爲proto報文 中,expr起的szie字節的內容(無符號整數)
下面是expr relop expr這種形式primitive的例子:
'ether[0] & 1 !=0' ether報文中第0個bit爲1,即以太網廣播或組播的primtive。
經過這種方式,咱們能夠對報文的任何一個字節進行匹配了,所以它的功能是十分強大的。
‘ip[0] = 4’ ip報文中的第一個字節爲version,即匹配IPv4的報文,
若是咱們想匹配一個syn報文,能夠使用:'tcp[13] = 2',由於tcp的標誌位爲TCP報文的第13個字節,而syn在這個字節的低1位,故匹配只有syn標誌的報文,上述條件是可滿要求的,而且比較嚴格。
若是想匹配ping命令的請求報文,能夠使用'icmp[0]=8',由於icmp報文的第0字符表示類型,當類型值爲8時表示爲回顯示請求。
對於TCP和ICMP中經常使用的字節,如TCP中的標誌位,ICMP中的類型,這個些偏移量有時會忘記。不過tcpdump爲你提供更方便的用法,你不用記位這些數字,用字符就能夠代替了.
對於ICMP報文,類型字節能夠icmptype來表示它的偏稱量,上面的primitive可改成'icmp[icmptype] =8',若是8也記不住怎麼辦?tcpdump還爲該字節的值也提供了字符表示,如'icmp[icmptype] = icmp-echo'。
下面是tcpdump提供的字符偏移量:
icmptype:表示icmp報文中類弄字節的偏移量
icmpcode:表示icmp報文中編碼字節的偏移量
tcpflags:表示TCP報文中標誌位字節的偏移量
此外,還提供了不少值來對應上面的偏移字節:
ICMP中類型字節的值能夠是:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redi‐rect, icmp-echo, icmp-routeradvert, icmp-routersolicit,
icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstam‐preply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
TCP中標誌位字節的值能夠是:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.
經過上面的字符表示,咱們能夠寫出下面的primitive
'tcp[tcpflags] = tcp-syn' 匹配只有syn標誌設置爲1的 tcp報文
'tcp[tcpflags] & (tcp-syn |tcp-ack |tcp-fin) !=0' 匹配含有syn,或ack或fin標誌位的TCP報文
對於IP報文,沒有提供字符支持,若是想匹配更細的條件,直接使用數字指字偏移量就能夠了,不過要對IP報文有更深刻的瞭解才能夠。
學會寫primitive後,expression就是小菜一碟了,由一個或多個primitive組成,而且邏輯鏈接符組成便可:
tcpdump ‘host 192.168.240.91 && icmp[icmptype] = icmp-echo’
tcpdump ‘host 192.168.1.100 && vrrp’
tcpdump 'ether src 00:00:00:00:00:02 && ether[0] & 1 !=0'
讓你爲所欲爲地使用tcpdump,將不用再從複雜的輸出中去挑報文了!
如此,咱們能夠寫出更復雜的表達式來匹配報文,如IP或TCP中的報文id,IP是中的分段標誌,ICMP中類型和代碼等。
參考資料:
[1] Tcpdump manual.
[2] http://www.tcpdump.org/
Linux tcpdump 命令詳細用法
簡單介紹
用簡單的話來定義tcpdump,就是:dump the traffic on a network,依據使用者的定義對網絡上的數據包進行截獲的包分析工具。 tcpdump可以將網絡中傳送的數據包的「頭」全然截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或port的過濾,並提供and、or、not等邏輯語句來幫助你去掉沒用的信息。
有用命令實例
默認啓動
tcpdump
通常狀況下,直接啓動tcpdump將監視第一個網絡接口上所有流過的數據包。
監視指定網絡接口的數據包
tcpdump -i eth1
假設不指定網卡,默認tcpdump僅僅會監視第一個網絡接口,通常是eth0,下面的樣例都沒有指定網絡接口。
監視指定主機的數據包
打印所有進入或離開sundown的數據包.
tcpdump host sundown
也可以指定ip,好比截獲所有210.27.48.1 的主機收到的和發出的所有的數據包
tcpdump host 210.27.48.1
打印helios 與 hot 或者與 ace 之間通訊的數據包
tcpdump host helios and \( hot or ace \)
截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊
tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
打印ace與不論什麼其餘主機之間通訊的IP 數據包, 但不包含與helios之間的數據包.
tcpdump ip host ace and not helios
假設想要獲取主機210.27.48.1除了和主機210.27.48.2以外所有主機通訊的ip包,使用命令:
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
截獲主機hostname發送的所有數據
tcpdump -i eth0 src host hostname
監視所有送到主機hostname的數據包
tcpdump -i eth0 dst host hostname
監視指定主機和port的數據包
假設想要獲取主機210.27.48.1接收或發出的telnet包,使用例如如下命令
tcpdump tcp port 23 host 210.27.48.1
對本機的udp 123 port進行監視 123 爲ntp的服務port
tcpdump udp port 123
監視指定網絡的數據包
打印本地主機與Berkeley網絡上的主機之間的所有通訊數據包(nt: ucb-ether, 此處可理解爲'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達爲: 打印網絡地址爲ucb-ether的所有數據包)
tcpdump net ucb-ether
打印所有經過網關snup的ftp數據包(注意, 表達式被單引號括起來了, 這可以防止shell對當中的括號進行錯誤解析)
tcpdump 'gateway snup and (port ftp or ftp-data)'
打印所有源地址或目標地址是本地主機的IP數據包
(假設本地網絡經過網關連到了還有一網絡, 則還有一網絡並不能算做本地網絡.(nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字)
tcpdump ip and not net localnet
監視指定協議的數據包
打印TCP會話中的的開始和結束數據包, 而且數據包的源或目的不是本地網絡上的主機.(nt: localnet, 實際使用時要真正替換成本地網絡的名字))
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
打印所有源或目的port是80, 網絡層協議爲IPv4, 而且含有數據,而不是SYN,FIN以及ACK-only等不含數據的數據包.(ipv6的版本號的表達式可作練習)
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
(nt: 可理解爲, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度(ip[0]&0xf表明包中的IHL域, 而此域的單位爲32bit, 要換算
成字節數需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit, 換算成比特數爲 ((tcp[12]&0xf0) >> 4) << 2,
即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整個ip數據包的長度減去ip頭的長度,再減去
tcp頭的長度不爲0, 這就意味着, ip數據包中確實是有數據.對於ipv6版本號僅僅需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 而且當中表達方式'ip[]'需換成'ip6[]'.)
打印長度超過576字節, 而且網關地址是snup的IP數據包
tcpdump 'gateway snup and ip[2:2] > 576'
打印所有IP層廣播或多播的數據包, 但不是物理以太網層的廣播或多播數據報
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
打印除'echo request'或者'echo reply'類型之外的ICMP數據包( 比方,需要打印所有非ping 程序產生的數據包時可用到此表達式 .
(nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包一般由ping程序產生))
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
tcpdump 與wireshark
Wireshark(曾經是ethereal)是Windows下很easy易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。咱們可以用Tcpdump + Wireshark 的完美組合實現:在 Linux 裏抓包,而後在Windows 裏分析包。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
(2)-i eth1 : 僅僅抓通過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數據包時默認抓取長度爲68字節。加上-S 0 後可以抓到完整的數據包
(5)-c 100 : 僅僅抓取100個數據包
(6)dst port ! 22 : 不抓取目標port是22的數據包
(7)src net 192.168.1.0/24 : 數據包的源網絡地址爲192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
使用tcpdump抓取HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
0x4745 爲"GET"前兩個字母"GE",0x4854 爲"HTTP"前兩個字母"HT"。
tcpdump 對截獲的數據並無進行完全解碼,數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,一般的解決方法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,而後再使用其餘程序(如Wireshark)進行解碼分析。固然也應該定義過濾規則,以免捕獲的數據包填滿整個硬盤。
輸出信息含義
首先咱們注意一下,基本上tcpdump總的的輸出格式爲:系統時間 來源主機.port > 目標主機.port 數據包參數
tcpdump 的輸出格式與協議有關.下面簡要描述了大部分經常使用的格式及相關樣例.
鏈路層頭
對於FDDI網絡, '-e' 使tcpdump打印出指定數據包的'frame control' 域, 源和目的地址, 以及包的長度.(frame control域
控制對包中其餘域的解析). 通常的包(比方那些IP datagrams)都是帶有'async'(異步標誌)的數據包,而且有取值0到7的優先級;
比方 'async4'就表明此包爲異步數據包,而且優先級別爲4. 一般以爲,這些包們會內含一個 LLC包(邏輯鏈路控制包); 這時,假設此包
不是一個ISO datagram或所謂的SNAP包,其LLC頭部將會被打印(nt:應該是指此包內含的 LLC包的包頭).
對於Token Ring網絡(令牌環網絡), '-e' 使tcpdump打印出指定數據包的'frame control'和'access control'域, 以及源和目的地址,
外加包的長度. 與FDDI網絡類似, 此數據包一般內含LLC數據包. 不管 是否有'-e'選項.對於此網絡上的'source-routed'類型數據包(nt:
意譯爲:源地址被追蹤的數據包,詳細含義未知,需補充), 其包的源路由信息總會被打印.
對於802.11網絡(WLAN,即wireless local area network), '-e' 使tcpdump打印出指定數據包的'frame control域,
包頭中包含的所有地址, 以及包的長度.與FDDI網絡類似, 此數據包一般內含LLC數據包.
(注意: 下面的描述會假設你熟悉SLIP壓縮算法 (nt:SLIP爲Serial Line Internet Protocol.), 這個算法可以在
RFC-1144中找到相關的蛛絲馬跡.)
對於SLIP網絡(nt:SLIP links, 可理解爲一個網絡, 即經過串行線路創建的鏈接, 而一個簡單的鏈接也可當作一個網絡),
數據包的'direction indicator'('方向指示標誌')("I"表示入, "O"表示出), 類型以及壓縮信息將會被打印. 包類型會被首先打印.
類型分爲ip, utcp以及ctcp(nt:未知, 需補充). 對於ip包,鏈接信息將不被打印(nt:SLIP鏈接上,ip包的鏈接信息可能無用或未定義.
reconfirm).對於TCP數據包, 鏈接標識緊接着類型表示被打印. 假設此包被壓縮, 其被編碼過的頭部將被打印.
此時對於特殊的壓縮包,會例如如下顯示:
*S+n 或者 *SA+n, 當中n表明包的(順序號或(順序號和應答號))增長或下降的數目(nt | rt:S,SA拗口, 需再譯).
對於非特殊的壓縮包,0個或許多其餘的'改變'將會被打印.'改變'被打印時格式例如如下:
'標誌'+/-/=n 包數據的長度 壓縮的頭部長度.
當中'標誌'可以取下面值:
U(表明緊急指針), W(指緩衝窗體), A(應答), S(序列號), I(包ID),而增量表達'=n'表示被賦予新的值, +/-表示增長或下降.
比方, 下面顯示了對一個外發壓縮TCP數據包的打印, 這個數據包隱含一個鏈接標識(connection identifier); 應答號增長了6,
順序號增長了49, 包ID號增長了6; 包數據長度爲3字節(octect), 壓縮頭部爲6字節.(nt:如此看來這應該不是一個特殊的壓縮數據包).
ARP/RARP 數據包
tcpdump對Arp/rarp包的輸出信息中會包含請求類型及該請求對應的參數. 顯示格式簡潔明瞭. 下面是從主機rtsg到主機csam的'rlogin'
(遠程登陸)過程開始階段的數據包樣例:
arp who-has csam tell rtsg
arp reply csam is-at CSAM
第一行表示:rtsg發送了一個arp數據包(nt:向全網段發送,arp數據包)以詢問csam的以太網地址
Csam(nt:可從下文看出來, 是Csam)以她本身的以太網地址作了迴應(在這個樣例中, 以太網地址以大寫的名字標識, 而internet
地址(即ip地址)以所有的小寫名字標識).
假設使用tcpdump -n, 可以清楚看到以太網以及ip地址而不是名字標識:
arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4
假設咱們使用tcpdump -e, 則可以清楚的看到第一個數據包是全網廣播的, 而第二個數據包是點對點的:
RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM
第一個數據包代表:以arp包的源以太地址是RTSG, 目標地址是全以太網段, type域的值爲16進制0806(表示ETHER_ARP(nt:arp包的類型標識)),
包的總長度爲64字節.
TCP 數據包
(注意:下面將會假定你對 RFC-793所描述的TCP熟悉. 假設不熟, 下面描述以及tcpdump程序可能對你幫助不大.(nt:警告可忽略,
僅僅需繼續看, 不熟悉的地方可回頭再看.).
一般tcpdump對tcp數據包的顯示格式例如如下:
src > dst: flags data-seqno ack window urgent options
src 和 dst 是源和目的IP地址以及對應的port. flags 標誌由S(SYN), F(FIN), P(PUSH, R(RST),
W(ECN CWT(nt | rep:未知, 需補充))或者 E(ECN-Echo(nt | rep:未知, 需補充))組成,
單獨一個'.'表示沒有flags標識. 數據段順序號(Data-seqno)描述了此包中數據所對應序列號空間中的一個位置(nt:整個數據被分段,
每段有一個順序號, 所有的順序號構成一個序列號空間)(可參考下面樣例). Ack 描述的是同一個鏈接,同一個方向,下一個本端應該接收的
(對方應該發送的)數據片斷的順序號. Window是本端可用的數據接收緩衝區的大小(也是對方發送數據時需依據這個大小來組織數據).
Urg(urgent) 表示數據包中有緊急的數據. options 描述了tcp的一些選項, 這些選項都用尖括號來表示(如 <mss 1024>).
src, dst 和 flags 這三個域老是會被顯示. 其餘域的顯示與否依賴於tcp協議頭裏的信息.
這是一個從trsg到csam的一個rlogin應用登陸的開始階段.
rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1
第一行表示有一個數據包從rtsg主機的tcpport1023發送到了csam主機的tcpportlogin上(nt:udp協議的port和tcp協議的端
口是分別的兩個空間, 儘管取值範圍一致). S表示設置了SYN標誌. 包的順序號是768512, 而且沒有包含數據.(表示格式
爲:'first:last(nbytes)', 其含義是'此包中數據的順序號從first開始直到last結束,不包含last. 而且總共包含nbytes的
用戶數據'.) 沒有捎帶應答(nt:從下文來看,第二行纔是有捎帶應答的數據包), 可用的接受窗體的大小爲4096bytes, 而且請求端(rtsg)
的最大可接受的數據段大小是1024字節(nt:這個信息做爲請求發向應答端csam, 以便雙方進一步的協商).
Csam 向rtsg 回覆了基本相同的SYN數據包, 其差異僅僅是多了一個' piggy-backed ack'(nt:捎帶回的ack應答, 針對rtsg的SYN數據包).
rtsg 一樣針對csam的SYN數據包回覆了一ACK數據包做爲應答. '.'的含義就是此包中沒有標誌被設置. 由於此應答包中不含有數據, 因此
包中也沒有數據段序列號. 提醒! 此ACK數據包的順序號僅僅是一個小整數1. 有例如如下解釋:tcpdump對於一個tcp鏈接上的會話, 僅僅打印會話兩端的
初始數據包的序列號,其後對應數據包僅僅打印出與初始包序列號的差別.即初始序列號以後的序列號, 可被看做此會話上當前所傳數據片斷在整個
要傳輸的數據中的'相對字節'位置(nt:雙方的第一個位置都是1, 即'相對字節'的開始編號). '-S'將覆蓋這個功能,
使數據包的原始順序號被打印出來.
第六行的含義爲:rtsg 向 csam發送了19字節的數據(字節的編號爲2到20,傳送方向爲rtsg到csam). 包中設置了PUSH標誌. 在第7行,
csam 喊到, 她已經從rtsg中收到了21下面的字節, 但不包含21編號的字節. 這些字節存放在csam的socket的接收緩衝中, 對應地,
csam的接收緩衝窗體大小會下降19字節(nt:可以從第5行和第7行win屬性值的變化看出來). csam在第7行這個包中也向rtsg發送了一個
字節. 在第8行和第9行, csam 繼續向rtsg 分別發送了兩個僅僅包含一個字節的數據包, 而且這個數據包帶PUSH標誌.
假設所抓到的tcp包(nt:即這裏的snapshot)過小了,以致tcpdump沒法完整獲得其頭部數據, 這時, tcpdump會盡可能解析這個不完整的頭,
並把剩下不能解析的部分顯示爲'[|tcp]'. 假設頭部含有虛假的屬性信息(比方其長度屬性事實上比頭部實際長度長或短), tcpdump會爲該頭部
顯示'[bad opt]'. 假設頭部的長度告訴咱們某些選項(nt | rt:從下文來看, 指tcp包的頭部中針對ip包的一些選項, 回頭再翻)會在此包中,
而真正的IP(數據包的長度又不夠容納這些選項, tcpdump會顯示'[bad hdr length]'.
抓取帶有特殊標誌的的TCP包(如SYN-ACK標誌, URG-ACK標誌等).
在TCP的頭部中, 有8比特(bit)用做控制位區域, 其取值爲:
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
(nt | rt:從表達方式上可判斷:這8個位是用或的方式來組合的, 可回頭再翻)
現假設咱們想要監控創建一個TCP鏈接整個過程當中所產生的數據包. 可回顧例如如下:TCP使用3次握手協議來創建一個新的鏈接; 其與此三次握手
鏈接順序對應,並帶有對應TCP控制標誌的數據包例如如下:
1) 鏈接發起方(nt:Caller)發送SYN標誌的數據包
2) 接收方(nt:Recipient)用帶有SYN和ACK標誌的數據包進行迴應
3) 發起方收到接收方迴應後再發送帶有ACK標誌的數據包進行迴應
0 15 31
-----------------------------------------------------------------
| source port | destination port |
-----------------------------------------------------------------
| sequence number |
-----------------------------------------------------------------
| acknowledgment number |
-----------------------------------------------------------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
-----------------------------------------------------------------
| TCP checksum | urgent pointer |
-----------------------------------------------------------------
一個TCP頭部,在不包含選項數據的狀況下一般佔用20個字節(nt | rt:options 理解爲選項數據,需回譯). 第一行包含0到3編號的字節,
第二行包含編號4-7的字節.
假設編號從0開始算, TCP控制標誌位於13字節(nt:第四行左半部分).
0 7| 15| 23| 31
----------------|---------------|---------------|----------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
----------------|---------------|---------------|----------------
| | 13th octet | | |
讓咱們仔細看看編號13的字節:
| |
|---------------|
|C|E|U|A|P|R|S|F|
|---------------|
|7 5 3 0|
這裏有咱們感興趣的控制標誌位. 從右往左這些位被依次編號爲0到7, 從而 PSH位在3號, 而URG位在5號.
提醒一下本身, 咱們僅僅是要獲得包含SYN標誌的數據包. 讓咱們看看在一個包的包頭中, 假設SYN位被設置, 究竟
在13號字節發生了什麼:
|C|E|U|A|P|R|S|F|
|---------------|
|0 0 0 0 0 0 1 0|
|---------------|
|7 6 5 4 3 2 1 0|
在控制段的數據中, 惟獨比特1(bit number 1)被置位.
假設編號爲13的字節是一個8位的無符號字符型,而且依照網絡字節號排序(nt:對於一個字節來講,網絡字節序等同於主機字節序), 其二進制值
例如如下所看到的:
00000010
而且其10進制值爲:
0*2^7 + 0*2^6 + 0*2^5 + 0*2^4 + 0*2^3 + 0*2^2 + 1*2^1 + 0*2^0 = 2(nt: 1 * 2^6 表示1乘以2的6次方, 或許這樣更
清楚些, 即把原來表達中的指數7 6 ... 0挪到了下面來表達)
接近目標了, 由於咱們已經知道, 假設數據包頭部中的SYN被置位, 那麼頭部中的第13個字節的值爲2(nt: 依照網絡序, 即大頭方式, 最重要的字節
在前面(在前面,即該字節實際內存地址比較小, 最重要的字節,指數學表示中數的高位, 如356中的3) ).
表達爲tcpdump能理解的關係式就是:
tcp[13] 2
從而咱們可以把此關係式看成tcpdump的過濾條件, 目標就是監控僅僅含有SYN標誌的數據包:
tcpdump -i xl0 tcp[13] 2 (nt: xl0 指網絡接口, 如eth0)
這個表達式是說"讓TCP數據包的第13個字節擁有值2吧", 這也是咱們想要的結果.
現在, 假設咱們需要抓取帶SYN標誌的數據包, 而忽略它是否包含其餘標誌.(nt:僅僅要帶SYN就是咱們想要的). 讓咱們來看看當一個含有
SYN-ACK的數據包(nt:SYN 和 ACK 標誌都有), 來到時發生了什麼:
|C|E|U|A|P|R|S|F|
|---------------|
|0 0 0 1 0 0 1 0|
|---------------|
|7 6 5 4 3 2 1 0|
13號字節的1號和4號位被置位, 其二進制的值爲:
00010010
轉換成十進制就是:
0*2^7 + 0*2^6 + 0*2^5 + 1*2^4 + 0*2^3 + 0*2^2 + 1*2^1 + 0*2 = 18(nt: 1 * 2^6 表示1乘以2的6次方, 或許這樣更
清楚些, 即把原來表達中的指數7 6 ... 0挪到了下面來表達)
現在, 卻不能僅僅用'tcp[13] 18'做爲tcpdump的過濾表達式, 由於這將致使僅僅選擇含有SYN-ACK標誌的數據包, 其餘的都被丟棄.
提醒一下本身, 咱們的目標是: 僅僅要包的SYN標誌被設置就能夠, 其餘的標誌咱們不理會.
爲了達到咱們的目標, 咱們需要把13號字節的二進制值與其餘的一個數作AND操做(nt:邏輯與)來獲得SYN比特位的值. 目標是:僅僅要SYN 被設置
就能夠, 因而咱們就把她與上13號字節的SYN值(nt: 00000010).
00010010 SYN-ACK 00000010 SYN
AND 00000010 (we want SYN) AND 00000010 (we want SYN)
-------- --------
= 00000010 = 00000010
咱們可以發現, 不管包的ACK或其餘標誌是否被設置, 以上的AND操做都會給咱們相同的值, 其10進製表達就是2(2進製表達就是00000010).
從而咱們知道, 對於帶有SYN標誌的數據包, 下面的表達式的結果老是真(true):
( ( value of octet 13 ) AND ( 2 ) ) ( 2 ) (nt: value of octet 13, 即13號字節的值)
靈感隨之而來, 咱們因而獲得了例如如下的tcpdump 的過濾表達式
tcpdump -i xl0 'tcp[13] & 2 2'
注意, 單引號或反斜杆(nt: 這裏用的是單引號)不能省略, 這可以防止shell對&的解釋或替換.
UDP 數據包
UDP 數據包的顯示格式,可經過rwho這個詳細應用所產生的數據包來講明:
actinide.who > broadcast.who: udp 84
其含義爲:actinide主機上的portwho向broadcast主機上的portwho發送了一個udp數據包(nt: actinide和broadcast都是指Internet地址).
這個數據包承載的用戶數據爲84個字節.
一些UDP服務可從數據包的源或目的port來識別,也可從所顯示的更高層協議信息來識別. 比方, Domain Name service requests(DNS 請求,
在RFC-1034/1035中), 和Sun RPC calls to NFS(對NFSserver所發起的遠程調用(nt: 即Sun RPC),在RFC-1050中有對遠程調用的描述).
UDP 名稱服務請求
(注意:下面的描述假設你對Domain Service protoco(nt:在RFC-103中有所描述), 不然你會發現下面描述就是天書(nt:希臘文天書,
沒必要理會, 嚇嚇你的, 接着看就能夠))
名稱服務請求有例如如下的格式:
src > dst: id op? flags qtype qclass name (len)
(nt: 從下文來看, 格式應該是src > dst: id op flags qtype qclass? name (len))
比方有一個實際顯示爲:
h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)
主機h2opolo 向helios 上運行的名稱server查詢ucbvax.berkeley.edu 的地址記錄(nt: qtype等於A). 此查詢自己的id號爲'3'. 符號
'+'意味着遞歸查詢標誌被設置(nt: dnsserver可向更高層dnsserver查詢本server不包含的地址記錄). 這個終於經過IP包發送的查詢請求
數據長度爲37字節, 當中不包含UDP和IP協議的頭數據. 由於此查詢操做爲默認值(nt | rt: normal one的理解), op字段被省略.
假設op字段沒被省略, 會被顯示在'3' 和'+'之間. 一樣, qclass也是默認值, C_IN, 從而也沒被顯示, 假設沒被忽略, 她會被顯示在'A'以後.
異常檢查會在方括中顯示出附加的域: 假設一個查詢同一時候包含一個迴應(nt: 可理解爲, 對以前其餘一個請求的迴應), 而且此迴應包含權威或附加記錄段,
ancount, nscout, arcount(nt: 詳細字段含義需補充) 將被顯示爲'[na]', '[nn]', '[nau]', 當中n表明合適的計數. 假設包中下面
迴應位(比方AA位, RA位, rcode位), 或者字節2或3中不論什麼一個'必須爲0'的位被置位(nt: 設置爲1), '[b2&3]=x' 將被顯示, 當中x表示
頭部字節2與字節3進行與操做後的值.
UDP 名稱服務應答
對名稱服務應答的數據包,tcpdump會有例如如下的顯示格式
src > dst: id op rcode flags a/n/au type class data (len)
比方詳細顯示例如如下:
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)
第一行表示: helios 對h2opolo 所發送的3號查詢請求迴應了3條回答記錄(nt | rt: answer records), 3條名稱server記錄,
以及7條附加的記錄. 第一個回答記錄(nt: 3個回答記錄中的第一個)類型爲A(nt: 表示地址), 其數據爲internet地址128.32.137.3.
此迴應UDP數據包, 包含273字節的數據(不包含UPD和IP的頭部數據). op字段和rcode字段被忽略(nt: op的實際值爲Query, rcode, 即
response code的實際值爲NoError), 一樣被忽略的字段還有class 字段(nt | rt: 其值爲C_IN, 這也是A類型記錄默認取值)
第二行表示: helios 對h2opolo 所發送的2號查詢請求作了迴應. 迴應中, rcode編碼爲NXDomain(nt: 表示不存在的域)), 沒有回答記錄,
但包含一個名稱server記錄, 不包含權威server記錄(nt | ck: 從上文來看, 此處的authority records 就是上文中對應的additional
records). '*'表示權威server回答標誌被設置(nt: 從而additional records就表示的是authority records).
由於沒有回答記錄, type, class, data字段都被忽略.
flag字段還有可能出現其餘一些字符, 比方'-'(nt: 表示可遞歸地查詢, 即RA 標誌沒有被設置), '|'(nt: 表示被截斷的消息, 即TC 標誌
被置位). 假設應答(nt | ct: 可理解爲, 包含名稱服務應答的UDP數據包, tcpdump知道這類數據包該怎樣解析其數據)的'question'段一個條
目(entry)都不包含(nt: 每一個條目的含義, 需補充),'[nq]' 會被打印出來.
要注意的是:名稱server的請求和應答數據量比較大, 而默認的68字節的抓取長度(nt: snaplen, 可理解爲tcpdump的一個設置選項)可能不足以抓取
數據包的所有內容. 假設你真的需要仔細查看名稱server的負載, 可以經過tcpdump 的-s 選項來擴大snaplen值.
SMB/CIFS 解碼
tcpdump 已可以對SMB/CIFS/NBT相關應用的數據包內容進行解碼(nt: 分別爲'Server Message Block Common', 'Internet File System'
'在TCP/IP上實現的網絡協議NETBIOS的簡稱'. 這幾個服務一般使用UDP的137/138以及TCP的139port). 原來的對IPX和NetBEUI SMB數據包的
解碼能力依舊可以被使用(nt: NetBEUI爲NETBIOS的加強版本號).
tcpdump默認僅僅依照最簡約模式對對應數據包進行解碼, 假設咱們想要詳盡的解碼信息可以使用其-v 啓動選現. 要注意的是, -v 會產生很詳細的信息,
比方對單一的一個SMB數據包, 將產生一屏幕或許多其餘的信息, 因此此選項, 確有需要才使用.
關於SMB數據包格式的信息, 以及每一個域的含義可以參看www.cifs.org 或者samba.org 鏡像網站的pub/samba/specs/ 目錄. linux 上的SMB 補丁
(nt | rt: patch)由 Andrew Tridgell (tridge@samba.org)提供.
NFS 請求和迴應
tcpdump對Sun NFS(網絡文件系統)請求和迴應的UDP數據包有例如如下格式的打印輸出:
src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
下面是一組詳細的輸出數據
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150
第一行輸出代表: 主機sushi向主機wrl發送了一個'交換請求'(nt: transaction), 此請求的id爲6709(注意, 主機名字後是交換
請求id號, 而不是源port號). 此請求數據爲112字節, 當中不包含UDP和IP頭部的長度. 操做類型爲readlink(nt: 即此操做爲讀符號連接操做),
操做參數爲fh 21,24/10.73165(nt: 可按實際運行環境, 解析例如如下, fd 表示描述的爲文件句柄, 21,24 表示此句柄所對應設
備的主/從設備號對, 10表示此句柄所對應的i節點編號(nt:每一個文件都會在操做系統中對應一個i節點, 限於unix類系統中),
73165是一個編號(nt: 可理解爲標識此請求的一個隨機數, 詳細含義需補充)).
第二行中, wrl 作了'ok'的迴應, 而且在results 字段中返回了sushi想要讀的符號鏈接的真實目錄(nt: 即sushi要求讀的符號鏈接事實上是一個目錄).
第三行代表: sushi 再次請求 wrl 在'fh 9,74/4096.6878'所描述的目錄中查找'xcolors'文件. 需要注意的是, 每行所顯示的數據含義依賴於當中op字段的
類型(nt: 不一樣op 所對應args 含義不相同), 其格式遵循NFS 協議, 追求簡潔明瞭.
假設tcpdump 的-v選項(詳細打印選項) 被設置, 附加的信息將被顯示. 比方:
sushi.1372a > wrl.nfs:
148 read fh 21,11/12.195 8192 bytes @ 24576
wrl.nfs > sushi.1372a:
reply ok 1472 read REG 100664 ids 417/0 sz 29388
(-v 選項通常還會打印出IP頭部的TTL, ID, length, 以及fragmentation 域, 但在此例中, 都略過了(nt: 可理解爲,簡潔起見, 作了刪減))
在第一行, sushi 請求wrl 從文件 21,11/12.195(nt: 格式在上面有描述)中, 自偏移24576字節處開始, 讀取8192字節數據.
Wrl 迴應讀取成功; 由於第二行僅僅是迴應請求的開頭片斷, 因此僅僅包含1472字節(其餘的數據將在接着的reply片斷中到來, 但這些數據包不會再有NFS
頭, 甚至UDP頭信息也爲空(nt: 源和目的應該要有), 這將致使這些片斷不能知足過濾條件, 從而沒有被打印). -v 選項除了顯示文件數據信息, 還會顯示
附加顯示文件屬性信息: file type(文件類型, ''REG'' 表示普通文件), file mode(文件存取模式, 8進製表示的), uid 和gid(nt: 文件屬主和
組屬主), file size (文件大小).
假設-v 標誌被屢次反覆給出(nt: 如-vv), tcpdump會顯示更加詳細的信息.
必需要注意的是, NFS 請求包中數據比較多, 假設tcpdump 的snaplen(nt: 抓取長度) 取過短將不能顯示其詳細信息. 可以使用
'-s 192'來增長snaplen, 這可用以監測NFS應用的網絡負載(nt: traffic).
NFS 的迴應包並不嚴格的緊隨以前對應的請求包(nt: RPC operation). 從而, tcpdump 會跟蹤近期收到的一系列請求包, 再經過其
交換序號(nt: transaction ID)與對應請求包相匹配. 這可能產生一個問題, 假設迴應包來得太遲, 超出tcpdump 對對應請求包的跟蹤範圍,
該回應包將不能被分析.
AFS 請求和迴應
AFS(nt: Andrew 文件系統, Transarc , 未知, 需補充)請求和迴應有例如如下的答應
src.sport > dst.dport: rx packet-type
src.sport > dst.dport: rx packet-type service call call-name args
src.sport > dst.dport: rx packet-type service reply call-name args
elvis.7001 > pike.afsfs:
rx data fs call rename old fid 536876964/1/1 ".newsrc.new"
new fid 536876964/1/1 ".newsrc"
pike.afsfs > elvis.7001: rx data fs reply rename
在第一行, 主機elvis 向pike 發送了一個RX數據包.
這是一個對於文件服務的請求數據包(nt: RX data packet, 發送數據包 , 可理解爲發送包過去, 從而請求對方的服務), 這也是一個RPC
調用的開始(nt: RPC, remote procedure call). 此RPC 請求pike 運行rename(nt: 重命名) 操做, 並指定了相關的參數:
原目錄描述符爲536876964/1/1, 原文件名稱爲 '.newsrc.new', 新目錄描述符爲536876964/1/1, 新文件名稱爲 '.newsrc'.
主機pike 對此rename操做的RPC請求做了迴應(迴應表示rename操做成功, 由於迴應的是包含數據內容的包而不是異常包).
通常來講, 所有的'AFS RPC'請求被顯示時, 會被冠以一個名字(nt: 即decode, 解碼), 這個名字每每就是RPC請求的操做名.
而且, 這些RPC請求的部分參數在顯示時, 也會被冠以一個名字(nt | rt: 即decode, 解碼, 通常來講也是取名也很直接, 比方,
一個interesting 參數, 顯示的時候就會直接是'interesting', 含義拗口, 需再翻).
這種顯示格式的設計初衷爲'一看就懂', 但對於不熟悉AFS 和 RX 工做原理的人可能不是很
有用(nt: 仍是不用管, 書面嚇嚇你的, 往下看就能夠).
假設 -v(詳細)標誌被反覆給出(nt: 如-vv), tcpdump 會打印出確認包(nt: 可理解爲, 與應答包有差異的包)以及附加頭部信息
(nt: 可理解爲, 所有包, 而不只僅是確認包的附加頭部信息), 比方, RX call ID(請求包中'請求調用'的ID),
call number('請求調用'的編號), sequence number(nt: 包順序號),
serial number(nt | rt: 可理解爲與包中數據相關的還有一個順信號, 詳細含義需補充), 請求包的標識. (nt: 接下來一段爲反覆描述,
因此略去了), 此外確認包中的MTU協商信息也會被打印出來(nt: 確認包爲相對於請求包的確認包, Maximum Transmission Unit, 最大傳輸單元).
假設 -v 選項被反覆了三次(nt: 如-vvv), 那麼AFS應用類型數據包的'安全索引'('security index')以及'服務索引'('service id')將會
被打印.
對於表示異常的數據包(nt: abort packet, 可理解爲, 此包就是用來通知接受者某種異常已發生), tcpdump 會打印出錯誤號(error codes).
但對於Ubik beacon packets(nt: Ubik 燈塔指示包, Ubik可理解爲特殊的通訊協議, beacon packets, 燈塔數據包, 可理解爲指明通訊中
關鍵信息的一些數據包), 錯誤號不會被打印, 由於對於Ubik 協議, 異常數據包不是表示錯誤, 相反倒是表示一種確定應答(nt: 即, yes vote).
AFS 請求數據量大, 參數也多, 因此要求tcpdump的 snaplen 比較大, 通常可經過啓動tcpdump時設置選項'-s 256' 來增大snaplen, 以
監測AFS 應用通訊負載.
AFS 迴應包並不顯示標識RPC 屬於何種遠程調用. 從而, tcpdump 會跟蹤近期一段時間內的請求包, 並經過call number(調用編號), service ID
(服務索引) 來匹配收到的迴應包. 假設迴應包不是針對近期一段時間內的請求包, tcpdump將沒法解析該包.
KIP AppleTalk協議
(nt | rt: DDP in UDP可理解爲, DDP, The AppleTalk Data Delivery Protocol,
至關於支持KIP AppleTalk協議棧的網絡層協議, 而DDP 自己又是經過UDP來傳輸的,
即在UDP 上實現的用於其餘網絡的網絡層,KIP AppleTalk是蘋果公司開發的整套網絡協議棧).
AppleTalk DDP 數據包被封裝在UDP數據包中, 其解封裝(nt: 至關於解碼)和對應信息的轉儲也遵循DDP 包規則.
(nt:encapsulate, 封裝, 至關於編碼, de-encapsulate, 解封裝, 至關於解碼, dump, 轉儲, 一般就是指對其信息進行打印).
/etc/atalk.names 文件中包含了AppleTalk 網絡和節點的數字標識到名稱的對應關係. 其文件格式一般例如如下所看到的:
number name
1.254 ether
16.1 icsd-net
1.254.110 ace
頭兩行表示有兩個AppleTalk 網絡. 第三行給出了特定網絡上的主機(一個主機會用3個字節來標識,
而一個網絡的標識一般惟獨兩個字節, 這也是二者標識的主要差異)(nt: 1.254.110 可理解爲ether網絡上的ace主機).
標識與其對應的名字之間必需要用空白分開. 除了以上內容, /etc/atalk.names中還包含空行以及凝視行(以'#'開始的行).
AppleTalk 完整網絡地址將以例如如下格式顯示:
net.host.port
下面爲一段詳細顯示:
144.1.209.2 > icsd-net.112.220
office.2 > icsd-net.112.220
jssmag.149.235 > icsd-net.2
(假設/etc/atalk.names 文件不存在, 或者沒有對應AppleTalk 主機/網絡的條目, 數據包的網絡地址將以數字形式顯示).
在第一行中, 網絡144.1上的節點209經過2port,向網絡icsd-net上監聽在220port的112節點發送了一個NBP應用數據包
(nt | rt: NBP, name binding protocol, 名稱綁定協議, 從數據來看, NBPserver會在port2提供此服務.
'DDP port 2' 可理解爲'DDP 對應傳輸層的port2', DDP自己沒有port的概念, 這點未肯定, 需補充).
第二行與第一行類似, 僅僅是源的所有地址可用'office'進行標識.
第三行表示: jssmag網絡上的149節點經過235向icsd-net網絡上的所有節點的2port(NBPport)發送了數據包.(需要注意的是,
在AppleTalk 網絡中假設地址中沒有節點, 則表示廣播地址, 從而節點標識和網絡標識最好在/etc/atalk.names有所差異.
nt: 不然一個標識x.port 沒法肯定x是指一個網絡上所有主機的port口仍是指定主機x的port口).
tcpdump 可解析NBP (名稱綁定協議) and ATP (AppleTalk傳輸協議)數據包, 對於其餘應用層的協議, 僅僅會打印出對應協議名字(
假設此協議沒有註冊一個通用名字, 僅僅會打印其協議號)以及數據包的大小.
NBP 數據包會依照例如如下格式顯示:
icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186
第一行表示: 網絡icsd-net 中的節點112 經過220port向網絡jssmag 中所有節點的port2發送了對'LaserWriter'的名稱查詢請求(nt:
此處名稱可理解爲一個資源的名稱, 比方打印機). 此查詢請求的序列號爲190.
第二行表示: 網絡jssmag 中的節點209 經過2port向icsd-net.112節點的port220進行了迴應: 我有'LaserWriter'資源, 其資源名稱
爲'RM1140', 而且在port250上提供改資源的服務. 此迴應的序列號爲190, 對應以前查詢的序列號.
第三行也是對第一行請求的迴應: 節點techpit 經過2port向icsd-net.112節點的port220進行了迴應:我有'LaserWriter'資源, 其資源名稱
爲'techpit', 而且在port186上提供改資源的服務. 此迴應的序列號爲190, 對應以前查詢的序列號.
ATP 數據包的顯示格式例如如下:
jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002
第一行表示節點 Jssmag.209 向節點helios 發送了一個會話編號爲12266的請求包, 請求helios
迴應8個數據包(這8個數據包的順序號爲0-7(nt: 順序號與會話編號不一樣, 後者爲一次完整傳輸的編號,
前者爲該傳輸中每一個數據包的編號. transaction, 會話, 一般也被叫作傳輸)). 行尾的16進制數字表示
該請求包中'userdata'域的值(nt: 從下文來看, 這並無把所有用戶數據都打印出來 ).
Helios 迴應了8個512字節的數據包. 跟在會話編號(nt: 12266)後的數字表示該數據包在該會話中的順序號.
括號裏的數字表示該數據包中數據的大小, 這不包含atp 的頭部. 在順序號爲7數據包(第8行)外帶了一個'*'號,
表示該數據包的EOM 標誌被設置了.(nt: EOM, End Of Media, 可理解爲, 表示一次會話的數據迴應完成).
接下來的第9行表示, Jssmag.209 又向helios 提出了請求: 順序號爲3以及5的數據包請又一次傳送. Helios 收到這個
請求後又一次發送了這個兩個數據包, jssmag.209 再次收到這兩個數據包以後, 主動結束(release)了此會話.
在最後一行, jssmag.209 向helios 發送了開始下一次會話的請求包. 請求包中的'*'表示該包的XO 標誌沒有被設置.
(nt: XO, exactly once, 可理解爲在該會話中, 數據包在接受方僅僅被精確地處理一次, 就算對方反覆傳送了該數據包,
接收方也僅僅會處理一次, 這需要用到特別設計的數據包接收和處理機制).
IP 數據包破碎
(nt: 指把一個IP數據包分紅多個IP數據包)
碎片IP數據包(nt: 即一個大的IP數據包破碎後生成的小IP數據包)有例如如下兩種顯示格式.
(frag id:size@offset+)
(frag id:size@offset)
(第一種格式表示, 此碎片以後還有興許碎片. 另一種格式表示, 此碎片爲最後一個碎片.)
id 表示破碎編號(nt: 從下文來看, 會爲每一個要破碎的大IP包分配一個破碎編號, 以便區分每一個小碎片是否由同一數據包破碎而來).
size 表示此碎片的大小 , 不包含碎片頭部數據. offset表示此碎片所含數據在原始整個IP包中的偏移((nt: 從下文來看,
一個IP數據包是做爲一個整體被破碎的, 包含頭和數據, 而不只僅是數據被切割).
每一個碎片都會使tcpdump產生對應的輸出打印. 第一個碎片包含了高層協議的頭數據(nt:從下文來看, 被破碎IP數據包中對應tcp頭以及
IP頭都放在了第一個碎片中 ), 從而tcpdump會針對第一個碎片顯示這些信息, 並接着顯示此碎片自己的信息. 其後的一些碎片並不包含
高層協議頭信息, 從而僅僅會在顯示源和目的以後顯示碎片自己的信息. 下面有一個樣例: 這是一個從arizona.edu 到lbl-rtsg.arpa
途經CSNET網絡(nt: CSNET connection 可理解爲創建在CSNET 網絡上的鏈接)的ftp應用通訊片斷:
arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
arizona > rtsg: (frag 595a:204@328)
rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560
有幾點值得注意:
第一, 第二行的打印中, 地址後面沒有port號.
這是由於TCP協議信息都放到了第一個碎片中, 當顯示第二個碎片時, 咱們沒法知道此碎片所對應TCP包的順序號.
第二, 從第一行的信息中, 可以發現arizona需要向rtsg發送308字節的用戶數據, 而事實是, 對應IP包經破碎後會總共產生512字節
數據(第一個碎片包含308字節的數據, 第二個碎片包含204個字節的數據, 這超過了308字節). 假設你在查找數據包的順序號空間中的
一些空洞(nt: hole,空洞, 指數據包之間的順序號沒有上下銜接上), 512這個數據就足夠使你迷茫一陣(nt: 事實上僅僅要關注308就能夠,
沒必要關注破碎後的數據總量).
一個數據包(nt | rt: 指IP數據包)假設帶有非IP破碎標誌, 則顯示時會在最後顯示'(DF)'.(nt: 意味着此IP包沒有被破碎過).
時間戳
tcpdump的所有輸出打印行中都會默認包含時間戳信息.
時間戳信息的顯示格式例如如下
hh:mm:ss.frac (nt: 小時:分鐘:秒.(nt: frac未知, 需補充))
此時間戳的精度與內核時間精度一致, 反映的是內核第一次看到對應數據包的時間(nt: saw, 便可對該數據包進行操做).
而數據包從物理線路傳遞到內核的時間, 以及內核花費在此包上的中斷處理時間都沒有算進來.
命令使用
tcpdump採用命令行方式,它的命令格式爲:
複製代碼
複製代碼
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -Z user ]
[ expression ]
複製代碼
複製代碼
tcpdump的簡單選項介紹
複製代碼
複製代碼
-A 以ASCII碼方式顯示每個數據包(不會顯示數據包中鏈路層頭部信息). 在抓取包含網頁數據的數據包時, 可方便查看數據(nt: 即Handy for capturing web pages).
-c count
tcpdump將在接受到count個數據包後退出.
-C file-size (nt: 此選項用於配合-w file 選項使用)
該選項使得tcpdump 在把原始數據包直接保存到文件中以前, 檢查此文件大小是否超過file-size. 假設超過了, 將關閉此文件,另創一個文件繼續用於原始數據包的記錄. 新建立的文件名稱與-w 選項指定的文件名稱一致, 但文件名稱後多了一個數字.該數字會從1開始隨着新建立文件的增多而增長. file-size的單位是百萬字節(nt: 這裏指1,000,000個字節,並非1,048,576個字節, 後者是以1024字節爲1k, 1024k字節爲1M計算所得, 即1M=1024 * 1024 = 1,048,576)
-d 以容易閱讀的形式,在標準輸出上打印出編排過的包匹配碼, 隨後tcpdump中止.(nt | rt: human readable, 容易閱讀的,通常是指以ascii碼來打印一些信息. compiled, 編排過的. packet-matching code, 包匹配碼,含義未知, 需補充)
-dd 以C語言的形式打印出包匹配碼.
-ddd 以十進制數的形式打印出包匹配碼(會在包匹配碼以前有一個附加的'count'前綴).
-D 打印系統中所有tcpdump可以在其上進行抓包的網絡接口. 每個接口會打印出數字編號, 對應的接口名字, 以及可能的一個網絡接口描述. 當中網絡接口名字和數字編號可以用在tcpdump 的-i flag 選項(nt: 把名字或數字取代flag), 來指定要在其上抓包的網絡接口.
此選項在不支持接口列表命令的系統上頗有用(nt: 比方, Windows 系統, 或缺少 ifconfig -a 的UNIX系統); 接口的數字編號在windows 2000 或其後的系統中頗有用, 由於這些系統上的接口名字比較複雜, 而不易使用.
假設tcpdump編譯時所依賴的libpcap庫太老,-D 選項不會被支持, 由於當中缺少 pcap_findalldevs()函數.
-e 每行的打印輸出中將包含數據包的數據鏈路層頭部信息
-E spi@ipaddr algo:secret,...
可經過spi@ipaddr algo:secret 來解密IPsec ESP包(nt | rt:IPsec Encapsulating Security Payload,IPsec 封裝安全負載, IPsec可理解爲, 一整套對ip數據包的加密協議, ESP 爲整個IP 數據包或當中上層協議部分被加密後的數據,前者的工做模式稱爲隧道模式; 後者的工做模式稱爲傳輸模式 . 工做原理, 另需補充).
需要注意的是, 在終端啓動tcpdump 時, 可以爲IPv4 ESP packets 設置密鑰(secret).
可用於加密的算法包含des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, 或者沒有(none).默認的是des-cbc(nt: des, Data Encryption Standard, 數據加密標準, 加密算法未知, 另需補充).secret 爲用於ESP 的密鑰, 使用ASCII 字符串方式表達. 假設以 0x 開頭, 該密鑰將以16進制方式讀入.
該選項中ESP 的定義遵循RFC2406, 而不是 RFC1827. 而且, 此選項僅僅是用來調試的, 不推薦以真實密鑰(secret)來使用該選項, 由於這樣不安全: 在命令行中輸入的secret 可以被其餘人經過ps 等命令查看到.
除了以上的語法格式(nt: 指spi@ipaddr algo:secret), 還可以在後面增長一個語法輸入文件名稱字供tcpdump 使用(nt:即把spi@ipaddr algo:secret,... 中...換成一個語法文件名稱). 此文件在接受到第一個ESP 包時會打開此文件, 因此最好此時把賦予tcpdump 的一些特權取消(nt: 可理解爲, 這樣防範以後, 當該文件爲惡意編寫時,不至於形成過大損害).
-f 顯示外部的IPv4 地址時(nt: foreign IPv4 addresses, 可理解爲, 非本機ip地址), 採用數字方式而不是名字.(此選項是用來對付Sun公司的NISserver的缺陷(nt: NIS, 網絡信息服務, tcpdump 顯示外部地址的名字時會用到她提供的名稱服務): 此NISserver在查詢非本地地址名字時,常常會陷入無盡的查詢循環).
由於對外部(foreign)IPv4地址的測試需要用到本地網絡接口(nt: tcpdump 抓包時用到的接口)及其IPv4 地址和網絡掩碼. 假設此地址或網絡掩碼不可用, 或者此接口根本就沒有設置對應網絡地址和網絡掩碼(nt: linux 下的 'any' 網絡接口就不需要設置地址和掩碼, 只是此'any'接口可以收到系統中所有接口的數據包), 該選項不能正常工做.
-F file
使用file 文件做爲過濾條件表達式的輸入, 此時命令行上的輸入將被忽略.
-i interface
指定tcpdump 需要監聽的接口. 假設沒有指定, tcpdump 會從系統接口列表中搜尋編號最小的已配置好的接口(不包含 loopback 接口).一但找到第一個符合條件的接口, 搜尋當即結束.
在採用2.2版本號或以後版本號內核的Linux 操做系統上, 'any' 這個虛擬網絡接口可被用來接收所有網絡接口上的數據包(nt: 這會包含目的是該網絡接口的, 也包含目的不是該網絡接口的). 需要注意的是假設真實網絡接口不能工做在'混雜'模式(promiscuous)下,則沒法在'any'這個虛擬的網絡接口上抓取其數據包.
假設 -D 標誌被指定, tcpdump會打印系統中的接口編號,而該編號就可用於此處的interface 參數.
-l 對標準輸出進行行緩衝(nt: 使標準輸出設備遇到一個換行符就當即把這行的內容打印出來).在需要同一時候觀察抓包打印以及保存抓包記錄的時候頗有用. 比方, 可經過下面命令組合來達到此目的:
``tcpdump -l | tee dat'' 或者 ``tcpdump -l > dat & tail -f dat''.(nt: 前者使用tee來把tcpdump 的輸出同一時候放到文件dat和標準輸出中, 然後者經過重定向操做'>', 把tcpdump的輸出放到dat 文件中, 同一時候經過tail把dat文件中的內容放到標準輸出中)
-L 列出指定網絡接口所支持的數據鏈路層的類型後退出.(nt: 指定接口經過-i 來指定)
-m module
經過module 指定的file 裝載SMI MIB 模塊(nt: SMI,Structure of Management Information, 管理信息結構MIB, Management Information Base, 管理信息庫. 可理解爲, 這二者用於SNMP(Simple Network Management Protoco)協議數據包的抓取. 詳細SNMP 的工做原理未知, 另需補充).
此選項可屢次使用, 從而爲tcpdump 裝載不一樣的MIB 模塊.
-M secret 假設TCP 數據包(TCP segments)有TCP-MD5選項(在RFC 2385有相關描述), 則爲其摘要的驗證指定一個公共的密鑰secret.
-n 不正確地址(比方, 主機地址, port號)進行數字表示到名字表示的轉換.
-N 不打印出host 的域名部分. 比方, 假設設置了此選現, tcpdump 將會打印'nic' 而不是 'nic.ddn.mil'.
-O 不啓用進行包匹配時所用的優化代碼. 當懷疑某些bug是由優化代碼引發的, 此選項將頗有用.
-p 通常狀況下, 把網絡接口設置爲非'混雜'模式. 但必須注意 , 在特殊狀況下此網絡接口仍是會以'混雜'模式來工做; 從而, '-p' 的設與不設, 不能當作下面選現的代名詞:'ether host {local-hw-add}' 或 'ether broadcast'(nt: 前者表示僅僅匹配以太網地址爲host 的包, 後者表示匹配以太網地址爲廣播地址的數據包).
-q 高速(或許用'安靜'更好?)打印輸出. 即打印不多的協議相關信息, 從而輸出行都比較簡短.
-R 設定tcpdump 對 ESP/AH 數據包的解析依照 RFC1825而不是RFC1829(nt: AH, 認證頭, ESP, 安全負載封裝, 這二者會用在IP包的安全傳輸機制中). 假設此選項被設置, tcpdump 將不會打印出'禁止中繼'域(nt: relay prevention field). 另外,由於ESP/AH規範中沒有規定ESP/AH數據包必須擁有協議版本號號域,因此tcpdump不能從收到的ESP/AH數據包中推導出協議版本號號.
-r file
從文件file 中讀取包數據. 假設file 字段爲 '-' 符號, 則tcpdump 會從標準輸入中讀取包數據.
-S 打印TCP 數據包的順序號時, 使用絕對的順序號, 而不是相對的順序號.(nt: 相對順序號可理解爲, 相對第一個TCP 包順序號的差距,比方, 接受方收到第一個數據包的絕對順序號爲232323, 對於後來接收到的第2個,第3個數據包, tcpdump會打印其序列號爲1, 2分別表示與第一個數據包的差距爲1 和 2. 而假設此時-S 選項被設置, 對於後來接收到的第2個, 第3個數據包會打印出其絕對順序號:232324, 232325).
-s snaplen
設置tcpdump的數據包抓取長度爲snaplen, 假設不設置默認將會是68字節(而支持網絡接口分接頭(nt: NIT, 上文已有描述,可搜索'網絡接口分接頭'keyword找到那裏)的SunOS系列操做系統中默認的也是最小值是96).68字節對於IP, ICMP(nt: Internet Control Message Protocol,因特網控制報文協議), TCP 以及 UDP 協議的報文已足夠, 但對於名稱服務(nt: 可理解爲dns, nis等服務), NFS服務相關的數據包會產生包截短. 假設產生包截短這種狀況, tcpdump的對應打印輸出行中會出現''[|proto]''的標誌(proto 實際會顯示爲被截短的數據包的相關協議層次). 需要注意的是, 採用長的抓取長度(nt: snaplen比較大), 會增長包的處理時間, 而且會下降tcpdump 可緩存的數據包的數量, 從而會致使數據包的丟失. 因此, 在能抓取咱們想要的包的前提下, 抓取長度越小越好.把snaplen 設置爲0 意味着讓tcpdump本身主動選擇合適的長度來抓取數據包.
-T type
強制tcpdump按type指定的協議所描述的包結構來分析收到的數據包. 眼下已知的type 可取的協議爲:
aodv (Ad-hoc On-demand Distance Vector protocol, 按需距離向量路由協議, 在Ad hoc(點對點模式)網絡中使用),
cnfp (Cisco NetFlow protocol), rpc(Remote Procedure Call), rtp (Real-Time Applications protocol),
rtcp (Real-Time Applications con-trol protocol), snmp (Simple Network Management Protocol),
tftp (Trivial File Transfer Protocol, 碎文件協議), vat (Visual Audio Tool, 可用於在internet 上進行電
視電話會議的應用層協議), 以及wb (distributed White Board, 可用於網絡會議的應用層協議).
-t 在每行輸出中不打印時間戳
-tt 不正確每行輸出的時間進行格式處理(nt: 這種格式一眼可能看不出其含義, 如時間戳打印成1261798315)
-ttt tcpdump 輸出時, 每兩行打印之間會延遲一個段時間(以毫秒爲單位)
-tttt 在每行打印的時間戳以前增長日期的打印
-u 打印出未加密的NFS 句柄(nt: handle可理解爲NFS 中使用的文件句柄, 這將包含目錄和目錄中的文件)
-U 使得當tcpdump在使用-w 選項時, 其文件寫入與包的保存同步.(nt: 即, 當每一個數據包被保存時, 它將及時被寫入文件中,而不是等文件的輸出緩衝已滿時才真正寫入此文件)
-U 標誌在老版本號的libcap庫(nt: tcpdump 所依賴的報文捕獲庫)上不起做用, 由於當中缺少pcap_cump_flush()函數.
-v 當分析和打印的時候, 產生詳細的輸出. 比方, 包的生存時間, 標識, 總長度以及IP包的一些選項. 這也會打開一些附加的包完整性檢測, 比方對IP或ICMP包頭部的校驗和.
-vv 產生比-v更詳細的輸出. 比方, NFS迴應包中的附加域將會被打印, SMB數據包也會被全然解碼.
-vvv 產生比-vv更詳細的輸出. 比方, telent 時所使用的SB, SE 選項將會被打印, 假設telnet同一時候使用的是圖形界面,
其對應的圖形選項將會以16進制的方式打印出來(nt: telnet 的SB,SE選項含義未知, 另需補充).
-w 把包數據直接寫入文件而不進行分析和打印輸出. 這些包數據可在隨後經過-r 選項來又一次讀入並進行分析和打印.
-W filecount
此選項與-C 選項配合使用, 這將限制可打開的文件數目, 而且當文件數據超過這裏設置的限制時, 依次循環替代以前的文件, 這至關於一個擁有filecount 個文件的文件緩衝池. 同一時候, 該選項會使得每一個文件名稱的開頭會出現足夠多並用來佔位的0, 這可以方便這些文件被正確的排序.
-x 當分析和打印時, tcpdump 會打印每一個包的頭部數據, 同一時候會以16進制打印出每一個包的數據(但不包含鏈接層的頭部).總共打印的數據大小不會超過整個數據包的大小與snaplen 中的最小值. 必需要注意的是, 假設高層協議數據沒有snaplen 這麼長,而且數據鏈路層(比方, Ethernet層)有填充數據, 則這些填充數據也會被打印.(nt: so for link layers that pad, 未能銜接理解和翻譯, 需補充 )
-xx tcpdump 會打印每一個包的頭部數據, 同一時候會以16進制打印出每一個包的數據, 當中包含數據鏈路層的頭部.
-X 當分析和打印時, tcpdump 會打印每一個包的頭部數據, 同一時候會以16進制和ASCII碼形式打印出每一個包的數據(但不包含鏈接層的頭部).這對於分析一些新協議的數據包很方便.
-XX 當分析和打印時, tcpdump 會打印每一個包的頭部數據, 同一時候會以16進制和ASCII碼形式打印出每一個包的數據, 當中包含數據鏈路層的頭部.這對於分析一些新協議的數據包很方便.
-y datalinktype
設置tcpdump 僅僅捕獲數據鏈路層協議類型是datalinktype的數據包
-Z user
使tcpdump 放棄本身的超級權限(假設以root用戶啓動tcpdump, tcpdump將會有超級用戶權限), 並把當前tcpdump的用戶ID設置爲user, 組ID設置爲user首要所屬組的ID(nt: tcpdump 此處可理解爲tcpdump 運行以後對應的進程)
此選項也可在編譯的時候被設置爲默認打開.(nt: 此時user 的取值未知, 需補充)
複製代碼
複製代碼
tcpdump條件表達式
該表達式用於決定哪些數據包將被打印. 假設不給定條件表達式, 網絡上所有被捕獲的包都會被打印,不然, 惟獨知足條件表達式的數據包被打印.(nt: all packets, 可理解爲, 所有被指定接口捕獲的數據包).
表達式由一個或多個'表達元'組成(nt: primitive, 表達元, 可理解爲組成表達式的基本元素). 一個表達元一般由一個或多個修飾符(qualifiers)後跟一個名字或數字表示的id組成(nt: 即, 'qualifiers id').有三種不一樣類型的修飾符:type, dir以及 proto.
複製代碼
複製代碼
type 修飾符指定id 所表明的對象類型, id可以是名字也可以是數字. 可選的對象類型有: host, net, port 以及portrange(nt: host 代表id表示主機, net 代表id是網絡, port 代表id是端而portrange 代表id 是一個port範圍). 如, 'host foo', 'net 128.3', 'port 20', 'portrange 6000-6008'(nt: 分別表示主機 foo,網絡 128.3, port 20, port範圍 6000-6008). 假設不指定type 修飾符, id默認的修飾符爲host.
dir 修飾符描述id 所對應的傳輸方向, 即發往id 仍是從id 接收(nt: 而id 究竟指什麼需要看其前面的type 修飾符).可取的方向爲: src, dst, src 或 dst, src而且dst.(nt:分別表示, id是傳輸源, id是傳輸目的, id是傳輸源或者傳輸目的, id是傳輸源而且是傳輸目的). 好比, 'src foo','dst net 128.3', 'src or dst port ftp-data'.(nt: 分別表示符合條件的數據包中, 源主機是foo, 目的網絡是128.3, 源或目的port爲 ftp-data).假設不指定dir修飾符, id 默認的修飾符爲src 或 dst.對於鏈路層的協議,比方SLIP(nt: Serial Line InternetProtocol, 串聯線路網際網絡協議), 以及linux下指定'any' 設備, 並指定'cooked'(nt | rt: cooked 含義未知, 需補充) 抓取類型, 或其餘設備類型,可以用'inbound' 和 'outbount' 修飾符來指定想要的傳輸方向.
proto 修飾符描述id 所屬的協議. 可選的協議有: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp以及 upd.(nt | rt: ether, fddi, tr, 詳細含義未知, 需補充. 可理解爲物理以太網傳輸協議, 光纖分佈數據網傳輸協議,以及用於路由跟蹤的協議. wlan, 無線局域網協議; ip,ip6 即一般的TCP/IP協議棧中所使用的ipv4以及ipv6網絡層協議;arp, rarp 即地址解析協議,反向地址解析協議; decnet, Digital Equipment Corporation開發的, 最先用於PDP-11 機器互聯的網絡協議; tcp and udp, 即一般TCP/IP協議棧中的兩個傳輸層協議).
好比, `ether src foo', `arp net 128.3', `tcp port 21', `udp portrange 7000-7009'分別表示 '從以太網地址foo 來的數據包','發往或來自128.3網絡的arp協議數據包', '發送或接收port爲21的tcp協議數據包', '發送或接收port範圍爲7000-7009的udp協議數據包'.
假設不指定proto 修飾符, 則默以爲與對應type匹配的修飾符. 好比, 'src foo' 含義是 '(ip or arp or rarp) src foo' (nt: 即, 來自主機foo的ip/arp/rarp協議數據包, 默認type爲host),`net bar' 含義是`(ip or arp or rarp) net bar'(nt: 即, 來自或發往bar網絡的ip/arp/rarp協議數據包),`port 53' 含義是 `(tcp or udp) port 53'(nt: 即, 發送或接收port爲53的tcp/udp協議數據包).(nt: 由於tcpdump 直接經過數據鏈路層的 BSD 數據包過濾器或 DLPI(datalink provider interface, 數據鏈層提供者接口)來直接得到網絡數據包, 其可抓取的數據包可涵蓋上層的各類協議, 包含arp, rarp, icmp(因特網控制報文協議),ip, ip6, tcp, udp, sctp(流控制傳輸協議).
對於修飾符後跟id 的格式,可理解爲, type id 是對包最主要的過濾條件: 即對包相關的主機, 網絡, port的限制;dir 表示對包的傳送方向的限制; proto表示對包相關的協議限制)
'fddi'(nt: Fiber Distributed Data Interface) 實際上與'ether' 含義同樣: tcpdump 會把他們看成一種''指定網絡接口上的數據鏈路層協議''. 如同ehter網(以太網), FDDI 的頭部一般也會有源, 目的, 以及包類型, 從而可以像ether網數據包同樣對這些域進行過濾. 此外, FDDI 頭部還有其餘的域, 但不能被放到表達式中用來過濾
一樣, 'tr' 和 'wlan' 也和 'ether' 含義一致, 上一段對fddi 的描述一樣適用於tr(Token Ring) 和wlan(802.11 wireless LAN)的頭部. 對於802.11 協議數據包的頭部, 目的域稱爲DA, 源域稱爲 SA;而當中的 BSSID, RA, TA 域(nt | rt: 詳細含義需補充)不會被檢測(nt: 不能被用於包過慮表達式中).
複製代碼
複製代碼
除以上所描述的表達元('primitive'), 還有其餘形式的表達元, 而且與上述表達元格式不一樣. 比方: gateway, broadcast, less, greater以及算術表達式(nt: 當中每個都算一種新的表達元). 下面將會對這些表達元進行說明.
表達元之間還可以經過keywordand, or 以及 not 進行鏈接, 從而可組成比較複雜的條件表達式. 比方,`host foo and not port ftp and not port ftp-data'(nt: 其過濾條件可理解爲, 數據包的主機爲foo,而且port不是ftp(port21) 和ftp-data(port20, 經常使用port和名字的對應可在linux 系統中的/etc/service 文件中找到)).
爲了表示方便, 一樣的修飾符可以被省略, 如'tcp dst port ftp or ftp-data or domain' 與下面的表達式含義相同'tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.(nt: 其過濾條件可理解爲,包的協議爲tcp, 目的port爲ftp 或 ftp-data 或 domain(port53) ).
藉助括號以及對應操做符,可把表達元組合在一塊兒使用(由於括號是shell的特殊字符, 因此在shell腳本或終端中使用時必須對括號進行轉義, 即'(' 與')'需要分別表達成'\(' 與 '\)').
有效的操做符有:
否認操做 (`!' 或 `not')
與操做(`&&' 或 `and')
或操做(`||' 或 `or')
否認操做符的優先級別最高. 與操做和或操做優先級別相同, 而且兩者的結合順序是從左到右. 要注意的是, 表達'與操做'時,
需要顯式寫出'and'操做符, 而不只僅是把先後表達元並列放置(nt: 兩者中間的'and' 操做符不可省略).
假設一個標識符前沒有keyword, 則表達式的解析過程當中近期用過的keyword(每每也是從左往右距離標識符近期的keyword)將被使用.比方,
not host vs and ace
是下面表達的精簡:
not host vs and host ace
而不是not (host vs or ace).(nt: 前二者表示, 所需數據包不是來自或發往host vs, 而是來自或發往ace.然後者表示數據包僅僅要不是來自或發往vs或ac都符合要求)
整個條件表達式可以被看成一個單獨的字符串參數也可以被看成空格切割的多個參數傳入tcpdump, 後者更方便些. 一般, 假設表達式中包含元字符(nt: 如正則表達式中的'*', '.'以及shell中的'('等字符), 不妨使用單獨字符串的方式傳入. 這時,整個表達式需要被單引號括起來. 多參數的傳入方式中, 所有參數終於仍是被空格串聯在一塊兒, 做爲一個字符串被解析.
附錄:tcpdump的表達元
(nt: True 在下面的描述中含義爲: 對應條件表達式中僅僅含有下面所列的一個特定表達元, 此時表達式爲真, 即條件獲得知足)
dst host host
假設IPv4/v6 數據包的目的域是host, 則與此對應的條件表達式爲真.host 可以是一個ip地址, 也可以是一個主機名.
src host host
假設IPv4/v6 數據包的源域是host, 則與此對應的條件表達式爲真.
host 可以是一個ip地址, 也可以是一個主機名.
host host
假設IPv4/v6數據包的源或目的地址是 host, 則與此對應的條件表達式爲真.以上的幾個host 表達式以前可以增長下面keyword:ip, arp, rarp, 以及 ip6.比方:
ip host host
也可以表達爲:
ether proto \ip and host host(nt: 這種表達方式在下面有說明, 當中ip以前需要有\來轉義,由於ip 對tcpdump 來講已是一個keyword了.)
假設host 是一個擁有多個IP 的主機, 那麼不論什麼一個地址都會用於包的匹配(nt: 即發向host 的數據包的目的地址可以是這幾個IP中的不論什麼一個, 從host 接收的數據包的源地址也可以是這幾個IP中的不論什麼一個).
ether dst ehost
假設數據包(nt: 指tcpdump 可抓取的數據包, 包含ip 數據包, tcp數據包)的以太網目標地址是ehost,則與此對應的條件表達式爲真. Ehost 可以是/etc/ethers 文件中的名字或一個數字地址(nt: 可經過 man ethers 看到對/etc/ethers 文件的描述, 樣例中用的是數字地址)
ether src ehost
假設數據包的以太網源地址是ehost, 則與此對應的條件表達式爲真.
ether host ehost
假設數據包的以太網源地址或目標地址是ehost, 則與此對應的條件表達式爲真.
gateway host
假設數據包的網關地址是host, 則與此對應的條件表達式爲真. 需要注意的是, 這裏的網關地址是指以太網地址, 而不是IP 地址(nt | rt: I.e., 好比, 可理解爲'注意'.the Ethernet source or destination address, 以太網源和目標地址, 可理解爲, 指代上句中的'網關地址' ).host 必須是名字而不是數字, 而且必須在機器的'主機名-ip地址'以及'主機名-以太地址'兩大映射關係中 有其條目(前一映射關係可經過/etc/hosts文件, DNS 或 NIS獲得, 然後一映射關係可經過/etc/ethers 文件獲得. nt: /etc/ethers並不必定存在 , 可經過man ethers 看到其數據格式, 怎樣建立該文件, 未知,需補充).也就是說host 的含義是 ether host ehost 而不是 host host, 而且ehost必須是名字而不是數字.
眼下, 該選項在支持IPv6地址格式的配置環境中不起做用(nt: configuration, 配置環境, 可理解爲,通訊雙方的網絡配置).
dst net net
假設數據包的目標地址(IPv4或IPv6格式)的網絡號字段爲 net, 則與此對應的條件表達式爲真.
net 可以是從網絡數據庫文件/etc/networks 中的名字, 也可以是一個數字形式的網絡編號.
一個數字IPv4 網絡編號將以點分四元組(比方, 192.168.1.0), 或點分三元組(比方, 192.168.1 ), 或點分二元組(比方, 172.16), 或單一單元組(比方, 10)來表達;
對應於這四種狀況的網絡掩碼分別是:四元組:255.255.255.255(這也意味着對net 的匹配如同對主機地址(host)的匹配:地址的四個部分都用到了),三元組:255.255.255.0, 二元組: 255.255.0.0, 一元組:255.0.0.0.
對於IPv6 的地址格式, 網絡編號必須所有寫出來(8個部分必須所有寫出來); 對應網絡掩碼爲:
ff:ff:ff:ff:ff:ff:ff:ff, 因此IPv6 的網絡匹配是真正的'host'方式的匹配(nt | rt | rc:地址的8個部分都會用到,是否不屬於網絡的字節填寫0, 需接下來補充), 但同一時候需要一個網絡掩碼長度參數來詳細指定前面多少字節爲網絡掩碼(nt: 可經過下面的net net/len 來指定)
src net net
假設數據包的源地址(IPv4或IPv6格式)的網絡號字段爲 net, 則與此對應的條件表達式爲真.
net net
假設數據包的源或目的地址(IPv4或IPv6格式)的網絡號字段爲 net, 則與此對應的條件表達式爲真.
net net mask netmask
假設數據包的源或目的地址(IPv4或IPv6格式)的網絡掩碼與netmask 匹配, 則與此對應的條件表達式爲真.此選項以前還可以配合src和dst來匹配源網絡地址或目標網絡地址(nt: 比方 src net net mask 255.255.255.0).該選項對於ipv6 網絡地址無效.
net net/len
假設數據包的源或目的地址(IPv4或IPv6格式)的網絡編號字段的比特數與len相同, 則與此對應的條件表達式爲真.此選項以前還可以配合src和dst來匹配源網絡地址或目標網絡地址(nt | rt | tt: src net net/24, 表示需要匹配源地址的網絡編號有24位的數據包).
dst port port
假設數據包(包含ip/tcp, ip/udp, ip6/tcp or ip6/udp協議)的目的port爲port, 則與此對應的條件表達式爲真.port 可以是一個數字也可以是一個名字(對應名字可以在/etc/services 中找到該名字, 也可以經過man tcp 和man udp來獲得相關描述信息 ). 假設使用名字, 則該名字對應的port號和對應使用的協議都會被檢查. 假設僅僅是使用一個數字port號,則惟獨對應port號被檢查(比方, dst port 513 將會使tcpdump抓取tcp協議的login 服務和udp協議的who 服務數據包, 而port domain 將會使tcpdump 抓取tcp協議的domain 服務數據包, 以及udp 協議的domain 數據包)(nt | rt: ambiguous name is used 不可理解, 需補充).
src port port
假設數據包的源port爲port, 則與此對應的條件表達式爲真.
port port
假設數據包的源或目的port爲port, 則與此對應的條件表達式爲真.
dst portrange port1-port2
假設數據包(包含ip/tcp, ip/udp, ip6/tcp or ip6/udp協議)的目的port屬於port1到port2這個port範圍(包含port1, port2), 則與此對應的條件表達式爲真. tcpdump 對port1 和port2 解析與對port 的解析一致(nt:在dst port port 選項的描述中有說明).
src portrange port1-port2
假設數據包的源port屬於port1到port2這個port範圍(包含 port1, port2), 則與此對應的條件表達式爲真.
portrange port1-port2
假設數據包的源port或目的port屬於port1到port2這個port範圍(包含 port1, port2), 則與此對應的條件表達式爲真.
以上關於port 的選項都可以在其前面增長keyword:tcp 或者udp, 比方:
tcp src port port
這將使tcpdump 僅僅抓取源port是port 的tcp數據包.
less length
假設數據包的長度比length 小或等於length, 則與此對應的條件表達式爲真. 這與'len <= length' 的含義一致.
greater length
假設數據包的長度比length 大或等於length, 則與此對應的條件表達式爲真. 這與'len >= length' 的含義一致.
ip proto protocol
假設數據包爲ipv4數據包而且其協議類型爲protocol, 則與此對應的條件表達式爲真.
Protocol 可以是一個數字也可以是名字, 比方:icmp6, igmp, igrp(nt: Interior Gateway Routing Protocol,內部網關路由協議), pim(Protocol Independent Multicast, 獨立組播協議, 應用於組播路由器),ah, esp(nt: ah, 認證頭, esp 安全負載封裝, 這二者會用在IP包的安全傳輸機制中 ), vrrp(Virtual Router Redundancy Protocol, 虛擬路由器冗餘協議), udp, or tcp. 由於tcp , udp 以及icmp是tcpdump 的keyword,因此在這些協議名字以前必需要用\來進行轉義(假設在C-shell 中需要用\\來進行轉義). 注意此表達元不會把數據包中協議頭鏈中所有協議頭內容所有打印出來(nt: 實際上僅僅會打印指定協議的一些頭部信息, 比方可以用tcpdump -i eth0 'ip proto \tcp and host 192.168.3.144', 則僅僅打印主機192.168.3.144 發出或接收的數據包中tcp 協議頭所包含的信息)
ip6 proto protocol
假設數據包爲ipv6數據包而且其協議類型爲protocol, 則與此對應的條件表達式爲真.
注意此表達元不會把數據包中協議頭鏈中所有協議頭內容所有打印出來
ip6 protochain protocol
假設數據包爲ipv6數據包而且其協議鏈中包含類型爲protocol協議頭, 則與此對應的條件表達式爲真. 比方,
ip6 protochain 6
將匹配其協議頭鏈中擁有TCP 協議頭的IPv6數據包.此數據包的IPv6頭和TCP頭之間可能還會包含驗證頭, 路由頭, 或者逐跳尋徑選項頭.
由此所觸發的對應BPF(Berkeley Packets Filter, 可理解爲, 在數據鏈路層提供數據包過濾的一種機制)代碼比較繁瑣,
而且BPF優化代碼也未能照應到此部分, 從而此選項所觸發的包匹配可能會比較慢.
ip protochain protocol
與ip6 protochain protocol 含義相同, 但這用在IPv4數據包.
ether broadcast
假設數據包是以太網廣播數據包, 則與此對應的條件表達式爲真. ether keyword是可選的.
ip broadcast
假設數據包是IPv4廣播數據包, 則與此對應的條件表達式爲真. 這將使tcpdump 檢查廣播地址是否符合全0和全1的一些約定,並查找網絡接口的網絡掩碼(網絡接口爲當時在其上抓包的網絡接口).
假設抓包所在網絡接口的網絡掩碼不合法, 或者此接口根本就沒有設置對應網絡地址和網絡, 亦或是在linux下的'any'網絡接口上抓包(此'any'接口可以收到系統中不止一個接口的數據包(nt: 實際上, 可理解爲系統中所有可用的接口)),網絡掩碼的檢查不能正常進行.
ether multicast
假設數據包是一個以太網多點廣播數據包(nt: 多點廣播, 可理解爲把消息同一時候傳遞給一組目的地址, 而不是網絡中所有地址,後者爲可稱爲廣播(broadcast)), 則與此對應的條件表達式爲真. keywordether 可以省略. 此選項的含義與下面條件表達式含義一致:`ether[0] & 1 != 0'(nt: 可理解爲, 以太網數據包中第0個字節的最低位是1, 這意味這是一個多點廣播數據包).
ip multicast
假設數據包是ipv4多點廣播數據包, 則與此對應的條件表達式爲真.
ip6 multicast
假設數據包是ipv6多點廣播數據包, 則與此對應的條件表達式爲真.
ether proto protocol
假設數據包屬於下面以太協議類型, 則與此對應的條件表達式爲真.
協議(protocol)字段, 可以是數字或下面所列出了名字: ip, ip6, arp, rarp, atalk(AppleTalk網絡協議),
aarp(nt: AppleTalk Address Resolution Protocol, AppleTalk網絡的地址解析協議),
decnet(nt: 一個由DEC公司所提供的網絡協議棧), sca(nt: 未知, 需補充),
lat(Local Area Transport, 區域傳輸協議, 由DEC公司開發的以太網主機互聯協議),
mopdl, moprc, iso(nt: 未知, 需補充), stp(Spanning tree protocol, 生成樹協議, 可用於防止網絡中產生連接循環),
ipx(nt: Internetwork Packet Exchange, Novell 網絡中使用的網絡層協議), 或者
netbeui(nt: NetBIOS Extended User Interface,可理解爲, 網絡基本輸入輸出系統接口擴展).
protocol字段可以是一個數字或下面協議名之中的一個:ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat,
mopdl, moprc, iso, stp, ipx, 或者netbeui.
必需要注意的是標識符也是keyword, 從而必須經過'\'來進行轉義.
(SNAP:子網接入協議 (SubNetwork Access Protocol))
在光纖分佈式數據網絡接口(其表達元形式可以是'fddi protocol arp'), 令牌環網(其表達元形式可以是'tr protocol arp'),
以及IEEE 802.11 無線局域網(其表達元形式可以是'wlan protocol arp')中, protocol
標識符來自802.2 邏輯鏈路控制層頭,
在FDDI, Token Ring 或 802.1頭中會包含此邏輯鏈路控制層頭.
當以這些網絡上的對應的協議標識爲過濾條件時, tcpdump僅僅是檢查LLC頭部中以0x000000爲組成單元標識符(OUI, 0x000000
標識一個內部以太網)的一段'SNAP格式結構'中的protocol ID 域, 而不會管包中是否有一段OUI爲0x000000的'SNAP格式
結構'(nt: SNAP, SubNetwork Access Protocol,子網接入協議 ). 下面例外:
iso tcpdump 會檢查LLC頭部中的DSAP域(Destination service Access Point, 目標服務接入點)和
SSAP域(源服務接入點).(nt: iso 協議未知, 需補充)
stp 以及 netbeui
tcpdump 將會檢查LLC 頭部中的目標服務接入點(Destination service Access Point);
atalk
tcpdump 將會檢查LLC 頭部中以0x080007 爲OUI標識的'SNAP格式結構', 並會檢查AppleTalk etype域.
(nt: AppleTalk etype 是否位於SNAP格式結構中, 未知, 需補充).
此外, 在以太網中, 對於ether proto protocol 選項, tcpdump 會爲 protocol 所指定的協議檢查
以太網類型域(the Ethernet type field), 但下面這些協議除外:
iso, stp, and netbeui
tcpdump 將會檢查802.3 物理幀以及LLC 頭(這兩種檢查與FDDI, TR, 802.11網絡中的對應檢查一致);
(nt: 802.3, 理解爲IEEE 802.3, 其爲一系列IEEE 標準的集合. 此集合定義了有線以太網絡中的物理層以及數據
鏈路層的媒體接入控制子層. stp 在上文已有描述)
atalk
tcpdump 將會檢查以太網物理幀中的AppleTalk etype 域 , 同一時候也會檢查數據包中LLC頭部中的'SNAP格式結構'
(這兩種檢查與FDDI, TR, 802.11網絡中的對應檢查一致)
aarp tcpdump 將會檢查AppleTalk ARP etype 域, 此域或存在於以太網物理幀中, 或存在於LLC(由802.2 所定義)的
'SNAP格式結構'中, 當爲後者時, 該'SNAP格式結構'的OUI標識爲0x000000;
(nt: 802.2, 可理解爲, IEEE802.2, 當中定義了邏輯鏈路控制層(LLC), 該層對應於OSI 網絡模型中數據鏈路層的上層部分.
LLC 層爲使用數據鏈路層的用戶提供了一個統一的接口(一般常使用戶是網絡層). LLC層下面是媒體接入控制層(nt: MAC層,
對應於數據鏈路層的下層部分).該層的實現以及工做方式會依據不一樣物理傳輸媒介的不一樣而有所差異(比方, 以太網, 令牌環網,
光纖分佈數據接口(nt: 實際可理解爲一種光纖網絡), 無線局域網(802.11), 等等.)
ipx tcpdump 將會檢查物理以太幀中的IPX etype域, LLC頭中的IPX DSAP域,無LLC頭並對IPX進行了封裝的802.3幀,
以及LLC 頭部'SNAP格式結構'中的IPX etype 域(nt | rt: SNAP frame, 可理解爲, LLC 頭中的'SNAP格式結構'.
該含義屬初步理解階段, 需補充).
decnet src host
假設數據包中DECNET源地址爲host, 則與此對應的條件表達式爲真.
(nt:decnet, 由Digital Equipment Corporation 開發, 最先用於PDP-11 機器互聯的網絡協議)
decnet dst host
假設數據包中DECNET目的地址爲host, 則與此對應的條件表達式爲真.
(nt: decnet 在上文已有說明)
decnet host host
假設數據包中DECNET目的地址或DECNET源地址爲host, 則與此對應的條件表達式爲真.
(nt: decnet 在上文已有說明)
ifname interface
假設數據包已被標記爲從指定的網絡接口中接收的, 則與此對應的條件表達式爲真.
(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲OpenBSD中的防火牆程序))
on interface
與 ifname interface 含義一致.
rnr num
假設數據包已被標記爲匹配PF的規則, 則與此對應的條件表達式爲真.
(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲OpenBSD中的防火牆程序))
rulenum num
與 rulenum num 含義一致.
reason code
假設數據包已被標記爲包含PF的匹配結果代碼, 則與此對應的條件表達式爲真.有效的結果代碼有: match, bad-offset,
fragment, short, normalize, 以及memory.
(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲OpenBSD中的防火牆程序))
rset name
假設數據包已被標記爲匹配指定的規則集, 則與此對應的條件表達式爲真.
(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲OpenBSD中的防火牆程序))
ruleset name
與 rset name 含義一致.
srnr num
假設數據包已被標記爲匹配指定的規則集中的特定規則(nt: specified PF rule number, 特定規則編號, 即特定規則),
則與此對應的條件表達式爲真.(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲
OpenBSD中的防火牆程序))
subrulenum num
與 srnr 含義一致.
action act
假設包被記錄時PF會運行act指定的動做, 則與此對應的條件表達式爲真. 有效的動做有: pass, block.
(此選項僅僅適用於被OpenBSD中pf程序作過標記的包(nt: pf, packet filter, 可理解爲OpenBSD中的防火牆程序))
ip, ip6, arp, rarp, atalk, aarp, decnet, iso, stp, ipx, netbeui
與下面表達元含義一致:
ether proto p
p是以上協議中的一個.
lat, moprc, mopdl
與下面表達元含義一致:
ether proto p
p是以上協議中的一個. 必需要注意的是tcpdump眼下還不能分析這些協議.
vlan [vlan_id]
假設數據包爲IEEE802.1Q VLAN 數據包, 則與此對應的條件表達式爲真.
(nt: IEEE802.1Q VLAN, 即IEEE802.1Q 虛擬網絡協議, 此協議用於不一樣網絡的之間的互聯).
假設[vlan_id] 被指定, 則惟獨數據包含有指定的虛擬網絡id(vlan_id), 則與此對應的條件表達式爲真.
要注意的是, 對於VLAN數據包, 在表達式中遇到的第一個vlankeyword會改變表達式中接下來keyword所對應數據包中數據的
開始位置(即解碼偏移). 在VLAN網絡體系中過濾數據包時, vlan [vlan_id]表達式可以被屢次使用. keywordvlan每出現一次都會增長
4字節過濾偏移(nt: 過濾偏移, 可理解爲上面的解碼偏移).
好比:
vlan 100 && vlan 200
表示: 過濾封裝在VLAN100中的VLAN200網絡上的數據包
再好比:
vlan && vlan 300 && ip
表示: 過濾封裝在VLAN300 網絡中的IPv4數據包, 而VLAN300網絡又被更外層的VLAN封裝
mpls [label_num]
假設數據包爲MPLS數據包, 則與此對應的條件表達式爲真.
(nt: MPLS, Multi-Protocol Label Switch, 多協議標籤交換, 一種在開放的通訊網上利用標籤引導數據傳輸的技術).
假設[label_num] 被指定, 則惟獨數據包含有指定的標籤id(label_num), 則與此對應的條件表達式爲真.
要注意的是, 對於內含MPLS信息的IP數據包(即MPLS數據包), 在表達式中遇到的第一個MPLSkeyword會改變表達式中接下來keyword所對應數據包中數據的
開始位置(即解碼偏移). 在MPLS網絡體系中過濾數據包時, mpls [label_num]表達式可以被屢次使用. keywordmpls每出現一次都會增長
4字節過濾偏移(nt: 過濾偏移, 可理解爲上面的解碼偏移).
好比:
mpls 100000 && mpls 1024
表示: 過濾外層標籤爲100000 而層標籤爲1024的數據包
再如:
mpls && mpls 1024 && host 192.9.200.1
表示: 過濾發往或來自192.9.200.1的數據包, 該數據包的內層標籤爲1024, 且擁有一個外層標籤.
pppoed
假設數據包爲PPP-over-Ethernet的server探尋數據包(nt: Discovery packet,
其ethernet type 爲0x8863),則與此對應的條件表達式爲真.
(nt: PPP-over-Ethernet, 點對點以太網承載協議, 其點對點的鏈接創建分爲Discovery階段(地址發現) 和
PPPoE 會話創建階段 , discovery 數據包就是第一階段發出來的包. ethernet type
是以太幀裏的一個字段,用來指明應用於幀數據字段的協議)
pppoes
假設數據包爲PPP-over-Ethernet會話數據包(nt: ethernet type 爲0x8864, PPP-over-Ethernet在上文已有說明, 可搜索
keyword'PPP-over-Ethernet'找到其描述), 則與此對應的條件表達式爲真.
要注意的是, 對於PPP-over-Ethernet會話數據包, 在表達式中遇到的第一個pppoeskeyword會改變表達式中接下來keyword所對應數據包中數據的
開始位置(即解碼偏移).
好比:
pppoes && ip
表示: 過濾嵌入在PPPoE數據包中的ipv4數據包
tcp, udp, icmp
與下面表達元含義一致:
ip proto p or ip6 proto p
當中p 是以上協議之中的一個(含義分別爲: 假設數據包爲ipv4或ipv6數據包而且其協議類型爲 tcp,udp, 或icmp則與此對
應的條件表達式爲真)
iso proto protocol
假設數據包的協議類型爲iso-osi協議棧中protocol協議, 則與此對應的條件表達式爲真.(nt: [初解]iso-osi 網絡模型中每
層的詳細協議與tcp/ip對應層採用的協議不一樣. iso-osi各層中的詳細協議另需補充 )
protocol 可以是一個數字編號, 或下面名字中之中的一個:
clnp, esis, or isis.
(nt: clnp, Connectionless Network Protocol, 這是OSI網絡模型中網絡層協議 , esis, isis 未知, 需補充)
clnp, esis, isis
是下面表達的縮寫
iso proto p
當中p 是以上協議之中的一個
l1, l2, iih, lsp, snp, csnp, psnp
爲IS-IS PDU 類型 的縮寫.
(nt: IS-IS PDU, Intermediate system to intermediate system Protocol Data Unit, 中間系統到
中間系統的協議數據單元. OSI(Open Systems Interconnection)網絡由終端系統, 中間系統構成.
終端系統指路由器, 而終端系統指用戶設備. 路由器造成的本地組稱之爲'區域'(Area)和多個區域組成一個'域'(Domain).
IS-IS 提供域內或區域內的路由. l1, l2, iih, lsp, snp, csnp, psnp 表示PDU的類型, 詳細含義另需補充)
vpi n
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 ,
假設數據包爲ATM數據包, 而且其虛擬路徑標識爲n, 則與此對應的條件表達式爲真.
(nt: ATM, Asychronous Transfer Mode, 實際上可理解爲由ITU-T(國際電信聯盟電信標準化部門)提出的一個與
TCP/IP中IP層功能等同的一系列協議, 詳細協議層次另需補充)
vci n
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 ,
假設數據包爲ATM數據包, 而且其虛擬通道標識爲n, 則與此對應的條件表達式爲真.
(nt: ATM, 在上文已有描述)
lane
假設數據包爲ATM LANE 數據包, 則與此對應的條件表達式爲真. 要注意的是, 假設是模擬以太網的LANE數據包或者
LANE邏輯單元控制包, 表達式中第一個lanekeyword會改變表達式中隨後條件的測試. 假設沒有
指定lanekeyword, 條件測試將依照數據包中內含LLC(邏輯鏈路層)的ATM包來進行.
llc
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 ,
假設數據包爲ATM數據包, 而且內含LLC則與此對應的條件表達式爲真
oamf4s
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是Segment OAM F4 信元(VPI=0 而且 VCI=3), 則與此對應的條件表達式爲真.
(nt: OAM, Operation Administration and Maintenance, 操做管理和維護,可理解爲:ATM網絡中用於網絡
管理所產生的ATM信元的分類方式.
ATM網絡中傳輸單位爲信元, 要傳輸的數據終究會被切割成固定長度(53字節)的信元,
(初理解: 一條物理線路可被複用, 造成虛擬路徑(virtual path). 而一條虛擬路徑再次被複用, 造成虛擬信道(virtual channel)).
通訊雙方的編址方式爲:虛擬路徑編號(VPI)/虛擬信道編號(VCI)).
OAM F4 flow 信元又可分爲segment 類和end-to-end 類, 其差異未知, 需補充.)
oamf4e
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是 end-to-end OAM F4 信元(VPI=0 而且 VCI=4), 則與此對應的條件表達式爲真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)
oamf4
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是 end-to-end 或 segment OAM F4 信元(VPI=0 而且 VCI=3 或者 VCI=4), 則與此對應的條件表達式爲真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)
oam
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是 end-to-end 或 segment OAM F4 信元(VPI=0 而且 VCI=3 或者 VCI=4), 則與此對應的條件表達式爲真.
(nt: 此選項與oamf4反覆, 需確認)
metac
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'元信令線路'(nt: VPI=0 而且 VCI=1, '元信令線路', meta signaling circuit, 詳細含義未知, 需補充),
則與此對應的條件表達式爲真.
bcc
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'廣播信令線路'(nt: VPI=0 而且 VCI=2, '廣播信令線路', broadcast signaling circuit, 詳細含義未知, 需補充),
則與此對應的條件表達式爲真.
sc
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'信令線路'(nt: VPI=0 而且 VCI=5, '信令線路', signaling circuit, 詳細含義未知, 需補充),
則與此對應的條件表達式爲真.
ilmic
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'ILMI線路'(nt: VPI=0 而且 VCI=16, 'ILMI', Interim Local Management Interface , 可理解爲
基於SNMP(簡易網絡管理協議)的用於網絡管理的接口)
則與此對應的條件表達式爲真.
connectmsg
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'信令線路'而且是Q.2931協議中規定的下面幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式爲真.
(nt: Q.2931 爲ITU(國際電信聯盟)制定的信令協議. 當中規定了在寬帶綜合業務數字網絡的用戶接口層創建, 維護, 取消
網絡鏈接的相關步驟.)
metaconnect
假設數據包爲ATM數據包, 則與此對應的條件表達式爲真. 對於Solaris 操做系統上的SunATM設備 , 假設數據包爲ATM數據包
而且是來自'元信令線路'而且是Q.2931協議中規定的下面幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式爲真.
expr relop expr
假設relop 兩側的操做數(expr)知足relop 指定的關係, 則與此對應的條件表達式爲真.
relop 可以是下面關係操做符之中的一個: >, <, <=, =, !=.
expr 是一個算術表達式. 此表達式中可以使用整型常量(表示方式與標準C中一致), 二進制操做符(+, -, *, /, &, |,
<<, >>), 長度操做符, 以及對特定數據包中數據的引用操做符. 要注意的是, 所有的比較操做都默認操做數是無符號的,
好比, 0x80000000 和 0xffffffff 都是大於0的(nt: 對於有符號的比較, 依照補碼規則, 0xffffffff
會小於0). 假設要引用數據包中的數據, 可採用下面表達方式:
proto [expr : size]
proto 的取值可以是下面取值之中的一個:ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp,
tcp, udp, icmp, ip6 或者 radio. 這指明瞭該引用操做所對應的協議層.(ether, fddi, wlan,
tr, ppp, slip and link 對應於數據鏈路層, radio 對應於802.11(wlan,無線局域網)某些數據包中的附帶的
"radio"頭(nt: 當中描述了波特率, 數據加密等信息)).
要注意的是, tcp, udp 等上層協議眼下僅僅能應用於網絡層採用爲IPv4或IPv6協議的網絡(此限制會在tcpdump將來版本號中
進行改動). 對於指定協議的所需數據, 其在包數據中的偏移字節由expr 來指定.
以上表達中size 是可選的, 用來指明咱們關注那部分數據段的長度(nt:一般這段數據
是數據包的一個域), 其長度可以是1, 2, 或4個字節. 假設不給定size, 默認是1個字節. 長度操做符的keyword爲len,
這代碼整個數據包的長度.
好比, 'ether[0] & 1 != 0' 將會使tcpdump 抓取所有多點廣播數據包.(nt: ether[0]字節的最低位爲1表示
數據包目的地址是多點廣播地址). 'ip[0] & 0xf != 5' 對應抓取所有帶有選項的
IPv4數據包. 'ip[6:2] & 0x1fff = 0'對應抓取沒被破碎的IPv4數據包或者
其片斷編號爲0的已破碎的IPv4數據包. 這種數據檢查方式也適用於tcp和udp數據的引用,
即, tcp[0]對應於TCP 頭中第一個字節, 而不是對應不論什麼一箇中間的字節.
一些偏移以及域的取值除了可以用數字也可用名字來表達. 下面爲可用的一些域(協議頭中的域)的名字: icmptype (指ICMP 協議頭
中type域), icmpcode (指ICMP 協議頭code 域), 以及tcpflags(指TCP協議頭的flags 域)
下面爲ICMP 協議頭中type 域的可用取值:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply,
icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
下面爲TCP 協議頭中flags 域的可用取值:tcp-fin, tcp-syn, tcp-rst, tcp-push,
tcp-ack, tcp-urg.
技巧:超級詳細Tcpdump 的用法
2011-12-08 20:33 51CTO Hulda
關鍵字:Tcpdump rarp 混雜模式
第一種是關於類型的關鍵字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一臺主機,net 202.0.0.0 指明 202.0.0.0是一個網絡地址,port 23 指明端口號是23。若是沒有指定類型,缺省的類型是host.
第二種是肯定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明瞭傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網絡地址是202.0.0.0 。若是沒有指明方向關鍵字,則缺省是src or dst關鍵字。
第三種是協議的關鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分佈式光纖數據接口網絡)上的特定 的網絡協議,實際上它是"ether"的別名,fddi和ether具備相似的源地址和目的地址,因此能夠將fddi協議包看成ether的包進行處理和 分析。其餘的幾個關鍵字就是指明瞭監聽的包的協議內容。若是沒有指定任何協議,則tcpdump將會監聽全部協議的信息包。
除了這三種類型的關鍵字以外,其餘重要的關鍵字以下:gateway, broadcast,less,greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'or' ,'││';這些關鍵字能夠組合起來構成強大的組合條件來知足人們的須要,下面舉幾個例子來講明。
普通狀況下,直接啓動tcpdump將監視第一個網絡界面上全部流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i參數指定tcpdump監聽的網絡界面,這在計算機具備多個網絡界面時很是有用,
使用-c參數指定要監聽的數據包數量,
使用-w參數指定將監聽到的數據包寫入文件中保存
A想要截獲全部210.27.48.1 的主機收到的和發出的全部的數據包:
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令:(在命令行中適用 括號時,必定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口進行監視 123 爲ntp的服務端口
# tcpdump udp port 123
F 系統將只對名爲hostname的主機的通訊數據包進行監視。主機名能夠是本地主機,也能夠是網絡上的任何一臺計算機。下面的命令能夠讀取主機hostname發送的全部數據:
#tcpdump -i eth0 src host hostname
G 下面的命令能夠監視全部送到主機hostname的數據包:
#tcpdump -i eth0 dst host hostname
H 咱們還能夠監視經過指定網關的數據包:
#tcpdump -i eth0 gateway Gatewayname
I 若是你還想監視編址到指定端口的TCP或UDP數據包,那麼執行如下命令:
#tcpdump -i eth0 host hostname and port 80
J 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包
,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通訊,使用命令
:(在命令行中適用 括號時,必定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
L 若是想要獲取主機210.27.48.1除了和主機210.27.48.2以外全部主機通訊的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 若是想要獲取主機210.27.48.1接收或發出的telnet包,使用以下命令:
#tcpdump tcp port 23 host 210.27.48.1
第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等類型
除了這三種類型的關鍵字以外,其餘重要的關鍵字以下:gateway, broadcast,less,
greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算 是'o
r' ,'||';
第二種是肯定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,
若是咱們只須要列出送到80端口的數據包,用dst port;若是咱們只但願看到返回80端口的數據包,用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 通常是提供http的服務的主機
若是條件不少的話 要在條件以前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
若是在ethernet 使用混雜模式 系統的日誌將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump對截獲的數據並無進行完全解碼,數據包內的大部份內容是使用十六進制的形式直接打印輸出的。顯然這不利於分析網絡故障,一般的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,而後再使用其餘程序進行解碼分析。固然也應該定義過濾規則,以免捕獲的數據包填滿整個硬盤。
tcpdump高級過濾表達式
分類: 協議 2012-11-08 16:48 2990人閱讀 評論(0) 收藏 舉報
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt
tcpdump advanced filters
========================
Sebastien Wains <sebastien -the at sign- wains -dot- be>
http://www.wains.be
$Id: tcpdump_advanced_filters.txt 34 2010-08-21 13:50:49Z sw $
Notes :
I usually always specify the interface from which to listen.. that's the -i option you will always see in the examples.
Indeed, I have tested each rule on my laptop over the wireless adapter which is eth1.
Feel free to contact me for comments, suggestions or for reporting mistakes.
I know I'm usually terrible at explaining stuff, so let me know if something is not clear.
I'll try to keep this document updated with new useful rules.
Before I begin with advanced filters, let's review the basic syntax of tcpdump
Basic syntax :
==============
Filtering hosts :
-----------------
- Match any traffic involving 192.168.1.1 as destination or source
# tcpdump -i eth1 host 192.168.1.1
不區分源地址和目的地址,過濾IP
- As soure only
# tcpdump -i eth1 src host 192.168.1.1
過濾源地址
- As destination only
# tcpdump -i eth1 dst host 192.168.1.1
過濾目的地址
Filtering ports :
-----------------
- Match any traffic involving port 25 as source or destination
# tcpdump -i eth1 port 25
不區分源端口和目的端口,過濾端口
- Source
# tcpdump -i eth1 src port 25
過濾源端口
- Destination
# tcpdump -i eth1 dst port 25
過濾目的端口
Network filtering :
-------------------
過濾網絡
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
Protocol filtering :
--------------------
過濾協議
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
Let's combine expressions :
---------------------------
Negation : ! or "not" (without the quotes)
Concatanate : && or "and"
Alternate : || or "or"
- This rule will match any TCP traffic on port 80 (web) with 192.168.1.254 or 192.168.1.200 as destination host
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'
過濾80端口的TCP協議,目的地址是254或200
- Will match any ICMP traffic involving the destination with physical/MAC address 00:01:02:03:04:05
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
過濾icmp協議,而且MAC地址爲00:01:02:03:04:05
- Will match any traffic for the destination network 192.168 except destination host 192.168.1.200
# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
過濾協議爲TCP,目的網絡爲192.168的數據,這之中除去192.168.1.200的主機的數據
Advanced header filtering :
===========================
Before we continue, we need to know how to filter out info from headers
proto[x:y] : will start filtering from byte x for y bytes. ip[2:2] would filter bytes 3 and 4 (first byte begins by 0)
proto[x:y] & z = 0 : will match bits set to 0 when applying mask z to proto[x:y]
proto[x:y] & z !=0 : some bits are set when applying mask z to proto[x:y]
proto[x:y] & z = z : every bits are set to z when applying mask z to proto[x:y]
proto[x:y] = z : p[x:y] has exactly the bits set to z
Operators : >, <, >=, <=, =, !=
高級包頭過濾
============
首先了解如何從包頭過濾信息
proto[x:y] : 過濾從x 字節開始的y 字節數。好比ip[2:2]過濾出三、4 字節(第一
字節從0 開始排)
proto[x:y] & z = 0 : proto[x:y]和z 的與操做爲0
proto[x:y] & z !=0 : proto[x:y]和z 的與操做不爲0
proto[x:y] & z = z : proto[x:y]和z 的與操做爲z
proto[x:y] = z : proto[x:y]等於z
操做符: >, <, >=, <=, =, !=
IP 頭
This may not be clear in the first place but you'll find examples below involving these.
Of course, it is important to know what the protocol headers look like before diving into more advanced filters.
IP header
---------
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding | <-- optional
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| DATA ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
I'll consider we are only working with the IPv4 protocol suite for these examples.
In an ideal world, every field would fit inside one byte. This is not the case, of course.
Are IP options set ?
--------------------
Let's say we want to know if the IP header has options set. We can't just try to filter out the 21st byte
because if no options are set, data start at the 21st byte. We know a "normal" header is usually 20 bytes
(160 bits) long. With options set, the header is longer than that. The IP header has the header
length field which we will filter here to know if the header is longer than 20 bytes.
+-+-+-+-+-+-+-+-+
|Version| IHL |
+-+-+-+-+-+-+-+-+
Usually the first byte has a value of 01000101 in binary.
一般第一個字節的二進制爲01000101
Anyhow, we need to divide the first byte in half...
先把第一個字節分紅二半
0100 = 4 in decimal. This is the IP version.表明IP的版本
0101 = 5 in decimal. This is the number of blocks of 32 bits in the headers. 5 x 32 bits = 160 bits or 20 bytes.報頭長度,160個小b(bit)或是20個大B(字節)
The second half of the first byte would be bigger than 5 if the header had IP options set.
若是報頭有IP選項設置,IHL將比5大
We have two ways of dealing with that kind of filters.
咱們有兩種方式處理過濾器
1. Either try to match a value bigger than 01000101. This would trigger matches for IPv4 traffic with IP options set,
but ALSO any IPv6 traffic !
當是IPV6的狀況時,版本信息確定是超過01000101,若是是帶有IP選項設置的IPV4也有可能在版本信息中超過01000101
In decimal 01000101 equals 69.
01000101十進制爲69
Let's recap how to calculate in decimal.
讓咱們來複習下在十進制中如何計算
0 : 0 \
1 : 2^6 = 64 \ First field (IP version)
0 : 0 /
0 : 0 /
-
0 : 0 \
1 : 2^2 = 4 \ Second field (Header length)
0 : 0 /
1 : 2^0 = 1 /
64 + 4 + 1 = 69
The first field in the IP header would usually have a decimal value of 69.
If we had IP options set, we would probably have 01000110 (IPv4 = 4 + header = 6), which in decimal equals 70.
若是進行IP選項設置,二進制有多是01000110,十進制爲70
This rule should do the job :這個規則應該這樣設置
# tcpdump -i eth1 'ip[0] > 69'
Somehow, the proper way is to mask the first half/field of the first byte, because as mentionned earlier,
this filter would match any IPv6 traffic.
無論怎麼樣,這個方法來過濾第一字節的一半/所有,正像之前提到的那樣,確定能夠適用於匹配IPV6的狀況
2. The proper way : masking the first half of the byte
適合的方法:過濾一個字節的前面一半
0100 0101 : 1st byte originally 第一字節原來的樣子
0000 1111 : mask (0x0f in hex or 15 in decimal). 0 will mask the values while 1 will keep the values intact. 0用過濾,1用來保留
=========
0000 0101 : final result 與操做之後的結果
The correct filter :正確的過濾表達式
# tcpdump -i eth1 'ip[0] & 15 > 5'
or
# tcpdump -i eth1 'ip[0] & 0x0f > 5'
DF bit (don't fragment) set ?
-----------------------------
DF:Don't Fragment
IP協議的首部「標誌」中標誌(flag) 佔 3 位,目前只有前兩位有意義。標誌字段的最低位是 MF (More Fragment)。MF =1 表示後面「還有分片」。MF 0 表示最後一個分片。標誌字段中間的一位是 DF (Don't Fragment) 只有當 DF =0 時才容許分片。
Let's now trying to know if we have fragmentation occuring, which is not desirable. Fragmentation occurs
when a the MTU of the sender is bigger than the path MTU on the path to destination.
如今看下如何讓咱們知道是否有分片發生,當發送設備的MTU大於沿途設備的MTU時,就要分片
Fragmentation info can be found in the 7th and 8th byte of the IP header.
分片標誌能夠在IP頭的第七和第八字節找到
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
標誌 IP數據分割偏移
Bit 0: reserved, must be zero 保留,置0
Bit 1: (DF) 0 = May Fragment, 1 = Don't Fragment. 0爲可片,1爲不可片
Bit 2: (MF) 0 = Last Fragment, 1 = More Fragments. 0爲最後一片,1爲後面還有
The fragment offset field is only used when fragmentation occurs.
只有須要分片時分片標誌纔會設置
If we want to match the DF bit (don't fragment bit, to avoid IP fragmentation) :
若是咱們想匹配DF位(避免IP分片)
The 7th byte would have a value of :
01000000 or 64 in decimal
二進制01000000或十進制64
# tcpdump -i eth1 'ip[6] = 64'
過濾DF位爲1的IP包
Matching fragmentation ?
------------------------
匹配分片
- Matching MF (more fragment set) ? This would match the fragmented datagrams but wouldn't match the last
fragment (which has the 2nd bit set to 0).
匹配MF標誌(還有後續分片設置)?這個設置是用來匹配不是最後一個分片的數據報
# tcpdump -i eth1 'ip[6] = 32'
過濾匹配MF標誌的IP包,用以過濾第一個分片
The last fragment have the first 3 bits set to 0... but has data in the fragment offset field.
最後一個分片中,第六個字節的第3比特位設置爲0,除非有分片偏移字段的數據(不是很明白)
- Matching the fragments and the last fragments
匹配分片和最後一片
# tcpdump -i eth1 '((ip[6:2] > 0) and (not ip[6] = 64))'
從第6個字節開始日後數2個字節大於0,而且第6個字節的十進制不等於64,這意味不是最後一個分片
A bit of explanations :一個比特位的解解釋
"ip[6:2] > 0" would return anything with a value of at least 1 但願返回值至少是個1
We don't want datagrams with the DF bit set though.. the reason of the "not ip[6] = 64" 咱們不但願要DF位設置的數據包
If you want to test fragmentation use something like :若是你想測試下分片
ping -M want -s 3000 192.168.1.1
Matching datagrams with low TTL 匹配低TTL
-------------------------------
The TTL field is located in the 9th byte and fits perfectly into 1 byte. TTL字段在第9個字節,均是1
The maximum decimal value of the TTL field is thus 255 (11111111 in binary). 最大值爲255
This can be verified :
$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
+-+-+-+-+-+-+-+-+
| Time to Live |
+-+-+-+-+-+-+-+-+
We can try to find if someone on our network is using traceroute by using something like this on the gateway :
在網關上,咱們能夠發現是否有人用traceroute這種相似的命令進行測試,設置一個比較小的TTL值進行發包
# tcpdump -i eth1 'ip[8] < 5'
Matching packets longer than X bytes
------------------------------------
匹配大於某個長度字節的IP包
Where X is 600 bytes
好比是600個字節
# tcpdump -i eth1 'ip[2:2] > 600'
第3、第四個字節大於600
More IP filtering
-----------------
更多的IP過濾
We could imagine filtering source and destination addresses directly in decimal addressing.
We could also match the protocol by filtering the 10th byte.
咱們能夠想像用十進制源和目的地址來進行過濾
咱們也能夠經過匹配第十個字節來過濾指定協議
It would be pointless anyhow, because tcpdump makes it already easy to filter out that kind of info.
TCPDUMP能夠簡單完成這個匹配協議的工做
TCP header
----------
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data | |C|E|U|A|P|R|S|F| |
| Offset| Res. |W|C|R|C|S|S|Y|I| Window |
| | |R|E|G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- Matching any TCP traffic with a source port > 1024 過濾TCP協議源端口超過1024的數據
# tcpdump -i eth1 'tcp[0:2] > 1024'
- Matching TCP traffic with particular flag combinations
匹配TCP特定標誌組合
The flags are defined in the 14th byte of the TCP header.
這些標誌在TCP頭的第十四個字節
+-+-+-+-+-+-+-+-+
|C|E|U|A|P|R|S|F|
|W|C|R|C|S|S|Y|I|
|R|E|G|K|H|T|N|N|
+-+-+-+-+-+-+-+-+
In the TCP 3-way handshakes, the exchange between hosts goes like this :
TCP的三次握手過程
1. Source sends SYN 發起方發SYN
2. Destination answers with SYN, ACK 目的方回答SYN+ACK
3. Source sends ACK 發起方發ACK
- If we want to match packets with only the SYN flag set, the 14th byte would have a binary
value of 00000010 which equals 2 in decimal.
當咱們只想過濾僅有SYN標誌的包時,第14個字節的二進制是00000010,十進制是2
# tcpdump -i eth1 'tcp[13] = 2'
- Matching SYN, ACK (00010010 or 18 in decimal)匹配SYN+ACK包時(二進制是00010010或是十進制18)
# tcpdump -i eth1 'tcp[13] = 18'
- Matching either SYN only or SYN-ACK datagrams匹配SYN或是SYN+ACK的數據時
# tcpdump -i eth1 'tcp[13] & 2 = 2'
We used a mask here. It will returns anything with the ACK bit set (thus the SYN-ACK combination as well)
咱們這種與的方式,也可用在過濾ACK或SYN+ACK中
Let's assume the following examples (SYN-ACK)
假設要過濾SYN-ACK
00010010 : SYN-ACK packet
00000010 : mask (2 in decimal)
--------
00000010 : result (2 in decimal)
Every bits of the mask match !
這個去運算應該是用過濾包含SYN標誌的數據報
- Matching PSH-ACK packets
# tcpdump -i eth1 'tcp[13] = 24'
過濾PSH+ACK標誌
- Matching any combination containing FIN (FIN usually always comes with an ACK so we either
need to use a mask or match the combination ACK-FIN)
# tcpdump -i eth1 'tcp[13] & 1 = 1'
- Matching RST flag
# tcpdump -i eth1 'tcp[13] & 4 = 4'
By looking at the TCP state machine diagram (http://www.wains.be/pub/networking/tcp_state_machine.jpg)
we can find the different flag combinations we may want to analyze.
咱們能夠分析不一樣的標組合
Ideally, a socket in ACK_WAIT mode should not have to send a RST. It means the 3 way handshake has not completed.
We may want to analyze that kind of traffic.
通常狀況,一個sokcet在ACK_WAIT模式下不該該發送RST標誌,這意味着三次握手沒有完成,咱們能夠分析這個類型的流程
Matching SMTP data :
--------------------
I will make a filter that will match any packet containing the "MAIL" command from SMTP exchanges.
I use something like http://www.easycalculation.com/ascii-hex.php to convert values from ASCII to hexadecimal.
"MAIL" in hex is 0x4d41494c
M=4d A=41 I=49 L=4c
The rule would be :
# tcpdump -i eth1 '((port 25) and (tcp[20:4] = 0x4d41494c))'
It will check the bytes 21 to 24. "MAIL" is 4 bytes/32 bits long..
檢查21到24字節,"MAIL"是4個字節,32個比特
This rule would not match packets with IP options set.
這個規則不用匹配IP選項設置
This is an example of packet (a spam, of course) :
一個例子,是個垃圾郵件
# tshark -V -i eth0 '((port 25) and (tcp[20:4] = 0x4d41494c))'
Capturing on eth0
Frame 1 (92 bytes on wire, 92 bytes captured)
Arrival Time: Sep 25, 2007 00:06:10.875424000
[Time delta from previous packet: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Packet Length: 92 bytes
Capture Length: 92 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:tcp:smtp]
Ethernet II, Src: Cisco_X (00:11:5c:X), Dst: 3Com_X (00:04:75:X)
Destination: 3Com_X (00:04:75:X)
Address: 3Com_X (00:04:75:X)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: Cisco_X (00:11:5c:X)
Address: Cisco_X (00:11:5c:X)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 62.163.X (62.163.X), Dst: 192.168.X (192.168.X)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 78
Identification: 0x4078 (16504)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 118
Protocol: TCP (0x06)
Header checksum: 0x08cb [correct]
[Good: True]
[Bad : False]
Source: 62.163.X (62.163.X)
Destination: 192.168.X (192.168.XX)
Transmission Control Protocol, Src Port: 4760 (4760), Dst Port: smtp (25), Seq: 0, Ack: 0, Len: 38
Source port: 4760 (4760)
Destination port: smtp (25)
Sequence number: 0 (relative sequence number)
[Next sequence number: 38 (relative sequence number)]
Acknowledgement number: 0 (relative ack number)
Header length: 20 bytes
Flags: 0x18 (PSH, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17375
Checksum: 0x6320 [correct]
[Good Checksum: True]
[Bad Checksum: False]
Simple Mail Transfer Protocol
Command: MAIL FROM:<wguthrie_at_mysickworld--dot--com>\r\n
Command: MAIL
Request parameter: FROM:<wguthrie_at_mysickworld--dot--com>
Matching HTTP data :
--------------------
Let's make a filter that will find any packets containing GET requests讓咱們來設一過濾規則來發現含GET請包的數據
The HTTP request will begin by :
HTTP請求是這樣開始的
GET / HTTP/1.1\r\n (16 bytes counting the carriage return but not the backslashes !)
16字節算回車不算反斜槓
If no IP options are set.. the GET command will use the byte 20, 21 and 22
如查沒有IP選項設置,GET命令將用到20、21和22三個字節
Usually, options will take 12 bytes (12nd byte indicates the header length, which should report 32 bytes).
So we should match bytes 32, 33 and 34 (1st byte = byte 0).
一般,選項將佔12個字節(第12個字節指頭長度,which should report 32 bytes)
Tcpdump is only able to match data size of either 1, 2 or 4 bytes, we will take the following ASCII
character following the GET command (a space)
TCPDUMP僅僅可以匹配1個、2個或4個字節,因此是GET+空格
"GET " in hex : 47455420
# tcpdump -i eth1 'tcp[32:4] = 0x47455420'
Matching other interesting TCP things :
---------------------------------------
SSH connection (on any port) :
We will be looking for the reply given by the SSH server.
OpenSSH usually replies with something like "SSH-2.0-OpenSSH_3.6.1p2".
The first 4 bytes (SSH-) have an hex value of 0x5353482D.
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
If we want to find any connection made to older version of OpenSSH (version 1, which are insecure and subject to MITM attacks) :
The reply from the server would be something like "SSH-1.99.."
# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'
UDP header
----------
0 7 8 15 16 23 24 31
+--------+--------+--------+--------+
| Source | Destination |
| Port | Port |
+--------+--------+--------+--------+
| | |
| Length | Checksum |
+--------+--------+--------+--------+
| |
| DATA ... |
+-----------------------------------+
Nothing really interesting here.
If we want to filter ports we would use something like :
# tcpdump -i eth1 udp dst port 53
ICMP header
-----------
See different ICMP messages :
http://img292.imageshack.us/my.php?image=icmpmm6.gif
We will usually filter the type (1 byte) and code (1 byte) of the ICMP messages.
Here are common ICMP types :
0 Echo Reply [RFC792]
3 Destination Unreachable [RFC792]
4 Source Quench [RFC792]
5 Redirect [RFC792]
8 Echo [RFC792]
11 Time Exceeded [RFC792]
We may want to filter ICMP messages type 4, these kind of messages are sent in case of congestion of the network.
# tcpdump -i eth1 'icmp[0] = 4'
If we want to find the ICMP echo replies only, having an ID of 500. By looking at the image with all the ICMP packet description
we see the ICMP echo reply have the ID spread across the 5th and 6th byte. For some reason, we have to filter out with the value in hex.
# tcpdump -i eth0 '(icmp[0] = 0) and (icmp[4:2] = 0x1f4)'
tcpdump 高級過濾技巧
===================
Sebastien Wains <sebastien -the at sign- wains -dot- be>
http://www.wains.be
$Id: tcpdump_advanced_filters.txt 33 2008-05-07 17:40:11Z sw $
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt
注意:
例子中都用-i 參數指定了抓取的網卡爲eth1,實際使用時請自行變化。
翻譯此文的目的是加深記憶,可能理解有誤差,建議看原文或man 手冊。
注:因爲大部分是翻譯的,因此只是高級技巧,並不是權威指南!
基本語法
========
過濾主機
--------
- 抓取全部通過eth1,目的或源地址是192.168.1.1 的網絡數據
# tcpdump -i eth1 host 192.168.1.1
- 源地址
# tcpdump -i eth1 src host 192.168.1.1
- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1
過濾端口
--------
- 抓取全部通過eth1,目的或源端口是25 的網絡數據
# tcpdump -i eth1 port 25
- 源端口
# tcpdump -i eth1 src port 25
- 目的端口
# tcpdump -i eth1 dst port 25
網絡過濾
--------
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
協議過濾
--------
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
經常使用表達式
----------
非: ! or "not" (去掉雙引號)
且: && or "and"
或: || or "or"
- 抓取全部通過eth1,目的地址是192.168.1.254 或192.168.1.200 端口是80 的TCP 數據
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host
192.168.1.200)))'
- 抓取全部通過eth1,目標MAC 地址是00:01:02:03:04:05 的ICMP 數據
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取全部通過eth1,目的網絡是192.168,但目的主機不是192.168.1.200 的TCP 數據
# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
高級包頭過濾
============
首先了解如何從包頭過濾信息
proto[x:y] : 過濾從x 字節開始的y 字節數。好比ip[2:2]過濾出三、4 字節(第一
字節從0 開始排)
proto[x:y] & z = 0 : proto[x:y]和z 的與操做爲0
proto[x:y] & z !=0 : proto[x:y]和z 的與操做不爲0
proto[x:y] & z = z : proto[x:y]和z 的與操做爲z
proto[x:y] = z : proto[x:y]等於z
操做符: >, <, >=, <=, =, !=
IP 頭
----
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live | Protocol | Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Destination Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding | <-- optional
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| DATA ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
本文只針對IPv4。
IP 選項設置了嗎?
----------------
「通常」的IP 頭是20 字節,但IP 頭有選項設置,不能直接從偏移21 字節處讀取數據。IP
頭
有個長度字段能夠知道頭長度是否大於20 字節。
+-+-+-+-+-+-+-+-+
|Version| IHL |
+-+-+-+-+-+-+-+-+
一般第一個字節的二進制值是:01000101,分紅兩個部分:
0100 = 4 表示IP 版本
0101 = 5 表示IP 頭32 bit 的塊數,5 x 32 bits = 160 bits or 20 bytes
若是第一字節第二部分的值大於5,那麼表示頭有IP 選項。
下面介紹兩種過濾方法(第一種方法比較操蛋,可忽略):
1. 比較第一字節的值是否大於01000101,這能夠判斷IPv4 帶IP 選項的數據和IPv6 的數
據。
01000101 十進制等於69,計算方法以下(小提示:用計算器更方便)
0 : 0 \
1 : 2^6 = 64 \ 第一部分(IP 版本)
0 : 0 /
0 : 0 /
-
0 : 0 \
1 : 2^2 = 4 \ 第二部分(頭長度)
0 : 0 /
1 : 2^0 = 1 /
64 + 4 + 1 = 69
若是設置了IP 選項,那麼第一本身是01000110(十進制70),過濾規則:
# tcpdump -i eth1 'ip[0] > 69'
IPv6 的數據也會匹配,看看第二種方法。
2. 位操做
0100 0101 : 第一字節的二進制
0000 1111 : 與操做
=========
0000 0101 : 結果
正確的過濾方法
# tcpdump -i eth1 'ip[0] & 15 > 5'
或者
# tcpdump -i eth1 'ip[0] & 0x0f > 5'
分片標記
--------
當發送端的MTU 大於到目的路徑鏈路上的MTU 時就會被分片,這段話有點拗口,權威的
請參考《TCP/IP 詳解》。唉,32 借個人書沒還,只能湊合寫,你們記得看書啊。
分片信息在IP 頭的第七和第八字節:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Bit 0: 保留,必須是0
Bit 1: (DF) 0 = 可能分片, 1 = 不分片.
Bit 2: (MF) 0 = 最後的分片, 1 = 還有分片.
Fragment Offset 字段只有在分片的時候才使用。
要抓帶DF 位標記的不分片的包,第七字節的值應該是:
01000000 = 64
# tcpdump -i eth1 'ip[6] = 64'
抓分片包
--------
- 匹配MF,分片包
# tcpdump -i eth1 'ip[6] = 32'
最後分片包的開始3 位是0,可是有Fragment Offset 字段。
- 匹配分片和最後分片
# tcpdump -i eth1 '((ip[6:2] > 0) and (not ip[6] = 64))'
測試分片能夠用下面的命令:
ping -M want -s 3000 192.168.1.1
匹配小TTL
---------
TTL 字段在第九字節,而且正好是完整的一個字節,TTL 最大值是255,二進制爲11111111。
能夠用下面的命令驗證一下:
$ ping -M want -s 3000 -t 256 192.168.1.200
ping: ttl 256 out of range
+-+-+-+-+-+-+-+-+
| Time to Live |
+-+-+-+-+-+-+-+-+
- 在網關能夠用下面的命令看看網絡中誰在使用traceroute
# tcpdump -i eth1 'ip[8] < 5'
抓大於X 字節的包
---------------
- 大於600 字節
# tcpdump -i eth1 'ip[2:2] > 600'
更多的IP 過濾
------------
首先仍是須要知道TCP 基本結構,再次推薦《TCP/IP 詳解》,卷一就夠看的了,避免
走火入魔。
TCP 頭
-----
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port | Destination Port |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data | |C|E|U|A|P|R|S|F| |
| Offset| Res. |W|C|R|C|S|S|Y|I| Window |
| | |R|E|G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Urgent Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
- 抓取源端口大於1024 的TCP 數據包
# tcpdump -i eth1 'tcp[0:2] > 1024'
- 匹配TCP 數據包的特殊標記
TCP 標記定義在TCP 頭的第十四個字節
+-+-+-+-+-+-+-+-+
|C|E|U|A|P|R|S|F|
|W|C|R|C|S|S|Y|I|
|R|E|G|K|H|T|N|N|
+-+-+-+-+-+-+-+-+
重複一下TCP 三次握手,兩個主機是如何勾搭的:
1. 源發送SYN
2. 目標回答SYN, ACK
3. 源發送ACK
沒女友的童鞋要學習一下:
1. MM,你的手有空嗎?-_-
2. 有空,你呢?~_~
3. 我也有空*_*
失敗的loser 是醬紫的:
1. MM,這是你掉的板磚嗎?(SYN)
2. 不是,找拍啊?(RST-ACK)
- 只抓SYN 包,第十四字節是二進制的00000010,也就是十進制的2
# tcpdump -i eth1 'tcp[13] = 2'
- 抓SYN, ACK (00010010 or 18)
# tcpdump -i eth1 'tcp[13] = 18'
- 抓SYN 或者SYN-ACK
# tcpdump -i eth1 'tcp[13] & 2 = 2'
用到了位操做,就是無論ACK 位是啥。
- 抓PSH-ACK
# tcpdump -i eth1 'tcp[13] = 24'
- 抓全部包含FIN 標記的包(FIN 一般和ACK 一塊兒,表示幽會完了,回見)
# tcpdump -i eth1 'tcp[13] & 1 = 1'
- 抓RST(勾搭沒成功,偉大的greatwall 對她認爲有敏感信息的鏈接發RST 包,典型的棒
打鴛鴦)
# tcpdump -i eth1 'tcp[13] & 4 = 4'
詳細描述了TCP 各類狀態的標記,方便分析。
吳吖哦注
--------
tcpdump 考慮了一些數字恐懼症者的需求,提供了部分經常使用的字段偏移名字:
icmptype (ICMP 類型字段)
icmpcode (ICMP 符號字段)
tcpflags (TCP 標記字段)
ICMP 類型值有:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo,
icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp,
icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply
TCP 標記值:
tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
這樣上面按照TCP 標記位抓包的就能夠寫直觀的表達式了:
- 只抓SYN 包
# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓SYN, ACK
# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
抓SMTP 數據
----------
# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取數據區開始爲"MAIL"的包,"MAIL"的十六進制爲0x4d41494c。
抓HTTP GET 數據
--------------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六進制是47455420
抓SSH 返回
---------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六進制是0x5353482D
# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2]
= 0x312E)'
抓老版本的SSH 返回信息,如"SSH-1.99.."
吳吖哦注
--------
若是是爲了查看數據內容,建議用tcpdump -s 0 -w filename 把數據包都保存下來,
而後用wireshark 的Follow TCP Stream/Follow UDP Stream 來查看整個會話的內容。
"-s 0"是抓取完整數據包,不然默認只抓68 字節。
另外,用tcpflow 也能夠方便的獲取TCP 會話內容,支持tcpdump 的各類表達式。
UDP 頭
-----
0 7 8 15 16 23 24 31
+--------+--------+--------+--------+
| Source | Destination |
| Port | Port |
+--------+--------+--------+--------+
| | |
| Length | Checksum |
+--------+--------+--------+--------+
| |
| DATA ... |
+-----------------------------------+
- 抓DNS 請求數據
# tcpdump -i eth1 udp dst port 53
其餘
----
-c 參數對於運維人員來講也比較經常使用,由於流量比較大的服務器,靠人工CTRL+C 仍是
抓的太多,因而能夠用-c 參數指定抓多少個包。
# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令計算抓10000 個SYN 包花費多少時間,能夠判斷訪問量大概是多少。
html
- 1. tcpdump用法
- 2. tcpdump詳細用法
- 3. tcpdump 實用語法
- 4. tcpdump使用方法
- 5. Tcpdump 的詳解及用法
- 6. linux Tcpdump使用方法
- 7. Tcpdump 詳細的用法
- 8. tcpdump命令無法使用
- 9. Tcpdump的使用
- 10. tcpdump使用
- 更多相關文章...
- • Maven Web 應用 - Maven教程
- • XML 用途 - XML 教程
- • C# 中 foreach 遍歷的用法
- • Git可視化極簡易教程 — Git GUI使用方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. tcpdump用法
- 2. tcpdump詳細用法
- 3. tcpdump 實用語法
- 4. tcpdump使用方法
- 5. Tcpdump 的詳解及用法
- 6. linux Tcpdump使用方法
- 7. Tcpdump 詳細的用法
- 8. tcpdump命令無法使用
- 9. Tcpdump的使用
- 10. tcpdump使用