TCPDUMP簡介
TCPDUMP簡介
在傳統的網路分析和測試技術中,嗅探器(sniffer)是最常見,也是最重要的技術之一。sniffer工具首先是為網路管理員和網路程序員進行網路分析而設計的。對於網路管理人員來說,使用嗅探器可以隨時掌握網路的實際情況,在網路性能急劇下降的時候,可以通過sniffer工具來分析原因,找出造成網路阻塞的來源。對於網路程序員來說,通過sniffer工具來調試程序。
用過windows平台上的sniffer工具(例如,netxray和sniffer pro軟體)的朋友可能都知道,在共享式的區域網中,採用sniffer工具簡直可以對網路中的所有流量一覽無餘!Sniffer工具實際上就是一個網路上的抓包工具,同時還可以對抓到的包進行分析。由於在共享式的網路中,信息包是會廣播到網路中所有主機的網路介面,只不過在沒有使用sniffer工具之前,主機的網路設備會判斷該信息包是否應該接收,這樣它就會拋棄不應該接收的信息包,sniffer工具卻使主機的網路設備接收所有到達的信息包,這樣就達到了網路監聽的效果。
Linux作為網路伺服器,特別是作為路由器和網關時,數據的採集和分析是必不可少的。所以,今天我們就來看看Linux中強大的網路數據採集分析工具——TcpDump。
用簡單的話來定義tcpdump,就是:dump the traffice on a network,根據使用者的定義對網路上的數據包進行截獲的包分析工具。
作為互聯網上經典的的系統管理員必備工具,tcpdump以其強大的功能,靈活的截取策略,成為每個高級的系統管理員分析網路,排查問題等所必備的東東之一。
顧名思義,TcpDump可以將網路中傳送的數據包的「頭」完全截獲下來提供分析。它支持針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的信息。
tcpdump提供了源代碼,公開了介面,因此具備很強的可擴展性,對於網路維護和入侵者都是非常有用的工具。tcpdump存在於基本的FreeBSD系統中,由於它需要將網路界面設置為混雜模式,普通用戶不能正常執行,但具備root許可權的用戶可以直接執行它來獲取網路上的信息。因此系統中存在網路分析工具主要不是對本機安全的威脅,而是對網路上的其他計算機的安全存在威脅。
普通情況下,直接啟動tcpdump將監視第一個網路界面上所有流過的數據包。
-----------------------
bash-2.02# tcpdump
tcpdump: listening on eth0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
^C
------------------------
首先我們注意一下,從上面的輸出結果上可以看出來,基本上tcpdump總的的輸出格式為:系統時間 來源主機.埠 > 目標主機.埠 數據包參數
TcpDump的參數化支持
tcpdump支持相當多的不同參數,如使用-i參數指定tcpdump監聽的網路界面,這在計算機具有多個網路界面時非常有用,使用-c參數指定要監聽的數據包數量,使用-w參數指定將監聽到的數據包寫入文件中保存,等等。
然而更複雜的tcpdump參數是用於過濾目的,這是因為網路中流量很大,如果不加分辨將所有的數據包都截留下來,數據量太大,反而不容易發現需要的數據包。使用這些參數定義的過濾規則可以截留特定的數據包,以縮小目標,才能更好的分析網路中存在的問題。tcpdump使用參數指定要監視數據包的類型、地址、埠等,根據具體的網路問題,充分利用這些過濾規則就能達到迅速定位故障的目的。請使用man tcpdump查看這些過濾規則的具體用法。
顯然為了安全起見,不用作網路管理用途的計算機上不應該運行這一類的網路分析軟體,為了屏蔽它們,可以屏蔽內核中的bpfilter偽設備。一般情況下網路硬體和TCP/IP堆棧不支持接收或發送與本計算機無關的數據包,為了接收這些數據包,就必須使用網卡的混雜模式,並繞過標準的TCP/IP堆棧才行。在FreeBSD下,這就需要內核支持偽設備bpfilter。因此,在內核中取消bpfilter支持,就能屏蔽tcpdump之類的網路分析工具。
並且當網卡被設置為混雜模式時,系統會在控制台和日誌文件中留下記錄,提醒管理員留意這台系統是否被用作攻擊同網路的其他計算機的跳板。
May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled
雖然網路分析工具能將網路中傳送的數據記錄下來,但是網路中的數據流量相當大,如何對這些數據進行分析、分類統計、發現並報告錯誤卻是更關鍵的問題。網路中的數據包屬於不同的協議,而不同協議數據包的格式也不同。因此對捕獲的數據進行解碼,將包中的信息儘可能的展示出來,對於協議分析工具來講更為重要。昂貴的商業分析工具的優勢就在於它們能支持很多種類的應用層協議,而不僅僅只支持tcp、udp等低層協議。
從上面tcpdump的輸出可以看出,tcpdump對截獲的數據並沒有進行徹底解碼,數據包內的大部分內容是使用十六進位的形式直接列印輸出的。顯然這不利於分析網路故障,通常的解決辦法是先使用帶-w參數的tcpdump 截獲數據並保存到文件中,然後再使用其他程序進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬碟。
TCP功能
數據過濾
不帶任何參數的TcpDump將搜索系統中所有的網路介面,並顯示它截獲的所有數據,這些數據對我們不一定全都需要,而且數據太多不利於分析。所以,我們應當先想好需要哪些數據,TcpDump提供以下參數供我們選擇數據:
-b 在數據-鏈路層上選擇協議,包括ip、arp、rarp、ipx都是這一層的。
例如:tcpdump -b arp 將只顯示網路中的arp即地址轉換協議信息。
-i 選擇過濾的網路介面,如果是作為路由器至少有兩個網路介面,通過這個選項,就可以只過濾指定的介面上通過的數據。例如:
tcpdump -i eth0 只顯示通過eth0介面上的所有報頭。
src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨數據包的來源和去向,src host 192.168.0.1指定源主機IP地址是192.168.0.1,dst net 192.168.0.0/24指定目標是網路192.168.0.0。以此類推,host是與其指定主機相關無論它是源還是目的,net是與其指定網路相關的,ether後面跟的不是IP地址而是物理地址,而gateway則用於網關主機。可能有點複雜,看下面例子就知道了:
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
過濾的是源主機為192.168.0.1與目的網路為192.168.0.0的報頭。
tcpdump ether src 00:50:04:BA:9B and dst……
過濾源主機物理地址為XXX的報頭(為什麼ether src後面沒有host或者net?物理地址當然不可能有網路嘍)。
Tcpdump src host 192.168.0.1 and dst port not telnet
過濾源主機192.168.0.1和目的埠不是telnet的報頭。
ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型。
例如:
tcpdump ip src……
只過濾數據-鏈路層上的IP報頭。
tcpdump udp and src host 192.168.0.1
只過濾源主機192.168.0.1的所有udp報頭。
數據顯示/輸入輸出
TcpDump提供了足夠的參數來讓我們選擇如何處理得到的數據,如下所示:
-l 可以將數據重定向。
如tcpdump -l >tcpcap.txt將得到的數據存入tcpcap.txt文件中。
-n 不進行IP地址到主機名的轉換。
如果不使用這一項,當系統中存在某一主機的主機名時,TcpDump會把IP地址轉換為主機名顯示,就像這樣:eth0 < ntc9.1165> router.domain.net.telnet,使用-n后變成了:eth0 < 192.168.0.9.1165 > 192.168.0.1.telnet。
-nn 不進行埠名稱的轉換。
上面這條信息使用-nn后就變成了:eth0 < ntc9.1165 > router.domain.net.23。
-N 不列印出默認的域名。
還是這條信息-N 后就是:eth0 < ntc9.1165 > router.telnet。
-O 不進行匹配代碼的優化。
-t 不列印UNIX時間戳,也就是不顯示時間。
-tt 列印原始的、未格式化過的時間。
-v 詳細的輸出,也就比普通的多了個TTL和服務類型。
[expression]的用法:
expression是tcpdump最為有用的高級用法,可以利用它來匹配一些特殊的包。下面介紹一下expression的用法,主要是如何寫出符合要求最為嚴格expression。如果tcpdump中沒有expression,那麼tcpdump會把網卡上的所有數據包輸出,否則會將被expression匹配的包輸出。
expression 由一個或多個組成,而由一個或多個加一個id(name)或數字組成,它們的結構如用正則表達式則可表示為:
expression = ([qualitifer]+(id|number))+
依次看來,expression是一個複雜的條件表達式,其中[qualitifer]+(id|number)就是一個比較基本條件,qualitifer就表達一些的名稱(項,變數),id或number則表示一個值(或常量)。
qualitifer共有三種,分別是:
type 表示id name或number涉及到的類型,這些詞有host, nest, port ,portrange等等。
例子:
host foo 此為一個簡單的primitive,host為qualitifer, foo為id name
net 128.3 net為qualitifer, 128.3為number
port 20
等等
每個privimtive必須有一個type詞,如果表達式中沒有,則默認是host.
dir 指定數據傳輸的方向,這些詞有src, dst, src or dst, src and dst
例子:
dst net 128.3 ;此為一個相對複雜的primitive,結構為dir type number,表示目標網路為128.3的條件。
src or dst port ftp-data 此為比上一個相對簡的結構,src or dst表示源或目標,ftp-data為id,表示ftp協議中數據傳輸埠,故整體表示源或目標埠ftp-data的數據包即匹配。
如果在一個primitive中沒有dir詞,此默認為src or dst. 如 host foo則表示源或目標主機為foo的數據包都匹配。
proto 此種詞是用來匹配某種特定協議的,這些詞包括:ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet,tcp和udp。其實這些詞經常用來匹配某種協議,是使用率最高的一組詞了。
上面三種qualitifer和id name或number組成一個primitive通常是下面這種方式的:
proto dir type id(number) ,即primitive=proto dir type (id | number)
如:
tcp src port 80
ip dst host 192.168.1.1
如果出現type的話,一定會出現id或num
如果出現dir,那麼也會出現type,如果不出現,默認為host
而proto可單獨出現,如 tcpdump 'tcp'
通過上面介紹的三種qualitifer,我們很快就可以寫出一個primitive,下面我就只用一個primitive作為expression匹配數據包。
(1)匹配ether包
匹配特定mac地址的數據包。
tcpdump 'ether src 00:19:21:1D:75:E6'
匹配源mac為00:19:21:1D:75:E6的數據包其中src可改為dst, src or dst來匹改變條件
匹配ether廣播包。ether廣播包的特徵是mac全1.故如下即可匹配:
tcpdump 'ether dst ff:ff:ff:ff:ff:ff'
ylin@ylin:~$ sudo tcpdump -c 1 'ether dst ff:ff:ff:ff:ff:ff'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:47:57.784099 arp who-has 192.168.240.77 tell 192.168.240.189
在此,只匹配1個包就退出了。第一個是arp請求包,arp請求包的是採用廣播的方式發送的,被匹配那是當之無愧的。
匹配ether組播包,ether的組播包的特徵是mac的最高位為1,其它位用來表示組播組編號,如果你想匹配其的多播組,知道它的組MAC地址即可。如
tcpdump 'ether dst
' Mac_Address表示地址,填上適當的即可。如果想匹配所有的ether多播數據包,那麼暫時請放下,下面會繼續為你講解更高級的應用。
(2)匹配arp包
arp包用於IP到Mac址轉換的一種協議,包括arp請求和arp答應兩種報文,arp請求報文是ether廣播方式發送出去的,也即 arp請求報文的mac地址是全1,因此用ether dst FF;FF;FF;FF;FF;FF可以匹配arp請求報文,但不能匹配答應報文。因此要匹配arp的通信過程,則只有使用arp來指定協議。
tcpdump 'arp' 即可匹配網路上arp報文。
ylin@ylin:~$ arping -c 4 192.168.240.1>/dev/null& sudo tcpdump -p 'arp'
9293
WARNING: interface is ignored: Operation not permitted
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:09:25.042479 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:25.042702 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:26.050452 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:26.050765 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:27.058459 arp who-has 192.168.240.1 (00:03:d2:20:04:28 (oui Unknown)) tell ylin.local
11:09:27.058701 arp reply 192.168.240.1 is-at 00:03:d2:20:04:28 (oui Unknown)
11:09:33.646514 arp who-has ylin.local tell 192.168.240.1
11:09:33.646532 arp reply ylin.local is-at 00:19:21:1d:75:e6 (oui Unknown)
本例中使用arping -c 4 192.168.240.1產生arp請求和接收答應報文,而tcpdump -p 'arp'匹配出來了。此處-p選項是使網路工作於正常模式(非混雜模式),這樣是方便查看匹配結果。
(3)匹配IP包
眾所周知,IP協議是TCP/IP協議中最重要的協議之一,正是因為它才能把Internet互聯起來,它可謂功不可沒,下面分析匹配IP包的表達式。
對IP進行匹配
tcpdump 'ip src 192.168.240.69'
ylin@ylin:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:20:00.973605 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840
11:20:00.974328 IP ylin.local.32849 > 192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)
11:20:01.243490 IP ylin.local.51486 > walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183
IP廣播組播數據包匹配:只需指明廣播或組播地址即可
tcpdump 'ip dst 240.168.240.255'
ylin@ylin:~$ sudo tcpdump 'ip dst 192.168.240.255'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:25:29.690658 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 1, length 64
11:25:30.694989 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 2, length 64
11:25:31.697954 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 3, length 64
11:25:32.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 4, length 64
11:25:33.697970 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 5, length 64
11:25:34.697982 IP dd.local > 192.168.240.255: ICMP echo request, id 10022, seq 6, length 64
此處匹配的是ICMP的廣播包,要產生此包,只需要同一個區域網的另一台主機運行ping -b 192.168.240.255即可,當然還可產生組播包,由於沒有適合的軟體進行模擬產生,在此不舉例子。
(4)匹配TCP數據包
TCP同樣是TCP/IP協議棧裡面最為重要的協議之一,它提供了端到端的可靠數據流,同時很多應用層協議都是把TCP作為底層的通信協議,因為TCP的匹配是非常重要的。
如果想匹配HTTP的通信數據,那隻需指定匹配埠為80的條件即可
tcpdump 'tcp dst port 80'
ylin@ylin:~$ wget http://www.baidu.com 2>1 1 >/dev/null & sudo tcpdump -c 5 'tcp port 80'
10762
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:02:47.549056 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: S 1202130469:1202130469(0) ack 1132882351 win 2896
12:02:47.549085 IP ylin.local.47945 > xd-22-43-a8.bta.net.cn.www: . ack 1 win 183
12:02:47.549226 IP ylin.local.47945 > xd-22-43-a8.bta.net.cn.www: P 1:102(101) ack 1 win 183
12:02:47.688978 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: . ack 102 win 698
12:02:47.693897 IP xd-22-43-a8.bta.net.cn.www > ylin.local.47945: . 1:1409(1408) ack 102 win 724
(5)匹配udp數據包
udp是一種無連接的非可靠的用戶數據報,因此udp的主要特徵同樣是埠,用如下方法可以匹配某一埠
tcpdump 'upd port 53' 查看DNS的數據包
ylin@ylin:~$ ping -c 1 www.baidu.com > /dev/null& sudo tcpdump -p udp port 53
11424
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:28:09.221950 IP ylin.local.32853 > 192.168.200.150.domain: 63228+ PTR? 43.22.108.202.in-addr.arpa. (44)
12:28:09.222607 IP ylin.local.32854 > 192.168.200.150.domain: 5114+ PTR? 150.200.168.192.in-addr.arpa. (46)
12:28:09.487017 IP 192.168.200.150.domain > ylin.local.32853: 63228 1/0/0 (80)
12:28:09.487232 IP 192.168.200.150.domain > ylin.local.32854: 5114 NXDomain* 0/1/0 (140)
12:28:14.488054 IP ylin.local.32854 > 192.168.200.150.domain: 60693+ PTR? 69.240.168.192.in-addr.arpa. (45)
12:28:14.755072 IP 192.168.200.150.domain > ylin.local.32854: 60693 NXDomain 0/1/0 (122)
使用ping www.baidu.com目標是產生DNS請求和答應,53是DNS的埠號。
此外還有很多qualitifer是還沒有提及的,下面是其它合法的primitive,在tcpdump中是可以直接使用的。
gateway host
匹配使用host作為網關的數據包,即數據報中mac地址(源或目的)為host,但IP報的源和目的地址不是host的數據包。
dst net net
src net net
net net
net net mask netmask
net net/len
匹配IPv4/v6地址為net網路的數據報。
其中net可以為192.168.0.0或192.168這兩種形式。如net 192.168 或net 192.168.0.0
net net mask netmask僅對IPv4數據包有效,如net 192.168.0.0 mask 255.255.0.0
net net/len同樣只對IPv4數據包有效,如net 192.168.0.0/16
dst portrange port1-port2
src portrange port1-port2
portrange port1-port2
匹配埠在port1-port2範圍內的ip/tcp,ip/upd,ip6/tcp和ip6/udp數據包。dst, src分別指明源或目的。沒有則表示src or dst
less length 匹配長度少於等於length的報文。
greater length 匹配長度大於等於length的報文。
ip protochain protocol 匹配ip報文中protocol欄位值為protocol的報文
ip6 protochain protocol 匹配ipv6報文中protocol欄位值為protocol的報文
如tcpdump 'ip protochain 6 匹配ipv4網路中的TCP報文,與tcpdump 'ip && tcp'用法一樣,這裡的&&連接兩個primitive。6是TCP協議在IP報文中的編號。
ether broadcast
匹配乙太網廣播報文
ether multicast
匹配乙太網多播報文
ip broadcast
匹配IPv4的廣播報文。也即IP地址中主機號為全0或全1的IPv4報文。
ip multicast
匹配IPv4多播報文,也就是IP地址為多播地址的報文。
ip6 multicast
匹配IPv6多播報文,即IP地址為多播地址的報文。
vlan vlan_id
匹配為vlan報文 ,且vlan號為vlan_id的報文
到些為此,我們一直在介紹primitive是如何使用的,也即expression只有一個primitive。通過學會寫好每個primtive,我們就很容易把多個primitive組成一個expression,方法很簡單,通過邏輯運算符連接起來就可以了,邏輯運算符有以下三個:
「&&」 或」and」
「||」 或「or」
「!」 或「not」
並且可通過()進行複雜的連接運算。
如tcpdump 『ip && tcp』
tcpdump 『 host 192.168.240.3 &&( tcp port 80 || tcp port 443)』
通過上面的各種primitive,我們可以寫出很豐富的條件,如ip, tcp, udp,vlan等等。如IP,可以按址址進行匹,tcp/udp可以按埠匹配。但是,如果我想匹配更細的條件呢?如tcp中只含syn標誌,fin標誌的報文呢?上面的primitive恐怕無能為力了。不用怕,tcpdump為你提供最後一個功能最強大的primitive,記住是primitive,而不是expression。你可以用多個這個的primitive組成更複雜的 expression.
。
《解決方案》
謝謝分享