一、tcpdump
1、作用
tcpdump 指令可列出經過指定網路介面的封包檔案頭,可以將網路中傳送的封包的「頭」 完全截獲下來提供分析。它支援針對網路層、協定、主機、網路或連接埠的過濾,並提供 and、or、not 等邏輯語句來幫助你摘取有用資訊。
######由於它需要將網路介面設定為混雜模式,一般使用者無法正常執行,但具備 root 權限的使用者可以直接執行它來取得網路上的資訊###
其他抓包工具
wireshark具有圖形化和命令列兩種版本,可以對tcpdump 抓的包進行分析,其主要功能就是分析資料包。
ngrep它將抓到的套件資料以文字形式直接顯示出來,適用於套件資料包含文字的[抓包]分析(如HTTP、MySQL )
2、命令選項
tcpdump [選項] [協定] [資料流方向] [範圍]
-a 將網路位址和廣播位址轉換成名字
-A 以ASCII 格式列印所有分組,並將鏈路層的頭最小化
-b 資料鏈路層上選擇協議,包括ip/arp/rarp/ipx 都在這一層
-c 指定收取資料包的次數,即在收到指定數量的資料包後退出tcpdump
-d 將匹配資訊包的程式碼以人們能夠理解的彙編格式輸出
-dd 將符合訊息包的程式碼以c 語言程式段的格式輸出
-ddd 將符合訊息包的程式碼以十進位的形式輸出
-D 列印系統中所有可以監控的網路介面
-e 在輸出行列印出資料鏈結層的頭部訊息
-f 將外部的Internet 位址以數字的形式列印出來,即不顯示主機名稱
-F 從指定的檔案中讀取表達式,忽略其他的表達式
-i 指定監聽網路介面
-l 使標準輸出變成緩衝形式,可以資料匯出到檔案
-L 列出網路介面已知的資料連結
-n 不把網路位址轉換為名字
-N 不輸出主機名稱中的網域部分,例如www.baidu.com 只輸出www
-nn 不進行連接埠名稱的轉換
-P 不會將網路介面設定為混雜模式
-q 快速輸出,即只輸出較少的協定資訊
-r 從指定的檔案讀取數據,一般是- w 保存的檔案
-w 將捕獲到的資訊儲存到檔案中,且不分析並列印在螢幕
-s 從每個群組中讀取在開始的snaplen 個位元組,而不是預設的68 個位元組
-S 將tcp 的序號以絕對值形式輸出,而不是相對值
-T 將監聽到的套件直接解析為指定的類型的報文,常見的類型有rpc(遠端程序呼叫)和snmp(簡單網路管理協定)
-t 在輸出的每一行不列印時間戳
-tt 在每一行輸出非格式化的時間戳記
#-ttt 輸出本行和前面以後之間的時間差
-tttt 在每一行中輸出data 處理的預設格式的時間戳
#-u 輸出未解碼的NFS 句柄
#-v 輸出稍微詳細的信息,例如在ip 套件中可以包括ttl 和服務類型的信息
-vv 輸出相信的保報文資訊
#3、tcpdump 表達式
關於資料類型的關鍵字
包括host、port、net:
host 192.168.100.1 表示一台主機,net 192.168.100.0 表示一個網路網段,port 80 指明連接埠號碼為80,這裡如果沒有指明資料類型,那麼預設就是host
牛逼啊!接私活必备的 N 个开源项目!赶快收藏 登入後複製
資料傳輸方向的關鍵字
包括src、dst、dst or src、dst and src,這些關鍵字指明了傳輸的方向,例如src 192.168.100.1 說明封包來源位址是192.168.100.1。 dst net 192.168.100.0 指明目的網路位址為192.168.100.0,預設為監控主機對主機的src 和dst,即預設監聽本機和目標主機的所有資料協定關鍵字
##包括ip、arp、rarp、udp
#其他关键字
4、tcpdump 捕获方式 tcpdump [协议类型] [源或目标] [主机名称或 IP] [or/and/not/! 条件组合] [源或目标] [主机名或 IP] [or/and/not/! 条件组合] [端口] [端口号] …… [or/and/not/! 条件组合] [条件]
> tcpdump ip dst 192.168.10.1 and src 192.168.10.10 and port 80 and host !www.baidu.com 登入後複製
tcpdump
默认监听在第一块网卡,监听所有经过此网卡的数据包
监听指定网卡 ens33 的所有传输数据包
> tcpdump -i ens33 host 192.168.100.10 登入後複製
捕获主机 192.168.100.10 经过网卡 ens33 的所有数据包(也可以是主机名,但要求可以解析出 IP 地址)
> tcpdump host 192.168.130.151 and 192.168.130.152or192.168.130.153192.168.130.152or192.168.130.153 登入後複製
捕获主机 192.168.56.209 和主机 192.168.56.210 或 192.168.56.211 的所有通信数据包
> tcpdump ip host node9 and not www.baidu.com 登入後複製
捕获主机 node9 与其他主机之间(不包括 www.baidu.com)通信的 ip 数据包
> tcpdump ip host node9 and ! www.baidu.com 登入後複製
捕获 node9 与其他所有主机的通信数据包(不包括 www.baidu.com)
> tcpdump -i ens33 src node10 登入後複製
捕获源主机 node10 发送的所有的经过 ens33 网卡的所有数据包
> tcpdump -i ens33 dst host www.baidu.com 登入後複製
捕获所有发送到主机 www.baidu.com 的数据包
监听主机 192.168.56.1 和 192.168.56.210 之间 ip 协议的 80 端口的且排除 www.baidu.com 通信的所有数据包:
> tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host ! baidu.com 登入後複製
也可以写成 tcpdump ip dst 192.168.56.1 and src 192.168.56.210 and port 80 and host not www.baidu.com,即 not 和!都是相同的取反的意思
监控指定主机的通信数据包与 1.9.1 方式相同
> tcpdump tcp port 22 and host 192.168.56.210 登入後複製
捕获主机 192.168.56.210 接收和发出的 tcp 协议的 ssh 的数据包
tcpdump udp port 53
监听本机 udp 的 53 端口的数据包,udp 是 dns 协议的端口,这也是一个 dns 域名解析的完整过程
5、常用的过滤条件 tcpdump 可以支持逻辑运算符
and: 与运算,所有的条件都需要满足,可用 “and”和 “&&” 表示
> tcpdump icmp and src 192.168.100.10 -i ens33 -n 登入後複製
过滤 icmp 报文并且源 IP 是 192.168.100.10
多条件格式
过滤源地址是 192.168.100.1 并且目的地址是 192.168.20.20 的数据包或者 ARP 协议的包。另外,搜索公众号Linux就该这样学后台回复“Linux”,获取一份惊喜礼包。
> tcpdump **src** host 192.168.10.10 -i ens33 -n -c 5 登入後複製
过滤源 IP 地址是 192.168.10.10 的包
> tcpdump **dst** host 192.168.10.10 -i ens33 -n -c 5 登入後複製
过滤目的 IP 地址是 192.168.10.10 的包
基于端口进行过滤
> tcpdump port 22 -i ens33 -n -c 5
> 过滤端口号为 22 即 ssh 协议的 登入後複製
> tcpdump portrange 22-433 -i ens33 -n -c 8 登入後複製
过滤端口号 22-433 内的数据包
二、wireshark 1、什么是 wireshark Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是捕获网络数据包,并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换
2、安装 wireshark Linux 中有两个版本的 wireshark,一个是 wireshark,这个版本是无图形化界面,基本命令是”tshark“。
一个是 wireshark-gnome(界面版本),这个版本只能安装在支持 GUI 功能的 Linux 的版本中。
> yum -y install wireshark // 安装无图形化版本
> yum -y install wireshark-gnome // 安装图形化版本 登入後複製
注 :这里的通过 yum 进行安装,需要提前做好 epel 源(即红帽操作系统额外拓展包),装上了 EPEL 之后,就相当于添加了一个第三方源。官方的 rpm repository 提供的 rpm 包也不够丰富,很多时候需要自己编译那太辛苦了,而 EPEL 可以解决官方 yum 源数据包不够丰富的情况。
安装epel源
> yum -y install epel-release 登入後複製
3、tshark 命令 tshark 是 wireshark 的命令行工具
tshark 选项 参数
-i:指定捕获的网卡接口,不设置默认第一个非环回口接口
-D:显示所有可用的网络接口列表
-f:指定条件表达式,与 tcpdump 相同
-s:设置每个抓包的大小,默认 65535,多于这个大小的数据将不会不会被截取。
-c:捕获指定数量的数据包后退出
-w:后接文件名,将抓包的结果输出到. pcap 文件中,可以借助其他网络分析工具进行分 析,也可以使用重定向 > 把解码后的输出结果以 txt 的格式输出。
-p:设置网络接口以非混合模式工作,即只关心和本机有关的流量
-r:后接文件路径,用于分析保持好的网络包文件,比如 tcpdump 的输出文件
-n:禁止所有地址名字解析,即禁止域名解析, 默认是允许所有
-N:指定对某一层的地址名字解析,如果 - n 和 - N 同时存在,则 - n 将被忽略,如果两者都不写,则会默认打开所有地址名字解析
m:代表数据链路层
n:代表网络层
t:代表传输层
-V:设置将解码结果的细节输出,否则解码结果仅显示一个 packet 一行的 summary
-t:设置结果的时间格式
ad:表示带日期的绝对时间
a:表示不带日期的绝对时间
r:表示从第一个包到现在的相对时间
d:表示两个相邻包之间的增量时间 登入後複製
tshark -f "icmp" -i ens33 -V -c 1 登入後複製
过滤 icmp 报文,并展开详细信息。另外,搜索公众号编程技术圈后台回复“1024”,获取一份惊喜礼包。
tshark -f "arp" -i ens33 登入後複製
过滤 arp 报文
4、圖形化介面
三、Tcpdump 和wireshark 合用
Tcpdump 解析封包資訊沒有wireshark 詳細,所以可以透過Tcpdump 捕獲資料並輸出,再透過wireshark 進行解析,輸出檔案格式為. pcap 或其他
在虛擬機器上透過wireshark 讀取
#使用ip.addr == [ip 位址號] 可以過濾掉無關ip
圖形讀取
#用wireshark 直接開啟檢視
總結
tcpdump 和wireshark 兩種單以抓包的功能來看,是相似的,兩者的命令列的選項也是有相同,但是tcpdump 對資料包分析的能力不是很好,同時目前很多Linux 內建安裝了tcpdump 這個工具,所以我們可以透過tcpdump 把封包抓出並存放到我們自訂的檔案(.pcap)中,再透過把檔案取出用wireshark 進行分析排障
