tcpdump抓包练习

前言

做网络相关开发过程中经常需要我们自己去手工抓包分析网络流量,因为抓包获得的数据是最原始,最底层的数据,方便分析问题,比如做 web 开发,接口对接过程中,分析 http 请求报文数据包格式是否正确,定位问题,省去无用的甩锅过程,再比如抓取 tcp/udp 报文,分析 tcp 连接过程中的三次握手和四次挥手

但 Linux 终端模式下没有 wireshark,青花瓷,fiddler 等工具可以使用,好在上帝为你关闭了一扇窗,肯定会为你打开另一扇门,我们可以用 tcpdump 来替代,与其他Linux命令一样,操作简单好用,配合 wireshark 分析数据包,简直不能更完美

本文分析流程如下:

1.介绍 tcpdump 命令列表

2.介绍 tcpdump 常用命令集

3.抓包实战演练,使用 tcpdump 抓包并保存

4.使用 wireshark 分析数据报文

tcpdump 命令使用介绍

1
2
3
4
5
6
7
8
9
10
11
12
 Grubby@GrubbydeMacBook-Pro  ~/Documents/tcpdump  tcpdump --help 
tcpdump version tcpdump version 4.9.2 -- Apple version 83.20.1
libpcap version 1.8.1 -- Apple version 79.20.1
LibreSSL 2.2.7
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
[ -Q in|out|inout ]
[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
[ -Z user ] [ expression ]

使用 help 命令查看 tcpdump 提供了如下接口,这里有一份网上抄来的详细中文版介绍:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
-A:以 ASCII 编码打印每个报文(不包括链路层的头),这对分析网页来说很方便;
-a:将网络地址和广播地址转变成名字;
-c:<数据包数目>:在收到指定的包的数目后,tcpdump就会停止;
-C:用于判断用 -w 选项将报文写入的文件的大小是否超过这个值,如果超过了就新建文件(文件名后缀是1、2、3依次增加);
-d:将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd:将匹配信息包的代码以c语言程序段的格式给出;
-ddd:将匹配信息包的代码以十进制的形式给出;
-D:列出当前主机的所有网卡编号和名称,可以用于选项 -i;
-e:在输出行打印出数据链路层的头部信息;
-f:将外部的Internet地址以数字的形式打印出来;
-F<表达文件>:从指定的文件中读取表达式,忽略其它的表达式;
-i<网络界面>:监听主机的该网卡上的数据流,如果没有指定,就会使用最小网卡编号的网卡(在选项-D可知道,但是不包括环路接口),linux 2.2 内核及之后的版本支持 any 网卡,用于指代任意网卡;
-l:如果没有使用 -w 选项,就可以将报文打印到 标准输出终端(此时这是默认);
-n:显示ip,而不是主机名;
-N:不列出域名;
-O:不将数据包编码最佳化;
-p:不让网络界面进入混杂模式;
-q:快速输出,仅列出少数的传输协议信息;
-r<数据包文件>:从指定的文件中读取包(这些包一般通过-w选项产生);
-s<数据包大小>:指定抓包显示一行的宽度,-s0表示可按包长显示完整的包,经常和-A一起用,默认截取长度为60个字节,但一般ethernet MTU都是1500字节。所以,要抓取大于60字节的包时,使用默认参数就会导致包数据丢失;
-S:用绝对而非相对数值列出TCP关联数;
-t:在输出的每一行不打印时间戳;
-tt:在输出的每一行显示未经格式化的时间戳记;
-T<数据包类型>:将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议);
-v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv:输出详细的报文信息;
-x/-xx/-X/-XX:以十六进制显示包内容,几个选项只有细微的差别,详见man手册;
-w<数据包文件>:直接将包写入文件中,并不分析和打印出来;
expression:用于筛选的逻辑表达式;

tcpdump 常用命令参考

这里罗列了一份常用的 tcpdump 命令

1.tcpdump -i en0 host 10.37.63.255

获取经过 en0 网卡,ip 地址为 10.37.63.255 的数据报文

2.tcpdump -i en0 net 202.0.0.0

获取经过 en0 网卡,网段为 202.0.0.0 的数据报文

3.tcpdump -i en0 port 23

获取经过 en0 网卡,端口为 23 的数据报文

4.tcpdump -i en0 dst net 202.0.0.0

我们还可以用 src,dst 关键词对网络包的方向进行筛选过滤,获取经过 en0 网卡,目标网段为 202.0.0.0 的数据报文默认为 src or dst,还可以 src and dst

5.根据协议进行过滤

fddi,ip,arp,rarp,tcp,udp

6.支持逻辑表达式过滤条件

逻辑非:! 或 “not”

逻辑且:&& 或 “and”

逻辑或:| 或 “or”

7.支持复合条件组合过滤

tcpdump -i en0 ‘((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))’

过滤出经过 en0 网卡的目标地址为 192.168.8.211 或者 192.168.8.210 的端口为 80 的 tcp 数据报文

8.支持 mac 地址过滤查询

tcpdump -i eth0 ‘((icmp) and ((ether dst host 00:01:02:03:04:05)))’

过滤抓取出经过 eth0 网卡的 icmp 协议中目标 mac 地址为 00:01:02:03:04:05 的数据

9.抓取特定的 tcp 报文

tcpdump -i en0 ‘tcp[tcpflags] = tcp-syn’

过滤抓取 en0 网卡中 tcp 协议状态为 tcp-syn 的数据报文

  1. tcp端口大于1024的数据报文

tcpdump -i en0 ‘tcp[0:2] > 1024’

11.抓取dns协议报文

tcpdump -i en0 udp dst port 53

因为 dns 协议是 udp 协议,目标端口也是53

tcpdump 抓包实战分析

tcpdump -i en1 host 14.215.177.38 -w result.cap

抓取经过 en1 网卡 ip 地址为 14.215.177.38 的所有数据并记录到 result.cap 文件中

然后使用 curl http://www.baidu.com,发起一个 http 请求指令

停止抓包

wireshark解包分析

用 wireshark 打开 result.cap 文件,里面就是之前抓包获取的数据报文,可以看到里面有两条信息,http requests 和 http response,对应了 http 协议的请求报文和响应报文

其他

ifconfig en0 promisc

开启 en0 网卡混杂模式抓包,Linux 对系统用户默认情况下不允许,因为不安全,但是超级管理员可以开启

坚持原创技术分享,您的支持将鼓励我继续创作!