linux过滤端口抓包_Linux下抓包命令tcpdump
本文內(nèi)容來源于網(wǎng)絡(luò)
PS:tcpdump是一個用于截取網(wǎng)絡(luò)分組,并輸出分組內(nèi)容的工具,簡單說就是數(shù)據(jù)包抓包工具。tcpdump憑借強(qiáng)大的功能和靈活的截取策略,使其成為Linux系統(tǒng)下用于網(wǎng)絡(luò)分析和問題排查的首選工具。
tcpdump提供了源代碼,公開了接口,因此具備很強(qiáng)的可擴(kuò)展性,對于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系統(tǒng)中,由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式,普通用戶不能正常執(zhí)行,但具備root權(quán)限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡(luò)上的信息。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對本機(jī)安全的威脅,而是對網(wǎng)絡(luò)上的其他計算機(jī)的安全存在威脅。
一、概述
顧名思義,tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。
# tcpdump -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:53:21.444591 IP (tos 0x10, ttl ?64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266
asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!] ?325+ PTR? 244.228.168.192.in-addr.arpa. (46)
11:53:21.446929 IP (tos 0x0, ttl ?64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077: ?325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)
11:53:21.447408 IP (tos 0x10, ttl ?64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266
347 packets captured
1474 packets received by filter
745 packets dropped by kernel
不帶參數(shù)的tcpdump會收集網(wǎng)絡(luò)中所有的信息包頭,數(shù)據(jù)量巨大,必須過濾。
二、選項介紹
-A 以ASCII格式打印出所有分組,并將鏈路層的頭最小化。
-c 在收到指定的數(shù)量的分組后,tcpdump就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當(dāng)前的大小是否超過了參數(shù)file_size中指定的大小。如果超過了指定大小,則關(guān)閉當(dāng)前文件,然后在打開一個新的文件。參數(shù)file_size的單位是兆字節(jié)(是1,000,000字節(jié),而不是1,048,576字節(jié))。
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。
-dd 將匹配信息包的代碼以c語言程序段的格式給出。
-ddd 將匹配信息包的代碼以十進(jìn)制的形式給出。
-D 打印出系統(tǒng)中所有可以用tcpdump截包的網(wǎng)絡(luò)接口。
-e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作為地址,并且包含了安全參數(shù)索引值spi的IPsec?ESP分組。
-f 將外部的Internet地址以數(shù)字的形式打印出來。
-F 從指定的文件中讀取表達(dá)式,忽略命令行中給出的表達(dá)式。
-i 指定監(jiān)聽的網(wǎng)絡(luò)接口。
-l 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式,可以把數(shù)據(jù)導(dǎo)出到文件。
-L 列出網(wǎng)絡(luò)接口的已知數(shù)據(jù)鏈路。
-m 從文件module中導(dǎo)入SMI MIB模塊定義。該參數(shù)可以被使用多次,以導(dǎo)入多個MIB模塊。
-M 如果tcp報文中存在TCP-MD5選項,則需要用secret作為共享的驗(yàn)證碼用于驗(yàn)證TCP-MD5選選項摘要(詳情可參考RFC 2385)。
-b 在數(shù)據(jù)-鏈路層上選擇協(xié)議,包括ip、arp、rarp、ipx都是這一層的。
-n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。
-nn 不進(jìn)行端口名稱的轉(zhuǎn)換。
-N 不輸出主機(jī)名中的域名部分。例如,‘nic.ddn.mil‘只輸出’nic‘。
-t 在輸出的每一行不打印時間戳。
-O 不運(yùn)行分組分組匹配(packet-matching)代碼優(yōu)化程序。
-P 不將網(wǎng)絡(luò)接口設(shè)置成混雜模式。
-q 快速輸出。只輸出較少的協(xié)議信息。
-r 從指定的文件中讀取包(這些包一般通過-w選項產(chǎn)生)。
-S 將tcp的序列號以絕對值形式輸出,而不是相對值。
-s 從每個分組中讀取最開始的snaplen個字節(jié),而不是默認(rèn)的68個字節(jié)。
-T 將監(jiān)聽到的包直接解釋為指定的類型的報文,常見的類型有rpc遠(yuǎn)程過程調(diào)用)和snmp(簡單網(wǎng)絡(luò)管理協(xié)議;)。
-t 不在每一行中輸出時間戳。
-tt 在每一行中輸出非格式化的時間戳。
-ttt 輸出本行和前面一行之間的時間差。
-tttt 在每一行中輸出由date處理的默認(rèn)格式的時間戳。
-u 輸出未解碼的NFS句柄。
-v 輸出一個稍微詳細(xì)的信息,例如在ip包中可以包括ttl和服務(wù)類型的信息。
-vv 輸出詳細(xì)的報文信息。
-w 直接將分組寫入文件中,而不是不分析并打印出來。
三、tcpdump的表達(dá)式介紹
表達(dá)式是一個正則表達(dá)式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表 達(dá)式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網(wǎng)絡(luò)上所有的信息包 將會被截獲。
在表達(dá)式中一般如下幾種類型的關(guān)鍵字:
第一種是關(guān)于類型的關(guān)鍵字,主要包括host,net,port,例如host 210.27.48.2, 指明210.27.48.2是一臺主機(jī),net 202.0.0.0指明202.0.0.0是一個網(wǎng)絡(luò)地址,port 23指明端口號是23。如果沒有指定類型,缺省的類型是host。
第二種是確定傳輸方向的關(guān)鍵字,主要包括src,dst,dst or src,dst and src, 這些關(guān)鍵字指明了傳輸?shù)姆较颉Ee例說明,src 210.27.48.2,指明ip包中源地址是210.27.48.2,dst net 202.0.0.0指明目的網(wǎng)絡(luò)地址是202.0.0.0。如果沒有指明 方向關(guān)鍵字,則缺省是src or dst關(guān)鍵字。
第三種是協(xié)議的關(guān)鍵字,主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI (分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議,實(shí)際上它是”ether”的別名,fddi和ether具有類似的源地址和目的地址,所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。 其他的幾個關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議,則tcpdump將會 監(jiān)聽所有協(xié)議的信息包。
除了這三種類型的關(guān)鍵字之外,其他重要的關(guān)鍵字如下:gateway,broadcast,less,greater, 還有三種邏輯運(yùn)算,取非運(yùn)算是‘not ‘ ‘! ‘, 與運(yùn)算是’and’,’&&’;或運(yùn)算是’or’,’||’; 這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要。
四、輸出結(jié)果介紹
下面我們介紹幾種典型的tcpdump命令的輸出信息
(1) 數(shù)據(jù)鏈路層頭信息
使用命令:
#tcpdump --e host ICE
ICE 是一臺裝有l(wèi)inux的主機(jī)。它的MAC地址是0:90:27:58:AF:1A H219是一臺裝有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一條命令的輸出結(jié)果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. ?telne t 0:0(0) ack 22535 win 8760 (DF)
21:50:12是顯示的時間,847509是ID號,eth0 表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送分組,8:0:20:79:5b:46是主機(jī)H219的MAC地址, 它表明是從源地址H219發(fā)來的分組. 0:90:27:58:af:1a是主機(jī)ICE的MAC地址, 表示該分組的目的地址是ICE。ip是表明該分組是IP分組,60是分組的長度,h219.33357 > ICE. telnet表明該分組是從主機(jī)H219的33357端口發(fā)往主機(jī)ICE的TELNET(23)端口。ack 22535表明對序列號是222535的包進(jìn)行響應(yīng)。win 8760表明發(fā) 送窗口的大小是8760。
(2) ARP包的tcpdump輸出信息
使用命令:
#tcpdump arp
得到的輸出結(jié)果是:
22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
22:32:42是時間戳,802509是ID號,eth0 >表明從主機(jī)發(fā)出該分組,arp表明是ARP請求包,who-has route tell ICE表明是主機(jī)ICE請求主機(jī)route的MAC地址。0:90:27:58:af:1a是主機(jī)ICE的MAC地址。
(3) TCP包的輸出信息
用tcpdump捕獲的TCP包的一般輸出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址,flags是TCP報文中的標(biāo)志信息,S是SYN標(biāo)志,F (FIN),P (PUSH),R (RST) “.” (沒有標(biāo)記); data-seqno是報文中的數(shù)據(jù) 的順序號,ack是下次期望的順序號,window是接收緩存的窗口大小,urgent表明 報文中是否有緊急指針。Options是選項。
(4) UDP包的輸出信息
用tcpdump捕獲的UDP包的一般輸出信息是:
route.port1 > ICE.port2: udp lenth
UDP十分簡單,上面的輸出行表明從主機(jī)route的port1端口發(fā)出的一個UDP報文 到主機(jī)ICE的port2端口,類型是UDP, 包的長度是lenth。
五、舉例
(1) 想要截獲所有210.27.48.1的主機(jī)收到的和發(fā)出的所有的分組:
#tcpdump host 210.27.48.1
(2) 想要截獲主機(jī)210.27.48.1和主機(jī)210.27.48.2或210.27.48.3的通信,使用命令(注意:括號前的反斜杠是必須的):
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
(3) 如果想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4) 如果想要獲取主機(jī)192.168.228.246接收或發(fā)出的ssh包,并且不轉(zhuǎn)換主機(jī)名使用如下命令:
#tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp
(5) 獲取主機(jī)192.168.228.246接收或發(fā)出的ssh包,并把mac地址也一同顯示:
# tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn
(6) 過濾的是源主機(jī)為192.168.0.1與目的網(wǎng)絡(luò)為192.168.0.0的報頭:
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
(7) 過濾源主機(jī)物理地址為XXX的報頭:
tcpdump ether src 00:50:04:BA:9B and dst……
(為什么ether src后面沒有host或者net?物理地址當(dāng)然不可能有網(wǎng)絡(luò)嘍)。
(8) 過濾源主機(jī)192.168.0.1和目的端口不是telnet的報頭,并導(dǎo)入到tes.t.txt文件中:
Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt
ip icmp arp rarp 和tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型。
例題:如何使用tcpdump監(jiān)聽來自eth0適配卡且通信協(xié)議為port 22,目標(biāo)來源為192.168.1.100的數(shù)據(jù)包資料?
答:tcpdump -i eth0 -nn port 22 and src host 192.168.1.100
例題:如何使用tcpdump抓取訪問eth0適配卡且訪問端口為tcp 9080?
答:tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080
例題:如何使用tcpdump抓取與主機(jī)192.168.43.23或著與主機(jī)192.168.43.24通信報文,并且顯示在控制臺上
tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and? host 172.16.70.35
------------------------------
抓包命令:
tcpdump tcp -i eth0 -c 3000 -s 0 and src net 10.17.140.173 -w /opt/test/20151221.pcap
src net 10.17.178.61:抓取來此IP地址的TCP包
tail -f 10 XXXX
查看XXXX文件前10行
可以查看日志
tcpdump tcp -i eth0 -c 3000 -s 0 -w /opt/test/20151130.pcap
tcpdump -i eth0 -p udp port 1812 and host 10.17.178.25 -nne
tcpdump -i eth0 -c 3000 -s 0 -w /opt/test/20151221.pcap
-c 在收到指定的數(shù)量的分組后,tcpdump就會停止。
-C 在將一個原始分組寫入文件之前,檢查文件當(dāng)前的大小是否超過了參數(shù)file_size 中指定的大小。如果超過了指定大小,則關(guān)閉當(dāng)前文件,
然后在打開一個新的文件。參數(shù) file_size 的單位是兆字節(jié)(是1,000,000字節(jié),而不是1,048,576字節(jié))。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
------------------------------------------------------
可以用tcpdump -D查看一下網(wǎng)卡接口,找到lo的接口ID,例如是1,那么用命令tcpdump -i 1 tcp 9000 -w temp.pcap //結(jié)果存入temp.pcap,再用wiresharp之類的分析軟件就可以分析啦。
--------------------------------------------------------
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置,用來過濾數(shù)據(jù)報的類型
(2)-i eth1 : 只抓經(jīng)過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取數(shù)據(jù)包時默認(rèn)抓取長度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包
(5)-c 100 : 只抓取100個數(shù)據(jù)包
(6)dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包
(7)src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
---------------------------------
后臺抓包, 控制臺退出也不會影響:
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &
-----------------------------------
tcpdump 的抓包保存到文件的命令參數(shù)是-w xxx.cap
抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap
抓 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
抓192.168.1.123的80端口的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
抓192.168.1.123的icmp的包
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap
抓192.168.1.123的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
抓vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
抓pppoe的密碼
tcpdump -i eth1 pppoes -w /tmp/xxx.cap
以100m大小分割保存文件, 超過100m另開一個文件 -C 100m
抓10000個包后退出 -c 10000
后臺抓包, 控制臺退出也不會影響:
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &
抓下來的文件可以直接用ethereal 或者wireshark打開。 wireshark就是新版的ethereal,程序換名了
:轉(zhuǎn)
總結(jié)
以上是生活随笔為你收集整理的linux过滤端口抓包_Linux下抓包命令tcpdump的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 08 指数基金 定投VS一次性投资
- 下一篇: linux抓包UDP流量