From: http://os.51cto.com/art/201005/201921.htm

　　TCPDUMP簡介

　　在傳統(tǒng)的網(wǎng)絡(luò)分析和測試技術(shù)中，嗅探器(sniffer)是最常見，也是最重要的技術(shù)之一。sniffer工具首先是為網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)程序員 進(jìn)行網(wǎng)絡(luò)分析而設(shè)計的。對于網(wǎng)絡(luò)管理人員來說，使用嗅探器可以隨時掌握網(wǎng)絡(luò)的實際情況，在網(wǎng)絡(luò)性能急劇下降的時候，可以通過sniffer工具來分析原 因，找出造成網(wǎng)絡(luò)阻塞的來源。對于網(wǎng)絡(luò)程序員來說,通過sniffer工具來調(diào)試程序。

　　用過windows平臺上的sniffer工具(例如，netxray和sniffer pro軟件)的朋友可能都知道，在共享式的局域網(wǎng)中，采用sniffer工具簡直可以對網(wǎng)絡(luò)中的所有流量一覽無余！Sniffer工具實際上就是一個網(wǎng)絡(luò) 上的抓包工具，同時還可以對抓到的包進(jìn)行分析。由于在共享式的網(wǎng)絡(luò)中，信息包是會廣播到網(wǎng)絡(luò)中所有主機(jī)的網(wǎng)絡(luò)接口，只不過在沒有使用sniffer工具之 前，主機(jī)的網(wǎng)絡(luò)設(shè)備會判斷該信息包是否應(yīng)該接收，這樣它就會拋棄不應(yīng)該接收的信息包，sniffer工具卻使主機(jī)的網(wǎng)絡(luò)設(shè)備接收所有到達(dá)的信息包，這樣就 達(dá)到了網(wǎng)絡(luò)監(jiān)聽的效果。

　　Linux作為網(wǎng)絡(luò)服務(wù)器，特別是作為路由器和網(wǎng)關(guān)時，數(shù)據(jù)的采集和分析是必不可少的。所以，今天我們就來看看Linux中強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)采集分析工具——TcpDump。

　　用簡單的話來定義tcpdump，就是：dump thetraffice on a network，根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具。

　　作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強(qiáng)大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的東東之一。

　　顧名思義，TcpDump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。

　　tcpdump提供了源代碼，公開了接口，因此具備很強(qiáng)的可擴(kuò)展性，對于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系統(tǒng)中，由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權(quán)限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡(luò)上的信息。因此系 統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對本機(jī)安全的威脅，而是對網(wǎng)絡(luò)上的其他計算機(jī)的安全存在威脅。

　　普通情況下，直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡(luò)界面上所有流過的數(shù)據(jù)包。

　　－－－－－－－－－－－－－－－－－－－－－－－

　　bash-2.02# tcpdump

　　tcpdump: listening on eth0

　　11:58:47.873028 202.102.245.40.netbios-ns >202.102.245.127.netbios-ns: udp 50

　　11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1dui/C len=43

　　0000 0000 0080 0000 1007 cf08 0900 0000

　　0e80 0000 902b 4695 0980 8701 0014 0002

　　000f 0000 902b 4695 0008 00

　　11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0ui/C len=97

　　ffff 0060 0004 ffff ffff ffff ffff ffff

　　0452 ffff ffff 0000 e85b 6d85 4008 0002

　　0640 4d41 5354 4552 5f57 4542 0000 0000

　　0000 00

　　^C

　　－－－－－－－－－－－－－－－－－－－－－－－－

　　首先我們注意一下，從上面的輸出結(jié)果上可以看出來，基本上tcpdump總的的輸出格式為：系統(tǒng)時間 來源主機(jī).端口 > 目標(biāo)主機(jī).端口數(shù)據(jù)包參數(shù)

　　TcpDump的參數(shù)化支持

　　tcpdump支持相當(dāng)多的不同參數(shù)，如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡(luò)界面，這在計算機(jī)具有多個網(wǎng)絡(luò)界面時非常有用，使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量，使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存，等等。

　　然而更復(fù)雜的tcpdump參數(shù)是用于過濾目的，這是因為網(wǎng)絡(luò)中流量很大，如果不加分辨將所有的數(shù)據(jù)包都截留下來，數(shù)據(jù)量太大，反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過濾規(guī)則可以截留特定的數(shù)據(jù)包，以縮小目標(biāo)，才能更好的分析網(wǎng)絡(luò)中存在的問題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等，根據(jù)具體的網(wǎng)絡(luò)問題，充分利用這些過濾規(guī)則就能達(dá)到迅速定位故障的目的。請使用man tcpdump查看這些過濾規(guī)則的具體用法。

　　顯然為了安全起見，不用作網(wǎng)絡(luò)管理用途的計算機(jī)上不應(yīng)該運行這一類的網(wǎng)絡(luò)分析軟件，為了屏蔽它們，可以屏蔽內(nèi)核中的bpfilter偽設(shè)備。一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或發(fā)送與本計算機(jī)無關(guān)的數(shù)據(jù)包，為了接收這些數(shù)據(jù)包，就必須使用網(wǎng)卡的混雜模式，并繞過標(biāo)準(zhǔn)的TCP/IP 堆棧才行。在FreeBSD下，這就需要內(nèi)核支持偽設(shè)備bpfilter。因此，在內(nèi)核中取消bpfilter支持，就能屏蔽tcpdump之類的網(wǎng)絡(luò)分 析工具。

　　并且當(dāng)網(wǎng)卡被設(shè)置為混雜模式時，系統(tǒng)會在控制臺和日志文件中留下記錄，提醒管理員留意這臺系統(tǒng)是否被用作攻擊同網(wǎng)絡(luò)的其他計算機(jī)的跳板。

　　May 15 16:27:20 host1 /kernel: fxp0: promiscuous modeenabled

　　雖然網(wǎng)絡(luò)分析工具能將網(wǎng)絡(luò)中傳送的數(shù)據(jù)記錄下來，但是網(wǎng)絡(luò)中的數(shù)據(jù)流量相當(dāng)大，如何對這些數(shù)據(jù)進(jìn)行分析、分類統(tǒng)計、發(fā)現(xiàn)并報告錯誤卻是更關(guān)鍵的 問題。網(wǎng)絡(luò)中的數(shù)據(jù)包屬于不同的協(xié)議，而不同協(xié)議數(shù)據(jù)包的格式也不同。因此對捕獲的數(shù)據(jù)進(jìn)行解碼，將包中的信息盡可能的展示出來，對于協(xié)議分析工具來講更為重要。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應(yīng)用層協(xié)議，而不僅僅只支持tcp、udp等低層協(xié)議。

　　從上面tcpdump的輸出可以看出，tcpdump對截獲的數(shù)據(jù)并沒有進(jìn)行徹底解碼，數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進(jìn)制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡(luò)故障，通常的解決辦法是先使用帶-w參數(shù)的tcpdump截獲數(shù)據(jù)并保存到文件中，然后再使用其他程序進(jìn)行解碼分析。當(dāng)然也應(yīng)該定義過濾規(guī)則，以避免捕獲的數(shù)據(jù)包填滿整個硬盤。

　　TCP功能

　　數(shù)據(jù)過濾

　　不帶任何參數(shù)的TcpDump將搜索系統(tǒng)中所有的網(wǎng)絡(luò)接口，并顯示它截獲的所有數(shù)據(jù)，這些數(shù)據(jù)對我們不一定全都需要，而且數(shù)據(jù)太多不利于分析。所以，我們應(yīng)當(dāng)先想好需要哪些數(shù)據(jù)，TcpDump提供以下參數(shù)供我們選擇數(shù)據(jù)：

　　-b 在數(shù)據(jù)-鏈路層上選擇協(xié)議，包括ip、arp、rarp、ipx都是這一層的。

　　例如：tcpdump -b arp 將只顯示網(wǎng)絡(luò)中的arp即地址轉(zhuǎn)換協(xié)議信息。

　　-i 選擇過濾的網(wǎng)絡(luò)接口，如果是作為路由器至少有兩個網(wǎng)絡(luò)接口，通過這個選項，就可以只過濾指定的接口上通過的數(shù)據(jù)。例如：

　　tcpdump -i eth0 只顯示通過eth0接口上的所有報頭。

　　src、dst、port、host、net、ether、gateway這幾個選項又分別包含src、dst 、port、host、net、ehost等附加選項。他們用來分辨數(shù)據(jù)包的來源和去向，src host 192.168.0.1指定源主機(jī)IP地址是192.168.0.1，dst net 192.168.0.0/24指定目標(biāo)是網(wǎng)絡(luò)192.168.0.0。以此類推，host是與其指定主機(jī)相關(guān)無論它是源還是目的，net是與其指定網(wǎng)絡(luò)相 關(guān)的，ether后面跟的不是IP地址而是物理地址，而gateway則用于網(wǎng)關(guān)主機(jī)。可能有點復(fù)雜，看下面例子就知道了：

　　tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

　　過濾的是源主機(jī)為192.168.0.1與目的網(wǎng)絡(luò)為192.168.0.0的報頭。

　　tcpdump ether src 00:50:04:BA:9B and dst……

　　過濾源主機(jī)物理地址為XXX的報頭（為什么ether src后面沒有host或者net？物理地址當(dāng)然不可能有網(wǎng)絡(luò)嘍）。

　　Tcpdump src host 192.168.0.1 and dst port not telnet

　　過濾源主機(jī)192.168.0.1和目的端口不是telnet的報頭。

　　ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數(shù)的位置，用來過濾數(shù)據(jù)報的類型。

　　例如：

　　tcpdump ip src……

　　只過濾數(shù)據(jù)-鏈路層上的IP報頭。

　　tcpdump udp and src host 192.168.0.1

　　只過濾源主機(jī)192.168.0.1的所有udp報頭。

　　數(shù)據(jù)顯示/輸入輸出

　　TcpDump提供了足夠的參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù)，如下所示：

　　-l 可以將數(shù)據(jù)重定向。

　　如tcpdump -l ＞tcpcap.txt將得到的數(shù)據(jù)存入tcpcap.txt文件中。

　　-n 不進(jìn)行IP地址到主機(jī)名的轉(zhuǎn)換。

　　如果不使用這一項，當(dāng)系統(tǒng)中存在某一主機(jī)的主機(jī)名時，TcpDump會把IP地址轉(zhuǎn)換為主機(jī)名顯示，就像這樣：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n后變成了：eth0 ＜ 192.168.0.9.1165＞ 192.168.0.1.telnet。

　　-nn 不進(jìn)行端口名稱的轉(zhuǎn)換。

　　上面這條信息使用-nn后就變成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。

　　-N 不打印出默認(rèn)的域名。

還是這條信息-N 后就是：eth0 ＜ ntc9.1165 ＞ router.telnet。

　　-O 不進(jìn)行匹配代碼的優(yōu)化。

　　-t 不打印UNIX時間戳，也就是不顯示時間。

　　-tt 打印原始的、未格式化過的時間。

　　-v 詳細(xì)的輸出，也就比普通的多了個TTL和服務(wù)類型。

　　［expression]的用法：

　　expression是tcpdump最為有用的高級用法，可以利用它來匹配一些特殊的包。下面介紹一下expression的用法，主要是如 何寫出符合要求最為嚴(yán)格expression。如果tcpdump中沒有expression,那么tcpdump會把網(wǎng)卡上的所有數(shù)據(jù)包輸出，否則會將 被expression匹配的包輸出。

　　expression 由一個或多個[primitives]組成，而[primitives]由一個或多個[qualitifer]加一個id(name)或數(shù)字組成，它們的結(jié)構(gòu)如用正則表達(dá)式則可表示為：

　　expression = ([qualitifer］+(id|number))+

　　依次看來，expression是一個復(fù)雜的條件表達(dá)式，其中[qualitifer］+(id|number)就是一個比較基本條件，qualitifer就表達(dá)一些的名稱（項，變量），id或number則表示一個值（或常量）。

　　qualitifer共有三種，分別是：

　　type 表示id name或number涉及到的類型，這些詞有host, nest, port ,portrange等等。

　　例子：

　　host foo 此為一個簡單的primitive，host為qualitifer, foo為id name

　　net 128.3 net為qualitifer, 128.3為number

　　port 20

　　等等

　　每個privimtive必須有一個type詞，如果表達(dá)式中沒有，則默認(rèn)是host.

　　dir 指定數(shù)據(jù)傳輸?shù)姆较?#xff0c;這些詞有src, dst, srcor dst, src and dst

　　例子：

　　dst net 128.3 ;此為一個相對復(fù)雜的primitive,結(jié)構(gòu)為dir type number,表示目標(biāo)網(wǎng)絡(luò)為128.3的條件。

　　src or dst port ftp-data 此為比上一個相對簡的結(jié)構(gòu)，src or dst表示源或目標(biāo)，ftp-data為id，表示ftp協(xié)議中數(shù)據(jù)傳輸端口，故整體表示源或目標(biāo)端口ftp-data的數(shù)據(jù)包即匹配。

　　如果在一個primitive中沒有dir詞，此默認(rèn)為src or dst. 如 host foo則表示源或目標(biāo)主機(jī)為foo的數(shù)據(jù)包都匹配。

　　proto 此種詞是用來匹配某種特定協(xié)議的，這些詞包括：ether,fddi, tr, wlan, ip, ip6, arp, rarp, decnet,tcp和udp。其實這些詞經(jīng)常用來匹配某種協(xié)議，是使用率最高的一組詞了。

　　上面三種qualitifer和id name或number組成一個primitive通常是下面這種方式的：

　　proto dir type id(number) ，即primitive=protodir type (id | number)

　　如：

　　tcp src port 80

　　ip dst host 192.168.1.1

　　如果出現(xiàn)type的話，一定會出現(xiàn)id或num

　　如果出現(xiàn)dir，那么也會出現(xiàn)type,如果不出現(xiàn)，默認(rèn)為host

　　而proto可單獨出現(xiàn)，如 tcpdump 'tcp'

　　通過上面介紹的三種qualitifer，我們很快就可以寫出一個primitive，下面我就只用一個primitive作為expression匹配數(shù)據(jù)包。

　　(1)匹配ether包

　　匹配特定mac地址的數(shù)據(jù)包。

　　tcpdump 'ether src 00:19:21:1D:75:E6'

　　匹配源mac為00:19:21:1D:75:E6的數(shù)據(jù)包其中src可改為dst, src or dst來匹改變條件

　　匹配ether廣播包。ether廣播包的特征是mac全1.故如下即可匹配：

　　tcpdump 'ether dst ff:ff:ff:ff:ff:ff'

　　ylin@ylin:~$ sudo tcpdump -c 1 'ether dstff:ff:ff:ff:ff:ff'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　10:47:57.784099 arp who-has 192.168.240.77 tell192.168.240.189

　　在此，只匹配1個包就退出了。第一個是arp請求包，arp請求包的是采用廣播的方式發(fā)送的，被匹配那是當(dāng)之無愧的。

　　匹配ether組播包，ether的組播包的特征是mac的最高位為1，其它位用來表示組播組編號，如果你想匹配其的多播組，知道它的組MAC地址即可。如

　　tcpdump 'ether dst <Mac_Adrress>' Mac_Address表示地址，填上適當(dāng)?shù)募纯伞Ｈ绻肫ヅ渌械膃ther多播數(shù)據(jù)包，那么暫時請放下，下面會繼續(xù)為你講解更高級的應(yīng)用。

　　(2)匹配arp包

　　arp包用于IP到Mac址轉(zhuǎn)換的一種協(xié)議，包括arp請求和arp答應(yīng)兩種報文，arp請求報文是ether廣播方式發(fā)送出去的，也即 arp請求報文的mac地址是全1，因此用etherdst FF;FF;FF;FF;FF;FF可以匹配arp請求報文，但不能匹配答應(yīng)報文。因此要匹配arp的通信過程，則只有使用arp來指定協(xié)議。

　　tcpdump 'arp' 即可匹配網(wǎng)絡(luò)上arp報文。

　　ylin@ylin:~$ arping -c 4 192.168.240.1>/dev/null&sudo tcpdump -p 'arp'

　　[1] 9293

　　WARNING: interface is ignored: Operation not permitted

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　11:09:25.042479 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:25.042702 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:26.050452 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:26.050765 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:27.058459 arp who-has 192.168.240.1(00:03:d2:20:04:28 (oui Unknown)) tell ylin.local

　　11:09:27.058701 arp reply 192.168.240.1 is-at00:03:d2:20:04:28 (oui Unknown)

　　11:09:33.646514 arp who-has ylin.local tell 192.168.240.1

　　11:09:33.646532 arp reply ylin.local is-at00:19:21:1d:75:e6 (oui Unknown)

　　本例中使用arping -c 4 192.168.240.1產(chǎn)生arp請求和接收答應(yīng)報文，而tcpdump -p 'arp'匹配出來了。此處-p選項是使網(wǎng)絡(luò)工作于正常模式（非混雜模式），這樣是方便查看匹配結(jié)果。

　　(3)匹配IP包

　　眾所周知，IP協(xié)議是TCP/IP協(xié)議中最重要的協(xié)議之一，正是因為它才能把Internet互聯(lián)起來，它可謂功不可沒，下面分析匹配IP包的表達(dá)式。

　　對IP進(jìn)行匹配

　　tcpdump 'ip src 192.168.240.69'

　　ylin@ylin:~$ sudo tcpdump -c 3 'ip src 192.168.240.69'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　11:20:00.973605 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: S 2706301341:2706301341(0) win 5840 <mss1460,sackOK,timestamp 1687608 0,nop,wscale 5>

　　11:20:00.974328 IP ylin.local.32849 >192.168.200.150.domain: 5858+ PTR? 20.200.168.192.in-addr.arpa. (45)

　　11:20:01.243490 IP ylin.local.51486 >walnut.crossbeamsys.com.ssh: . ack 2762262674 win 183 <nop,nop,timestamp1687676 4155416897>

　　IP廣播組播數(shù)據(jù)包匹配：只需指明廣播或組播地址即可

　　tcpdump 'ip dst 240.168.240.255'

　　ylin@ylin:~$ sudo tcpdump 'ip dst 192.168.240.255'

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　11:25:29.690658 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 1, length 64

　　11:25:30.694989 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 2, length 64

　　11:25:31.697954 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 3, length 64

　　11:25:32.697970 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 4, length 64

　　11:25:33.697970 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 5, length 64

　　11:25:34.697982 IP dd.local > 192.168.240.255: ICMPecho request, id 10022, seq 6, length 64

　　此處匹配的是ICMP的廣播包，要產(chǎn)生此包，只需要同一個局域網(wǎng)的另一臺主機(jī)運行ping -b 192.168.240.255即可，當(dāng)然還可產(chǎn)生組播包，由于沒有適合的軟件進(jìn)行模擬產(chǎn)生，在此不舉例子。

　　(4)匹配TCP數(shù)據(jù)包

　　TCP同樣是TCP/IP協(xié)議棧里面最為重要的協(xié)議之一，它提供了端到端的可靠數(shù)據(jù)流，同時很多應(yīng)用層協(xié)議都是把TCP作為底層的通信協(xié)議，因為TCP的匹配是非常重要的。

　　如果想匹配HTTP的通信數(shù)據(jù)，那只需指定匹配端口為80的條件即可

　　tcpdump 'tcp dst port 80'

　　ylin@ylin:~$ wget http://www.baidu.com 2>1 1>/dev/null & sudo tcpdump -c 5 'tcp port 80'

　　[1] 10762

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　12:02:47.549056 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: S 1202130469:1202130469(0) ack 1132882351 win 2896 <mss1460,sackOK,timestamp 3497190920 2329221,nop,wscale 2>

　　12:02:47.549085 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: . ack 1 win 183 <nop,nop,timestamp 23292583497190920>

　　12:02:47.549226 IP ylin.local.47945 >xd-22-43-a8.bta.net.cn.www: P 1:102(101) ack 1 win 183 <nop,nop,timestamp2329258 3497190920>

　　12:02:47.688978 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . ack 102 win 698 <nop,nop,timestamp 34971909562329258>

　　12:02:47.693897 IP xd-22-43-a8.bta.net.cn.www >ylin.local.47945: . 1:1409(1408) ack 102 win 724 <nop,nop,timestamp3497190957 2329258>

　　(5)匹配udp數(shù)據(jù)包

　　udp是一種無連接的非可靠的用戶數(shù)據(jù)報，因此udp的主要特征同樣是端口，用如下方法可以匹配某一端口

　　tcpdump 'upd port 53' 查看DNS的數(shù)據(jù)包

　　ylin@ylin:~$ ping -c 1 www.baidu.com > /dev/null&sudo tcpdump -p udp port 53

　　[1] 11424

　　tcpdump: verbose output suppressed, use -v or -vv forfull protocol decode

　　listening on eth0, link-type EN10MB (Ethernet), capturesize 96 bytes

　　12:28:09.221950 IP ylin.local.32853 >192.168.200.150.domain: 63228+ PTR? 43.22.108.202.in-addr.arpa. (44)

　　12:28:09.222607 IP ylin.local.32854 >192.168.200.150.domain: 5114+ PTR? 150.200.168.192.in-addr.arpa. (46)

　　12:28:09.487017 IP 192.168.200.150.domain >ylin.local.32853: 63228 1/0/0 (80)

　　12:28:09.487232 IP 192.168.200.150.domain >ylin.local.32854: 5114 NXDomain* 0/1/0 (140)

　　12:28:14.488054 IP ylin.local.32854 >192.168.200.150.domain: 60693+ PTR? 69.240.168.192.in-addr.arpa. (45)

　　12:28:14.755072 IP 192.168.200.150.domain >ylin.local.32854: 60693 NXDomain 0/1/0 (122)

　　使用ping www.baidu.com目標(biāo)是產(chǎn)生DNS請求和答應(yīng)，53是DNS的端口號。

　　此外還有很多qualitifer是還沒有提及的，下面是其它合法的primitive,在tcpdump中是可以直接使用的。

　　gateway host

　　匹配使用host作為網(wǎng)關(guān)的數(shù)據(jù)包，即數(shù)據(jù)報中mac地址（源或目的）為host，但I(xiàn)P報的源和目的地址不是host的數(shù)據(jù)包。

　　dst net net

　　src net net

　　net net

　　net net mask netmask

　　net net/len

　　匹配IPv4/v6地址為net網(wǎng)絡(luò)的數(shù)據(jù)報。

　　其中net可以為192.168.0.0或192.168這兩種形式。如net 192.168 或net 192.168.0.0

　　net net mask netmask僅對IPv4數(shù)據(jù)包有效，如net 192.168.0.0 mask 255.255.0.0

　　net net/len同樣只對IPv4數(shù)據(jù)包有效，如net 192.168.0.0/16

　　dst portrange port1-port2

　　src portrange port1-port2

　　portrange port1-port2

　　匹配端口在port1-port2范圍內(nèi)的ip/tcp，ip/upd，ip6/tcp和ip6/udp數(shù)據(jù)包。dst, src分別指明源或目的。沒有則表示src or dst

　　less length 匹配長度少于等于length的報文。

　　greater length 匹配長度大于等于length的報文。

　　ip protochain protocol 匹配ip報文中protocol字段值為protocol的報文

　　ip6 protochain protocol 匹配ipv6報文中protocol字段值為protocol的報文

　　如tcpdump 'ip protochain 6 匹配ipv4網(wǎng)絡(luò)中的TCP報文，與tcpdump 'ip && tcp'用法一樣，這里的&&連接兩個primitive。6是TCP協(xié)議在IP報文中的編號。

　　ether broadcast

　　匹配以太網(wǎng)廣播報文

　　ether multicast

　　匹配以太網(wǎng)多播報文

　　ip broadcast

　　匹配IPv4的廣播報文。也即IP地址中主機(jī)號為全0或全1的IPv4報文。

　　ip multicast

　　匹配IPv4多播報文，也就是IP地址為多播地址的報文。

　　ip6 multicast

　　匹配IPv6多播報文，即IP地址為多播地址的報文。

　　vlan vlan_id

　　匹配為vlan報文 ，且vlan號為vlan_id的報文

　　到些為此，我們一直在介紹primitive是如何使用的，也即expression只有一個primitive。通過學(xué)會寫好每個 primtive，我們就很容易把多個primitive組成一個expression，方法很簡單，通過邏輯運算符連接起來就可以了，邏輯運算符有以下三個：

　　“&&” 或”and”

　　“||” 或“or”

　　“!” 或“not”

　　并且可通過()進(jìn)行復(fù)雜的連接運算。

　　如tcpdump ‘ip && tcp’

　　tcpdump ‘ host 192.168.240.3 &&( tcp port 80 ||tcp port 443)’

　　通過上面的各種primitive，我們可以寫出很豐富的條件，如ip,tcp, udp,vlan等等。如IP，可以按址址進(jìn)行匹，tcp/udp可以按端口匹配。但是，如果我想匹配更細(xì)的條件呢？如tcp中只含syn標(biāo)志，fin標(biāo)志的報文呢？上面的primitive恐怕無能為力了。不用怕，tcpdump為你提供最后一個功能最強(qiáng)大的primitive，記住是 primitive，而不是expression。你可以用多個這個的primitive組成更復(fù)雜的 expression.

　　最后一個primitive形式為 expr relop expr

　　若把這個形式記為A，那么你可這樣寫tcpdump 'A1&& A2 && ip src 192.168.200.1'，等等。

　　下面我們就來分析A這個形式，看看這是如何強(qiáng)大，如果你覺得很亂的話，建議你先用用上面的知識來實際操作幾次，要不然就會很亂的，因為expression太復(fù)雜了。

　　形式：expr relop expr

　　relop表示關(guān)系操作符，可以為>, <,>=,<=, =, !=之一，

　　expr是一個算術(shù)表達(dá)式，由整數(shù)組成和二元運算符（＋，－，＊，/，＆，|, <<, >>)，長度操作，報文數(shù)據(jù)訪問子。同時所有的整數(shù)都是無符號的，即0x80000000 和 0xffffffff > 0。為了訪問報文中的數(shù)據(jù)，可使用如下方式：

　　proto [ expr : size ]

　　proto表示該問的報文，expr的結(jié)果表示該報文的偏移，size為可選的，表示從expr偏移量起的szie個字節(jié)，整個表達(dá)式為proto報文 中,expr起的szie字節(jié)的內(nèi)容（無符號整數(shù)）

　　下面是expr relop expr這種形式primitive的例子：

　　'ether[0] & 1 !=0' ether報文中第0個bit為1，即以太網(wǎng)廣播或組播的primtive。

　　通過這種方式，我們可以對報文的任何一個字節(jié)進(jìn)行匹配了，因此它的功能是十分強(qiáng)大的。

　　‘ip[0] = 4’ ip報文中的第一個字節(jié)為version，即匹配IPv4的報文，

　　如果我們想匹配一個syn報文，可以使用：'tcp[13] = 2'，因為tcp的標(biāo)志位為TCP報文的第13個字節(jié)，而syn在這個字節(jié)的低1位，故匹配只有syn標(biāo)志的報文,上述條件是可滿要求的，并且比較嚴(yán)格。

　　如果想匹配ping命令的請求報文，可以使用'icmp[0]=8'，因為icmp報文的第0字符表示類型，當(dāng)類型值為8時表示為回顯示請求。

　　對于TCP和ICMP中常用的字節(jié)，如TCP中的標(biāo)志位，ICMP中的類型，這個些偏移量有時會忘記。不過tcpdump為你提供更方便的用法，你不用記位這些數(shù)字，用字符就可以代替了.

　　對于ICMP報文，類型字節(jié)可以icmptype來表示它的偏稱量，上面的primitive可改為'icmp[icmptype] =8'，如果8也記不住怎么辦？tcpdump還為該字節(jié)的值也提供了字符表示，如'icmp[icmptype] = icmp-echo'。

　　下面是tcpdump提供的字符偏移量：

　　icmptype：表示icmp報文中類弄字節(jié)的偏移量

　　icmpcode:表示icmp報文中編碼字節(jié)的偏移量

　　tcpflags:表示TCP報文中標(biāo)志位字節(jié)的偏移量

　　此外，還提供了很多值來對應(yīng)上面的偏移字節(jié)：

　　ICMP中類型字節(jié)的值可以是：

　　icmp-echoreply, icmp-unreach, icmp-sourcequench,icmp-redi‐rect, icmp-echo, icmp-routeradvert, icmp-routersolicit,

　　icmp-timxceed, icmp-paramprob, icmp-tstamp,icmp-tstam‐preply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.

　　TCP中標(biāo)志位字節(jié)的值可以是：

　　tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg.

　　通過上面的字符表示，我們可以寫出下面的primitive

　　'tcp[tcpflags] = tcp-syn' 匹配只有syn標(biāo)志設(shè)置為1的 tcp報文

　　'tcp[tcpflags] & (tcp-syn |tcp-ack |tcp-fin) !=0' 匹配含有syn，或ack或fin標(biāo)志位的TCP報文

　　對于IP報文，沒有提供字符支持，如果想匹配更細(xì)的條件，直接使用數(shù)字指字偏移量就可以了，不過要對IP報文有更深入的了解才可以。

　　學(xué)會寫primitive后，expression就是小菜一碟了，由一個或多個primitive組成，并且邏輯連接符組成即可：

　　tcpdump ‘host 192.168.240.91 && icmp[icmptype] =icmp-echo’

　　tcpdump ‘host 192.168.1.100 && vrrp’

　　tcpdump 'ether src 00:00:00:00:00:02 && ether[0]& 1 !=0'

　　讓你隨心所欲地使用tcpdump，將不用再從復(fù)雜的輸出中去挑報文了！

　　如此，我們可以寫出更復(fù)雜的表達(dá)式來匹配報文，如IP或TCP中的報文id，IP是中的分段標(biāo)志，ICMP中類型和代碼等。

?

總結(jié)

以上是生活随笔為你收集整理的Linux tcpdump命令用法详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。