专栏首页用户1337634的专栏tcpdump原理及常用命令

tcpdump原理及常用命令

不解释,网络分析的神器

原理

Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点和一些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。(聊聊 tcpdump 与 Wireshark 抓包分析

具体是使用libpcap获取被监听网络接口的数据(tcpdump 抓包的原理?

基本命令

tcpdump -n -vvvv -i ens32 host 192.168.58.101 and port 8080 -w data.cap
  • -n:不转换主机名、端口号(开启后看到的是IP地址,而不是主机名,实际使用中我们一般都比较关注服务器IP地址)
  • -v:显示详细信息,v越多信息越多
  • -i:指定网络接口,也就网卡的名字,常用的有eth0,eth1等,如果要监听所有网卡就是用-i any
  • -w:抓取的包写入到文件,方便后续分析。实际中经常使用tcpdump抓包保存,然后使用Wireshark分析
  • -r:抓到的包也可以tcpdump打开再分析,tcpdump -n -vvvv -r data.cap
  • -c:指定抓取的包的数目
  • -s:指定抓取的数据的长度

常用抓包命令

  • 抓 HTTP GET 数据
tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x47455420'
# "GET "的十六进制是 47455420
  • 抓 SSH 返回
tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x5353482D'
# "SSH-"的十六进制是 0x5353482D
  • 抓 DNS 请求数据
tcpdump -i ens33 udp dst port 53
  • 大于600字节
tcpdump -i ens33 'ip[2:2] > 600'

过滤器

过滤器规则是tcpdump的核心技能,否则抓取的包太多,也根本无法分析。

  • 过滤器的关键词有:host, port, net, src, dst, icmp, tcp, udp, http
  • 逻辑关键词:and, or, not
  • 包头过滤 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' 更多详情可以查看:tcpdump使用技巧

数据解读

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
21:45:10.830435 IP (tos 0x0, ttl 64, id 63824, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.58.100.40978 > 192.168.58.1.webcache: Flags [S], cksum 0x5cad (incorrect -> 0x86cf), seq 709220044, win 29200, options [mss 1460,sackOK,TS val 38875036 ecr 0,nop,wscale 7], length 0   
  • 192.168.58.100.40978 > 192.168.58.1.webcache: 这里源地址(192.168.58.100.40978)到目的地址(192.168.58.1.webcache)
  • Flags [S]是包的标志,[S]表示是SYC:
[S] – SYN (开始连接)
[.] – 没有标记 (一般是确认)
[P] – PSH (数据推送)
[F] – FIN (结束连接)
[R] – RST (重启连接)

为了提高网络效率,一个包也可以包含标志的组合,比如[S.][FP.]

  • seq:包序号
  • cksum:校验码(见下面常见问题)
  • win:滑动窗口大小
  • length:承载的数据(payload)长度length,如果没有数据则为0

注意事项

  • tcpdump需要root权限:从实现原理来看,如果不需要root权限,也太吓人了

常见问题

参考

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 订单系统同时支持微信支付和QQ钱包 - 观察者模式&类策略模式

    十毛
  • Tampermonkey - 最强大的Chrome插件

    最简单的方式就是直接在Chrome Web Store搜索Tampermonkey,然后点击"添加至Chrome"。

    十毛
  • NetCat(NC)原理和使用

    上面命令显示了过滤、排序、去重后的系统日志信息。不过上面的命令只能在一台机器上运行,但是如果

    十毛
  • [linux] tcpdump抓包案例

    陶士涵
  • 抓包工具 | tcpdump 简明教程[译]

    tcpdump 毫无无疑是非常重要的网络分析工具,对于任何想深入理解TCP/IP的人来说,掌握该工具的使用是非常必要的。

    咸鱼学Python
  • tcpdump必知必会

    Show the list of available interfaces

    雷大亨
  • Linux tcpdump 使用介绍

    tcpdump 是 Linux 系统提供一个非常强大的抓包工具,熟练使用它,对我们排查网络问题非常有用。如果你的机器上还没有安装,可以使用如下命令安装:

    范蠡
  • lsof和tcpdump常用命令

    lsof用法 A.查看端口被谁占用 lsof -i:port,如:lsof -i:80 B.查看tcp监听端口 netstat -lpnt ...

    一见
  • Android通过tcpdump抓包

    3 adb push c:\wherever_you_put\tcpdump /data/local/tcpdump

    一个会写诗的程序员
  • UNIX系统上的抓包工具tcpdump常用命令说明

    tcpdump采用命令行方式对接口的数据包进行筛选抓取,其丰富特性表现在灵活的表达式上。 不带任何选项的tcpdump,默认会抓取第一个网络接口,且只有将tcp...

    用户6641876

扫码关注云+社区

领取腾讯云代金券