tcpdump原理及常用命令

不解释，网络分析的神器

原理

Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，例如以太网协议、x25协议处理模块来尝试进行报文的解析处理，这一点和一些文件系统的挂载相似，就是让系统中所有的已经注册的文件系统来进行尝试挂载，如果哪一个认为自己可以处理，那么就完成挂载。当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它来对网卡收到的报文进行一次处理，此时该模块就会趁机对报文进行窥探，也就是把这个报文完完整整的复制一份，假装是自己接收到的报文，汇报给抓包模块。（聊聊 tcpdump 与 Wireshark 抓包分析）

具体是使用libpcap获取被监听网络接口的数据（tcpdump 抓包的原理？）

基本命令

tcpdump -n -vvvv -i ens32 host 192.168.58.101 and port 8080 -w data.cap

• -n：不转换主机名、端口号（开启后看到的是IP地址，而不是主机名，实际使用中我们一般都比较关注服务器IP地址）
• -v：显示详细信息，v越多信息越多
• -i：指定网络接口，也就网卡的名字，常用的有eth0,eth1等，如果要监听所有网卡就是用-i any。
• -w：抓取的包写入到文件，方便后续分析。实际中经常使用tcpdump抓包保存，然后使用Wireshark分析
• -r：抓到的包也可以tcpdump打开再分析，tcpdump -n -vvvv -r data.cap
• -c：指定抓取的包的数目
• -s：指定抓取的数据的长度

常用抓包命令

• 抓 HTTP GET 数据

tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x47455420'
# "GET "的十六进制是 47455420

• 抓 SSH 返回

tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x5353482D'
# "SSH-"的十六进制是 0x5353482D

• 抓 DNS 请求数据

tcpdump -i ens33 udp dst port 53

• 大于600字节

tcpdump -i ens33 'ip[2:2] > 600'

过滤器

过滤器规则是tcpdump的核心技能，否则抓取的包太多，也根本无法分析。

• 过滤器的关键词有：host, port, net, src, dst, icmp, tcp, udp, http
• 逻辑关键词：and, or, not
• 包头过滤 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' 更多详情可以查看：tcpdump使用技巧

数据解读

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
21:45:10.830435 IP (tos 0x0, ttl 64, id 63824, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.58.100.40978 > 192.168.58.1.webcache: Flags [S], cksum 0x5cad (incorrect -> 0x86cf), seq 709220044, win 29200, options [mss 1460,sackOK,TS val 38875036 ecr 0,nop,wscale 7], length 0   

• 192.168.58.100.40978 > 192.168.58.1.webcache： 这里源地址(192.168.58.100.40978)到目的地址(192.168.58.1.webcache)
• Flags [S]是包的标志，[S]表示是SYC:

[S] – SYN (开始连接)
[.] – 没有标记 (一般是确认)
[P] – PSH (数据推送)
[F] – FIN (结束连接)
[R] – RST (重启连接)

为了提高网络效率，一个包也可以包含标志的组合，比如[S.]，[FP.]

• seq：包序号
• cksum：校验码（见下面常见问题）
• win：滑动窗口大小
• length：承载的数据(payload)长度length，如果没有数据则为0

注意事项

• tcpdump需要root权限：从实现原理来看，如果不需要root权限，也太吓人了

常见问题

• 数据包中出现很多的cksum 0xxxx incorrect错误：是因为操作系统为了提高网络效率不再计算校验码，而是交给网卡计算。详情参见：Why am I seeing lots of packets with incorrect TCP checksums?

参考

• 聊聊 tcpdump 与 Wireshark 抓包分析
• tcpdump 抓包的原理？
• tcpdump原理之利用libpcap实现
• 一份快速实用的 tcpdump 命令参考手册
• tcpdump使用技巧
• Why am I seeing lots of packets with incorrect TCP checksums?
• Is tcpdump reliable? Why there are so many packets with length 0?