不解释,网络分析的神器
Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点和一些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。(聊聊 tcpdump 与 Wireshark 抓包分析)
具体是使用libpcap获取被监听网络接口的数据(tcpdump 抓包的原理?)
tcpdump -n -vvvv -i ens32 host 192.168.58.101 and port 8080 -w data.cap
eth0
,eth1
等,如果要监听所有网卡就是用-i any
。tcpdump -n -vvvv -r data.cap
tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x47455420'
# "GET "的十六进制是 47455420
tcpdump -i ens33 'tcp[(tcp[12]>>2):4] = 0x5353482D'
# "SSH-"的十六进制是 0x5353482D
tcpdump -i ens33 udp dst port 53
tcpdump -i ens33 'ip[2:2] > 600'
过滤器规则是tcpdump的核心技能,否则抓取的包太多,也根本无法分析。
'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
更多详情可以查看:tcpdump使用技巧 tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
21:45:10.830435 IP (tos 0x0, ttl 64, id 63824, offset 0, flags [DF], proto TCP (6), length 60)
192.168.58.100.40978 > 192.168.58.1.webcache: Flags [S], cksum 0x5cad (incorrect -> 0x86cf), seq 709220044, win 29200, options [mss 1460,sackOK,TS val 38875036 ecr 0,nop,wscale 7], length 0
192.168.58.100.40978 > 192.168.58.1.webcache
: 这里源地址(192.168.58.100.40978
)到目的地址(192.168.58.1.webcache
)Flags [S]
是包的标志,[S]
表示是SYC
:[S] – SYN (开始连接)
[.] – 没有标记 (一般是确认)
[P] – PSH (数据推送)
[F] – FIN (结束连接)
[R] – RST (重启连接)
为了提高网络效率,一个包也可以包含标志的组合,比如[S.]
,[FP.]
seq
:包序号cksum
:校验码(见下面常见问题)win
:滑动窗口大小length
:承载的数据(payload)长度length,如果没有数据则为0tcpdump
需要root
权限:从实现原理来看,如果不需要root权限,也太吓人了 cksum 0xxxx incorrect
错误:是因为操作系统为了提高网络效率不再计算校验码,而是交给网卡计算。详情参见:Why am I seeing lots of packets with incorrect TCP checksums?