《Linux-tcpdump命令详解.docx》由会员分享,可在线阅读,更多相关《Linux-tcpdump命令详解.docx(46页珍藏版)》请在三一办公上搜索。
1、1.inuxtcpdump吩咐洋解1皿2好用吩咐实例3输出信息含义3链路头3TCP数据包3UDP数据包3SMBClFS解码3AFS恳求和【川应3KIPAPPIoTaIk协议3IP数据包破裂3时间一4吩咐运用4tcpdump的简洁选项介绍4tcpdump条件表达式5附录ICpdUinP的衣达元简介用简洁的话来定义tcpdump.就是:dumpthetrafficonanetwork.依据运用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来供应分析。它支持针对网络层、协议、主机、网络或端口的过滤,并供应and、or、not等逻辑语句来帮助你去
2、掉无用的信息。好用吩咐实例默认启动一股状况卜.,干脆启动tcpdump将监觇第一个网络接口上全部流过的数据包。监视指定网络接口的数据包tcpdump-iethl假如不指定网卡,默认tcpdump只会监视第个网络接口,般是eth,下面的例子都没有指定网络接口。监视指定主机的数据包打印全部进入或离开sundown的数据包.tcpdmphostsundown也可以指定ip,例如截获全部210.27.48.1的主机收到的和发出的全部的数据包JTHJhelios与hoi或者与ace之间通信的数据包tcpdumphostheIioSand(hotorace)截荻主机210.27.48.1和主机210.27
3、.48.2或210.27.48.3的通信tcpdumphost210.27.48.1and(210.27.48.2or210.27.48.3)打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包.tcpdumpiphostaccandnothelios假如想要获得主机21027.48.1除了和主机210.27.48.2之外全部主机通信的ip包,运用吩咐:截获主机hostname发送的全部数据tcpdump-iethsrchosthostname监视全部送到主机hostname的数据包tcpdmp-iethdsthosthostname监视指定主机和端口的数据包假如想
4、要获得主机210.27.48.1接收或发出的telnet包,运用如下吩咐对本机的UdP123端口进行监视123为ntp的服务端口tcpdmpudpport123监视指定网络的数据包打印本地主机与Berkeley网络上的主机之间的全部通信数据包(nt:UCb-ether,此处可理解为Berkeley网络的网络地址,此表达式最原始的含义可表达为:打印网络地址为UCbether的全部数据包)Icpdunij)netUCb-eIher打印全部通过网关SnUP的ftp数据包(留意,表达式被单引号括起来了,这可以防止shell对其中的括号进行钳误会析)IcpdumpgatewaySnUPand(portf
5、tporftp-data)打印全部源地址或目标地址是本地主机的IP数据包(假如本地网络通过网关连到了另网络,则另网络并不能算作本地网络(nt:此句翻译曲折,需补充)Iocalnel实际运用时要我正替换成本地网络的名字)tcpdumpipandnotnetIocalnet监视指定悔议的数据包打印TCP会话中的的起先和结束数据包,并且数据包的源或目的不是本地网络上的主机(nt:IoCalnet,实际运用时要.真正替换成本地网络的名字)tcpdumptcptcpflags&(tep-syntep-fin)!=0andnotsrcanddstnetIocalnot打印全部源或目的端口是80,网络层协议
6、为IPw1,并且含有数据,而不是SYN,FIN以及ACK-Only等不含数据的数据包.(ipv6的版本的表达式可做练习)tcpdu11pIcpport80and(ip2:2-(ip00xf)2)!=0),(nt:可理解为,ip2:2表示整个ip数据包的长度,(ip0&0xD21表示ip数据包包头的长度(ip0K0xf代表包中的IH1.域,而此域的单位为32bit,要换算成字节数须要乘以即左移2.(tcp12&0xf0)4表示tcp头的长度,此域的单位也是32bit,换钵成比特数为(tcp12fcxf)4)2,即(tcp12ftxf)2).(ip2:2-(ip0ft0xf)2)!=0表示:整个i
7、p数据包的长度减去ip头的长度,再诚去tcp头的长度不为0,这就意味若,ip数据包中的确是有数据.对于ip,6版本只需考虑ipv6头中的Payload1.ength与,tcp头的长度的差值,并且其中表达方式ip需换成ip6口.)打印长度超过576字节,并且网关地址是snap的IP数据包Icpdumpgatewaysnupandip2:2576打印全部IP层广播或多播的数据包,但不是物理以太网层的广播或多播数据报tcpdump,etherOAl=Oandip16j=224打印除echorequest或者echoreply类型以外的ICMP数据包(比如,须要打印全部非Ping程序产生的数据包时可用
8、到此表达式.(nt:echoreqest,与,echoreply这两种类型的ICMP数据包通常由Ping程序产生)tcpdumpicnpicmptype!=ic11p-echoandicnpicmptype!=icmp-echorcply,tcpdp与ViresharkWireshark(以前是etherea1)是WindOWS下特别简洁易用的抓包工具.但在1.inux下很难找到一个好用的图形化抓包工具。还好有TCPdUmp。我们可以用TCPdUInP+Kireshark的完备组合实现:在1.inUX里抓包,然后在WindoWS里分析包。(1)tcp:ipicmparprarp和tcp、Udp
9、、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型(2)-iethl:只抓经过接口ethl的包(3)-t:不显示时间戳(4)-SO;抓取数据包时默认抓取长度为68字节。加上-SO后可以抓到完整的数据包(5)-C100:只抓取100个数据包(6)dstport!22:不抓取目标端口是22的数据包(8)-W./target,cap:保存成CaP文件,便利用ethereal(即wireshark)分析运用tcpdu11p抓取HTTP包tcpdump-XvvcnnSs0-iethtcp20:2=0x4745ortcp20:2=0x48540x4745为GET前两个字母GE”,0x485
10、4为H11P前两个字母FT。ICPdUmP对截获的数据并没有进行彻底解码,数据包内的大部分内容是运用十六进制的形式干脆打印输出的。明显这不利于分析网络故障,通常的解决方法是先运用带-W参数的tcpdump截获数据并保存到文件中,然后再运用其他程序(如WireShark)进行解码分析.当然也应当定义过漉规则,以避开捕获的数据包填满整个硬就,输出信息含义首先我们留意一下,基本上ICPdUmP总的的输出格式为:系统时间来源主机.端口目标主机.端口数据包参数tcpdump的输出格式与协议有关.以下筒要描述了大部分常用的格式及相关例子.链路层头对于FDDl网络,-e使tcpdump打印出指定数据包的fr
11、amecontrol域,源和目的地址,以及包的长度.(fram。control域限制对包中其他域的解析).一般的包(比如那些Ipdatagrams)都是带有async(异步标记)的数据包,并且有取值0到7的优先级;比如async4就代表此包为异步数据包,并且优先级别为4.通常认为,这些包们会内含个1.1.C包(逻辑徙路限制包);这时,假如此包不是一个ISOdatagram或所谓的SNAP包,其1.1.C头部将会被打印(nt:应当是指此包内含的1.1.C包的包头).对TTokCnRing网络(令牌环网络。使tcpdump打印出指定数据包的,framecontrol和accesscontrol,以
12、及源和目的地址,外加包的长度.与FDDl网络类似,此数据包通常内含1.1.C数据包.不管是否有-e,选项.对于此网络上的source-routed类型数据包(nt:意洋为:源地址被追踪的数据包,具体含义未知,需补充),其包的源路由信息总会被打印.对于802.11网络(W1.AN,即wirelesslocalareanetwork),-e,使tcpdu11p打印出指定数据包的framecontrol域,包头中包含的全部地址,以及包的长度.与FDDl网络类似,此数据包通常内含UX数据包.(留意:以下的描述会假设你熟识S1.IP压缩算法(nt:S1.lP为SeriaI1.ineInternetPro
13、tocol.),这个算法可以在RFCTl44中找到相关的蛛丝马迹.)对于S1.Ip网络(nl:S1.IPIinks,可理解为一个网络,即通过串行线路建立的连接,而一个简洁的连接也可看成一个网络),数据包的directionindicator(方向指示标记)(I表示入,0衣示出),类型以及压缩信息将会被打印.包类型会被首先打印.类型分为ip,UtCP以及CtCP(nt:未知,需补充).对TiP包,连接信息将不被打印(nl:SUp连接上,ip包的连接信息可能无用或没有定义.reconfirm),对于TCP数据包,连接标识紧接着类型表示被打印,假如此包被压缩,其被编码过的头部将被打印.此时对于特殊的
14、压缩包,会如下显示:*Sn或者*S+n,其中n代表包的(依次号或(依次号和应答号)增加或削减的数目(ntirt:S,SA拗口,需再译).对于非特殊的乐缩包,0个或更多的变更将会被打印.变更被打印时格式如下:标记+/-/=n包数据的长度压缩的头部长度.其中标记可以取以下值:U(代表紧急指针),W(指镶冲窗口),A(应答),S(序列号),1(包ID),而增量表达=n表示被给予新的依,+/-表示增加或削减.比如,以下显示了对个外发压缩TCP数据包的打印,这个数据包隐含个连接标识(ConneCtiOnidentifier):应答号增加了6,依次号增加了49,包ID号增加了6;包数据长度为3字节(OCl
15、eCD,压缩头部为6字节.(nt:如此看来这应当不是一个特殊的压缩数据包).ARP/RARP数据包tcpdump对ArpZrarp包的输出信息中会包含恳求类型及该恳求对应的参数.显示格式简洁明白.以卜是从主机rtsg到主机CSam的riotin(远程登录)过程起先阶段的数据包样例:arpWhO-hascscsam.login:S768512:768512(0)win4096csam.loginrtsg.1023:S947648:947648(0)ack768513win4096rtsg.1023cscsam.login:P1:2(1)ack1win4096csam.loginrtsg.1023
16、:.ack2win4096rtsg.1023csam.login:P2:21(19)ack1win4096csrlsg.1023:P1:2(1)ack21win4077csam.loginrtsg.1023:P2:3(1)ack21win4077urg1csam.loginrtsg.1023:P3:4(1)ack21win4077urgI第一行表示有一个数据包从rtsg主机的tcp端口1023发送到(CSam主机的ICp端口login_t(nt:udp协议的端口和tcp协议的端口是分别的两个空间,虽然取值范围一样).S表示设置了SYN标记.包的依次号是768512,并I1.没有包含数据.(表示
17、格式为:first:last(nbytes),其含义是此包中数据的依次号从first起先直到IaSl结束,不包括IaSI.并且总共包含nbyles的用户数据.)没有捎带应答(nt:从卜文来看,其次行才是有捎带应答的数据包),可用的接受窗口的大小为4096bytes,并且恳求端(rtsg)的最大可接受的数据段大小是1024字节(nt:这个信息作为恳求发向应答端csam,以便双方进一步的协商).CSam向rtsg回兔了基本相同的SYN数据包,其区分只是多了一个piggybackedack(nl:捎带回的ack应答,针对rtsg的SYN数据包).rtsg同样针对csam的SYN数据包回品了一AeK数
18、据包作为应答.的含义就是此包中没有标记被设巴.由于此应答包中不含有数据,所以包中也没有数据段序列号.提示!此AeK数据包的依次号只是一个小整数1.有如下说明:tcpdump对于个tcp连接上的会话,只打印会话两端的初始数据包的序列号,其后相应数据包只打印出与初始包序列号的差异.即初始序列号之后的序列号,可被看作此会话上当前所传数据片段在整个要传输的数据中的相对字节位置(nt:双方的第一个位置都是1,即相对字节的起先编号.-S将覆盖这个功能,使数据包的原始依次号被打印出来.第六行的含义为:rtsg向CSam发送了19字节的数据(字节的编号为2到20,传送方向为rlsg到CSUm).包中设置了PU
19、SH标记.在第7行,CSam喊到,她已经从rtsg中收到了21以下的字节,但不包括21编号的字节.这些字节存放在CSam的SOCkCt的接收缓冲中,相应地.CSaln的接收缓冲窗口大小公削减19字节(nt:可以从第5行和第7行Win属性值的变更看出来)Csum在第7行这个包中也向rls发送了一个字节.在第8行和第9行,CSam接着向rtsg分别发送了两个只包含一个字节的数据包,并I1.这个数据包带PUSH标记.假如所抓到的CCP包Git:即这里.的SnHPShol)太小了,以至lcpbroadcast,who:udp84其含义为:actinide主机上的端口who向broadcast主机上的端
20、口who发送了一个UdP数据包(nt:actinide和broadcast都是指IntCrnQt地址).这个数据包承载的用户数据为84个字节.一些UDP服务可从数据包的源或目的端口来识别,也可从所显示的更高层协议信息来识别.比如,DomainNameservicerequests(DNS恳求,在RFCTO34/1035中),和SUnRPCcallstoNFS(对NFS服务器所发起的远程调用(nt:即SUnRPe),在RFCTO50中有对远程调用的描述).UDP名称服务恳求(留意:以卜,的描述假设你对DomainServicePrOtOCO(nt:在RFeTO3中有所描述),否则你会发觉以下描述
21、就是天书(nt:希胳文天书,不必理睬,吓吓你的,接若看就行)名称服务恳求有如下的格式:SrCdst:idopflagsqtypeqclass?name(len)比如有一个实际显示为:h2opolo.1538heIios.(1st:idoprcodeflagsa/n/autypeclassdata(Ien)比如具体显示如下:hclios.domainh2opolo.1538:33/3/7A128.32.137.3(273)heIios.domainh2opolo.1537:2NXDomain*0/1/0(97)第一行表示:helios对h2opolo所发送的3号查询恳求回应了3条回答记录(ntr
22、l:answerrecords),3条名称服务器记录,以及7条附加的记录.第一个回答记录(nt:3个回答记录中的第一个)类型为A(nt:表示地址),其数据为internet地址128.32.137.3.此回应UDP数据包,包含273字节的数据(不包含UPD和IP的头部数据).op字段和rcode字段被忽视(nl:OP的实际值为QUery,rcode,即responseCode的实际值为NoErrOr),同样被忽视的字段还有CIaSS字段(ntIrt:其值为C_【M这也是A类型记录默认取值)其次行表示:helios对h2opol。所发送的2号查询恳求做了回应.回应中,rcod。编码为NXDOma
23、in(nt:表示不存在的域),没仃回答记录,但包含一个名称服务器记录,不包含权威服务器记录(ntck:从上文来看,此处的authoriIyrecords就是上文中对应的additionalrecords).表示权威服务器回答标记被设置(nt:从而additionalrecords就表示的是authorityrecords).由于没有I可答记录,type,class,data字段都被忽视flag字段还有可能出现其他些字符,比如(nt:表示可递归地查询,即RA标记没有被设置),(nt:表示被截断的消息,即TC标记被置位).锻如应答(nl【cl:可理解为,包含名称服务应答的Ul)P数据包,tcpdn
24、p知道这类数据包该怎样解析其数据)的queslion段一个条目(entry)都不包含(nt:每个条目的含义,需补充),nq会被打印出来.要留意的是:名称服务落的恩求和应答数据量比较大,而默认的68字节的抓取长度(nt:snaplen,可理解为tcpdump的一个设置选项)可能不足以抓取数据包的全部内容.假如你我的须要细致隹看名称服务器的负载,可以通过tcpdump的-S选项来扩大SnaPIen值.SMB/CIFS解码ICPdU帅己可以对SMiVCIFS/NBT相关应用的数据包内容进行解码(nl:分别为ServerMessageBlockCommon,InternetFileSystem,在TC
25、P/IP上实现的网络协议NETBloS的简称.这几个服务通常运用UDP的137/138以及TCP的139端口).原来的对IPX和NetBEUISMB数据包的解码实力依旧可以被运用(nt:YeIBEUl为NETBIOS的增加版本).tcpdump默认只依据段简约模式对相应数据包进行解码,假如我们想要详尽的解码信息可以运用其-V启动选现.要留意的是,-V会产生特别具体的信息,比如对单一的一个SMB数据包,将产生一屏幕或更多的信息,所以此选项,确有须要才运用.关于SMB数据包格式的信息,以及每个域的含义可以参看cifs.org或者Samba.org镜像站点的PUbsambaSPeCs/书目.Iinu
26、x上的SMB补丁(ntrt:PatCh)由AndrewTridgell(tridgeSamba.org)供应.NFS恳求和回应tcpdump对SunNFS(网络文件系统)恳求和回应的UDP数据包仃如下格式的打印输出:sre.xi(1st.nfs:Ienopargssrc.nfsdst.xid:replystatIenopresults以下是一组具体的输出数据sushi.6709wrl.nfs:112readlinkfh21,24/10.73165wrl.nfssushi.6709:replyok40readIink.var,sushi.201bwrl.nfs:144lookupfh9,74/4
27、096.6878*xcolors*wrl.nfssushi.201b:replyok128lookupfh9,74/4134.3150第一行输出表明:主机SUShi向主机WrI发送了一个交换恳求(nl:transaction),此恳求的id为6709(留意,主机名字后是交换恳求id号,而不是源端口号).此恳求数据为112字节,其中不包括U)P和IP头部的长度.操作类型为readlink(nt:即此操作为读符号链接操作),操作参数为fh21,24/10.73165(nt:可按实际运行环境,解析如下,d表示描述的为文件句柄,21,24表示此句柄所对应设备的主/从设备号对,10表示此句柄所对应的i节
28、点编号(nt:每个文件都会在操作系统中对应一个i节点,限Funix类系统中),73165是一个编号(nl:可理解为标识此恳求的一个随机数,具体含义需补充).其次行中,Wrl做了ok的回应,并且在results字段中返回了SUShi想要读的符号连接的真实书目(nt:即SUShi要求读的符号连接其实是个书目).第三行表明:SUShi再次恳求WrI在fh9,74/4096.6878所描述的书目中查找xcclors文件.须要留意的是,每行所显示的数据含义依靠于其中。P字段的类型(nt:不同OP所对应args含义不相同),其格式遵循WS协议,追求简沽明白.假如tcpdu11的-V选项(具体打印选项)被设
29、置,附加的信息将被显示.比如:sushi.1372awrl.nfs:148readfh21,11/12.1958192bytes624576wrl.nfssushi.1372a:replyok1472readREG100661ids417/0SZ29388(-v选项一般还会打印出IP头部的Tr1.,ID.length,以及fragmentation域,但在此例中,都略过f(nt:可理解为,简洁起见,做J删减)在第一行,sushi恳求HTI从文件21,11/12.195(nt:格式在上面有描述)中,自偏移24576字节处起先,读取8192字节数据.Wrl回应读取胜利;由于其次行只是回应恳求的开头
30、片段,所以只包含1472字节(其他的数据将在接若的reply片段中到来,但这些数据包不会再有NFS头,甚至UDP头信息也为空(nl:源和目的应当要有),这将导致这些片段不能满意过淀条件,从而没有被打印)-V选项除了显示文件数据信息,还会显示附加显示文件据性信息:fileIyPe(文件类型,REG表示一般文件),filemode(文件存取模式,8进制表示的),Uid和gid(nt:文件属主和组属主),filesize(文件大小)假如-V标记被多次重更给出(nt:-vv),tcpdump会显示更加具体的信必须要留意的是,NFS恳求包中数据比较多,假如ICPdUmP的SnUPIen(nl:抓取长度)
31、取太短将不能显示其具体信息.可运用-s192来增加SnaPIen,这可用以监测NFS应用的网络负载(nt:trafic).NFS的回应包并不严格的紧随之前相应的恳求包(nt:RPCoperation).从而,ICPdUmP会跟踪最近收到的一系列恳求包,再通过其交换序号(nt:transactionID)与相应恳求包相匹配,这可能产生一个问题,假如回应包来得太迟,超出tcpdump对相应息求包的跟踪范I建该回应包将不能被分析.AFS恳求和回应APS(nl:AndreW文件系统,Transarc,未知,需补充)恳求和回应有如下的答应src.sportdst.dport:rxpacket-types
32、rc.sportdst.dport:rxpacket-typeservicecallcalI-nameargssrc.sportdst.dport:rxpacket-typeservicereplycall-nameargselvis.7001pike,afsfs:rxdatafscal1renameoldfid536876964/1/1*.newsrc.new*newfielvis.7001:rxdatafsreplyrename在第一行,主机elvis向Pike发送了一个RX数据包这是一个对于文件服务的恳求数据包(nt:RXdatapacket,发送数据包,可理解为发送包过去,从而恳求对方的服务),这也是个RPC调用的起先起t:RPC,remoteprocedurecall).此RpC恳求Pike执行rename(nt:重命名)操作,并指定了相关的参数:原书目描述符为536876964/1/1,原文件名为.newsrc.new,新书目描述符为53687696”11,新文件名为,.ncwsrc,
