tcpdump简介:
-
tcpdump是一个用于截取网络分组,并输出分组内容的工具。
-
凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具
-
tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
1、在 Linux 中安装 tcpdump
用下面的命令检查一下是否已经安装了 tcpdump
:
which tcpdump
如果还没有安装 tcpdump
,用如下命令安装 tcpdump
:
sudo yum install -y tcpdump
tcpdump
依赖于 libpcap
,该库文件用于捕获网络数据包。如果该库文件也没有安装,系统会根据依赖关系自动安装它。
2、用 tcpdump 抓包
使用 tcpdump
抓包,需要管理员权限,因此下面的示例中绝大多数命令都是以 sudo
开头。
首先,先用 tcpdump -D
命令列出可以抓包的网络接口:
sudo tcpdump -D
如上所示,可以看到我的机器中所有可以抓包的网络接口。其中特殊接口 any
可用于抓取所有活动的网络接口的数据包。
我们就用如下命令先对 any
接口进行抓包:
sudo tcpdump -i any
tcpdump
会持续抓包直到收到中断信号。你可以按 Ctrl+C
来停止抓包。正如上面示例所示,tcpdump
抓取了超过 10000 个数据包。在这个示例中,由于我是通过 ssh
连接到服务器,所以 tcpdump
也捕获了所有这类数据包。
-c
选项可以用于限制 tcpdump
抓包的数量:
sudo tcpdump -i any -c 3
如上所示,tcpdump
在抓取 3 个数据包后自动停止了抓包。这在有些场景中十分有用 —— 比如你只需要抓取少量的数据包用于分析。当我们需要使用过滤规则抓取特定的数据包(如下所示)时,-c
的作用就十分突出了。
在上面示例中,tcpdump
默认是将 IP 地址和端口号解析为对应的接口名以及服务协议名称。而通常在网络故障排查中,使用 IP 地址和端口号更便于分析问题;用 -n
选项显示 IP 地址,-nn
选项显示端口号:
sudo tcpdump -i any -c 3 -nn
如上所示,抓取的数据包中显示 IP 地址和端口号。这样还可以阻止 tcpdump
发出 DNS 查找,有助于在网络故障排查中减少数据流量。
现在你已经会抓包了,让我们来分析一下这些抓包输出的含义吧。
3、理解抓取的报文
tcpdump
能够抓取并解码多种协议类型的数据报文,如 TCP、UDP、ICMP 等等。虽然这里我们不可能介绍所有的数据报文类型,但可以分析下 TCP 类型的数据报文,来帮助你入门。更多有关 tcpdump
的详细介绍可以参考其 。tcpdump
抓取的 TCP 报文看起来如下:
12:43:24.047063 IP 202.106.2.140.22 > 202.106.2.116.52980: Flags [P.], seq 4020757562:4020757774, ack 1254862904, win 274, length 212
1列:12:43:24.047063 是该数据报文被抓取的系统本地时间戳。
2列:IP
是网络层协议类型,这里是 IPv4
,如果是 IPv6
协议,该字段值是 IP6
。
3列:202.106.2.140
是源 IP 地址和端口号 22
4列:202.106.2.116
是目的 IP 地址和端口号 52980
5列: TCP 报文标记段 Flags [P.]
。该字段也可以是这些值的组合,例如 [S.]
代表 SYN-ACK
数据包。该字段通常取值如下:
值 | 标志类型 | 描述 |
---|---|---|
S | SYN | Connection Start |
F | FIN | Connection Finish |
P | PUSH | Data push |
R | RST | Connection reset |
. | ACK | Acknowledgment |
6列:接下来是该数据包中数据的序列号。对于抓取的第一个数据包,该字段值是一个绝对数字,后续包使用相对数值,以便更容易查询跟踪。例如此处 seq 4020757562:4020757774代表该数据包包含该数据流的第 XX 到 XXX 字节。
7列:接下来是 ack 值:ack 1254862904。该数据包是数据发送方,ack 值为 XXX。在数据接收方,该字段代表数据流上的下一个预期字节数据。
8列:接下来字段是接收窗口大小 win 274
,它表示接收缓冲区中可用的字节数,后跟 TCP 选项如 MSS(最大段大小)或者窗口比例值。更详尽的 TCP 协议内容请参考 。
9列:length 212
代表数据包有效载荷字节长度。这个长度和 seq 序列号中字节数值长度是不一样的。
现在让我们学习如何过滤数据报文以便更容易的分析定位问题。
4、过滤数据包
正如上面所提,tcpdump
可以抓取很多种类型的数据报文,其中很多可能和我们需要查找的问题并没有关系。举个例子,假设你正在定位一个与 web 服务器连接的网络问题,就不必关心 SSH 数据报文,因此在抓包结果中过滤掉 SSH 报文可能更便于你分析问题。
tcpdump
有很多参数选项可以设置数据包过滤规则,例如根据源 IP 以及目的 IP 地址,端口号,协议等等规则来过滤数据包。下面就介绍一些最常用的过滤方法。
-
协议
在命令中指定协议便可以按照协议类型来筛选数据包。比方说用如下命令只要抓取 ICMP 报文:
sudo tcpdump -i ens192 icmp -c 5
然后再打开一个终端,去 ping 另一台机器或者用本机ping连接的这个服务器。
回到运行 tcpdump
命令的终端中,可以看到它筛选出了 ICMP 报文。这里 tcpdump
并没有显示有关 opensource.com
的域名解析数据包:
-
主机
用 host
参数只抓取和特定主机相关的数据包,只抓取和显示与 202.106.2.116
有关的数据包。
sudo tcpdump -i ens192 -c 5 -nn host 202.106.2.116
-
端口号
tcpdump
可以根据服务类型或者端口号来筛选数据包。例如,抓取和 HTTP 服务相关的数据包:
sudo tcpdump -i ens192 -c 5 -nn port 80
-
IP 地址/主机名
同样,你也可以根据源 IP 地址或者目的 IP 地址或者主机名来筛选数据包。例如抓取源 IP 地址为 202.106.2.116
的数据包:
sudo tcpdump -i ens192 -c 5 -nn src 202.106.2.116
注意此处示例中抓取了来自源 IP 地址 192.168.122.98
的 53 端口以及 80 端口的数据包,它们的应答包没有显示出来因为那些包的源 IP 地址已经变了。
相对的,使用 dst
就是按目的 IP/主机名来筛选数据包。
sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116
-
多条件筛选
当然,可以使用多条件组合来筛选数据包,使用 and
以及 or
逻辑操作符来创建过滤规则。例如,筛选来自源 IP 地址 XXX 的 HTTP 数据包:
sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116 and port 80 sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116 or port 80
你也可以使用括号来创建更为复杂的过滤规则,但在 shell 中请用引号包含你的过滤规则以防止被识别为 shell 表达式:
sudo tcpdump -i ens192 -c 5 -nn 'port 80 and (dst 202.106.2.116 or src 202.106.2.140)'
sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)'
小结:
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网??上的特定的网络协议,实际上它是”ether” 的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&’;或运算 是’or’ ,’││’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
5、检查数据包内容
在以上的示例中,我们只按数据包头部的信息来建立规则筛选数据包,例如源地址、目的地址、端口号等等。有时我们需要分析网络连接问题,可能需要分析数据包中的内容来判断什么内容需要被发送、什么内容需要被接收等。tcpdump
提供了两个选项可以查看数据包内容,-X
以十六进制打印出数据报文内容,-A
打印数据报文的 ASCII 值。
例如,HTTP 请求报文内容如下:
sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' -A sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' -X
这对定位一些普通 HTTP 调用 API 接口的问题很有用。当然如果是加密报文,这个输出也就没多大用了。
6、保存抓包数据
tcpdump
提供了保存抓包数据的功能以便后续分析数据包。例如,你可以夜里让它在那里抓包,然后早上起来再去分析它。同样当有很多数据包时,显示过快也不利于分析,将数据包保存下来,更有利于分析问题。
使用 -w
选项来保存数据包而不是在屏幕上显示出抓取的数据包:
sudo tcpdump -i ens192 -c 5 -nn port 80 -w /tmp/test.pcap
该命令将抓取的数据包保存到文件 、test.pcap
。后缀名 pcap
表示文件是抓取的数据包格式。
正如示例中所示,保存数据包到文件中时屏幕上就没有任何有关数据报文的输出,其中 -c 5
表示抓取到 5 个数据包后就停止抓包。如果想有一些反馈来提示确实抓取到了数据包,可以使用 -v
选项。
查看pcap文件内容
tcpdump
将数据包保存在二进制文件中,所以不能简单的用文本编辑器去打开它。使用 -r
选项参数来阅读该文件中的报文内容:
tcpdump -nn -r /tmp/test.pcap
这里不需要管理员权限 sudo
了,因为此刻并不是在网络接口处抓包。
你还可以使用我们讨论过的任何过滤规则来过滤文件中的内容,就像使用实时数据一样。 例如,通过执行以下命令从源 IP 地址 54.204.39.132
检查文件中的数据包:
tcpdump -nn -r /tmp/test.pcap src port 80
7.补充 TCP的几个状态 (SYN, FIN, ACK, PSH, RST, URG)
1、在 Linux 中安装 tcpdump 用下面的命令检查一下是否已经安装了 tcpdump: which tcpdump 如果还没有安装 tcpdump,用如下命令安装 tcpdump: sudo yum install -y tcpdump tcpdump 依赖于 libpcap,该库文件用于捕获网络数据包。如果该库文件也没有安装,系统会根据依赖关系自动安装它。 2、用 tcpdump 抓包 使用 tcpdump 抓包,需要管理员权限,因此下面的示例中绝大多数命令都是以 sudo 开头。 首先,先用 tcpdump -D 命令列出可以抓包的网络接口: sudo tcpdump -D 如上所示,可以看到我的机器中所有可以抓包的网络接口。其中特殊接口 any 可用于抓取所有活动的网络接口的数据包。 我们就用如下命令先对 any 接口进行抓包: sudo tcpdump -i any tcpdump 会持续抓包直到收到中断信号。你可以按 Ctrl+C 来停止抓包。正如上面示例所示,tcpdump 抓取了超过 10000 个数据包。在这个示例中,由于我是通过 ssh 连接到服务器,所以 tcpdump 也捕获了所有这类数据包。 -c 选项可以用于限制 tcpdump 抓包的数量: sudo tcpdump -i any -c 3 如上所示,tcpdump 在抓取 3 个数据包后自动停止了抓包。这在有些场景中十分有用 —— 比如你只需要抓取少量的数据包用于分析。当我们需要使用过滤规则抓取特定的数据包(如下所示)时,-c 的作用就十分突出了。 在上面示例中,tcpdump 默认是将 IP 地址和端口号解析为对应的接口名以及服务协议名称。而通常在网络故障排查中,使用 IP 地址和端口号更便于分析问题;用 -n 选项显示 IP 地址,-nn 选项显示端口号: sudo tcpdump -i any -c 3 -nn 如上所示,抓取的数据包中显示 IP 地址和端口号。这样还可以阻止 tcpdump 发出 DNS 查找,有助于在网络故障排查中减少数据流量。 现在你已经会抓包了,让我们来分析一下这些抓包输出的含义吧。 3、理解抓取的报文 tcpdump 能够抓取并解码多种协议类型的数据报文,如 TCP、UDP、ICMP 等等。虽然这里我们不可能介绍所有的数据报文类型,但可以分析下 TCP 类型的数据报文,来帮助你入门。更多有关 tcpdump 的详细介绍可以参考其 帮助手册。tcpdump 抓取的 TCP 报文看起来如下: 12:43:24.047063 IP 202.106.2.140.22 > 202.106.2.116.52980: Flags [P.], seq 4020757562:4020757774, ack 1254862904, win 274, length 212 1列:12:43:24.047063 是该数据报文被抓取的系统本地时间戳。 2列:IP 是网络层协议类型,这里是 IPv4,如果是 IPv6 协议,该字段值是 IP6。 3列:202.106.2.140 是源 IP 地址和端口号 22 4列:202.106.2.116 是目的 IP 地址和端口号 52980 5列: TCP 报文标记段 Flags [P.]。该字段也可以是这些值的组合,例如 [S.] 代表 SYN-ACK 数据包。该字段通常取值如下: 值 标志类型 描述 S SYN Connection Start F FIN Connection Finish P PUSH Data push R RST Connection reset . ACK Acknowledgment 6列:接下来是该数据包中数据的序列号。对于抓取的第一个数据包,该字段值是一个绝对数字,后续包使用相对数值,以便更容易查询跟踪。例如此处 seq 4020757562:4020757774代表该数据包包含该数据流的第 XX 到 XXX 字节。 7列:接下来是 ack 值:ack 1254862904。该数据包是数据发送方,ack 值为 XXX。在数据接收方,该字段代表数据流上的下一个预期字节数据。 8列:接下来字段是接收窗口大小 win 274,它表示接收缓冲区中可用的字节数,后跟 TCP 选项如 MSS(最大段大小)或者窗口比例值。更详尽的 TCP 协议内容请参考 Transmission Control Protocol(TCP) Parameters。 9列:length 212代表数据包有效载荷字节长度。这个长度和 seq 序列号中字节数值长度是不一样的。 现在让我们学习如何过滤数据报文以便更容易的分析定位问题。 4、过滤数据包 正如上面所提,tcpdump 可以抓取很多种类型的数据报文,其中很多可能和我们需要查找的问题并没有关系。举个例子,假设你正在定位一个与 web 服务器连接的网络问题,就不必关心 SSH 数据报文,因此在抓包结果中过滤掉 SSH 报文可能更便于你分析问题。 tcpdump 有很多参数选项可以设置数据包过滤规则,例如根据源 IP 以及目的 IP 地址,端口号,协议等等规则来过滤数据包。下面就介绍一些最常用的过滤方法。 协议 在命令中指定协议便可以按照协议类型来筛选数据包。比方说用如下命令只要抓取 ICMP 报文: sudo tcpdump -i ens192 icmp -c 5 然后再打开一个终端,去 ping 另一台机器或者用本机ping连接的这个服务器。 回到运行 tcpdump 命令的终端中,可以看到它筛选出了 ICMP 报文。这里 tcpdump 并没有显示有关 opensource.com 的域名解析数据包: 主机 用 host 参数只抓取和特定主机相关的数据包,只抓取和显示与 202.106.2.116 有关的数据包。 sudo tcpdump -i ens192 -c 5 -nn host 202.106.2.116 端口号 tcpdump 可以根据服务类型或者端口号来筛选数据包。例如,抓取和 HTTP 服务相关的数据包: sudo tcpdump -i ens192 -c 5 -nn port 80 IP 地址/主机名 同样,你也可以根据源 IP 地址或者目的 IP 地址或者主机名来筛选数据包。例如抓取源 IP 地址为 202.106.2.116 的数据包: sudo tcpdump -i ens192 -c 5 -nn src 202.106.2.116 注意此处示例中抓取了来自源 IP 地址 192.168.122.98 的 53 端口以及 80 端口的数据包,它们的应答包没有显示出来因为那些包的源 IP 地址已经变了。 相对的,使用 dst 就是按目的 IP/主机名来筛选数据包。 sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116 多条件筛选 当然,可以使用多条件组合来筛选数据包,使用 and 以及 or 逻辑操作符来创建过滤规则。例如,筛选来自源 IP 地址 XXX 的 HTTP 数据包: sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116 and port 80 sudo tcpdump -i ens192 -c 5 -nn dst 202.106.2.116 or port 80 你也可以使用括号来创建更为复杂的过滤规则,但在 shell 中请用引号包含你的过滤规则以防止被识别为 shell 表达式: sudo tcpdump -i ens192 -c 5 -nn 'port 80 and (dst 202.106.2.116 or src 202.106.2.140)' sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' 小结: 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host. 第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。 第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网??上的特定的网络协议,实际上它是"ether" 的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。 除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。 5、检查数据包内容 在以上的示例中,我们只按数据包头部的信息来建立规则筛选数据包,例如源地址、目的地址、端口号等等。有时我们需要分析网络连接问题,可能需要分析数据包中的内容来判断什么内容需要被发送、什么内容需要被接收等。tcpdump 提供了两个选项可以查看数据包内容,-X 以十六进制打印出数据报文内容,-A 打印数据报文的 ASCII 值。 例如,HTTP 请求报文内容如下: sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' -A sudo tcpdump -i ens192 -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' -X 这对定位一些普通 HTTP 调用 API 接口的问题很有用。当然如果是加密报文,这个输出也就没多大用了。 6、保存抓包数据 tcpdump 提供了保存抓包数据的功能以便后续分析数据包。例如,你可以夜里让它在那里抓包,然后早上起来再去分析它。同样当有很多数据包时,显示过快也不利于分析,将数据包保存下来,更有利于分析问题。 使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包: sudo tcpdump -i ens192 -c 5 -nn port 80 -w /tmp/test.pcap 该命令将抓取的数据包保存到文件 、test.pcap。后缀名 pcap 表示文件是抓取的数据包格式。 正如示例中所示,保存数据包到文件中时屏幕上就没有任何有关数据报文的输出,其中 -c 5 表示抓取到 5 个数据包后就停止抓包。如果想有一些反馈来提示确实抓取到了数据包,可以使用 -v 选项。 查看pcap文件内容 tcpdump 将数据包保存在二进制文件中,所以不能简单的用文本编辑器去打开它。使用 -r 选项参数来阅读该文件中的报文内容: tcpdump -nn -r /tmp/test.pcap 这里不需要管理员权限 sudo 了,因为此刻并不是在网络接口处抓包。 你还可以使用我们讨论过的任何过滤规则来过滤文件中的内容,就像使用实时数据一样。 例如,通过执行以下命令从源 IP 地址 54.204.39.132 检查文件中的数据包: tcpdump -nn -r /tmp/test.pcap src port 80 7.补充 TCP的几个状态 (SYN, FIN, ACK, PSH, RST, URG) 复制代码 在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG. 其中,对于我们日常的分析有用的就是前面的五个字段。 它们的含义是: SYN表示建立连接, FIN表示关闭连接, ACK表示响应, PSH表示有 DATA数据传输, RST表示连接重置。 其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应, 如果只是单个的一个SYN,它表示的只是建立连接。 TCP的几次握手就是通过这样的ACK表现出来的。 但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。 RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。 一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。 PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。 TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。 概念补充-TCP三次握手: TCP(Transmission Control Protocol)传输控制协议 TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接: 位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码) 第一次握手:主机A发送位码为syn=1,随机产生seq number=1234567的数据包到服务器,主机B由SYN=1知道,A要求建立联机; 第二次握手:主机B收到请求后要确认联机信息,向A发送ack number=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包; 第三次握手:主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送ack number=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。 完成三次握手,主机A与主机B开始传送数据。 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态; 第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。完成三次握手,客户
以上就是
为各位朋友分享的 相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多 等着你!