Linux-tcpdump命令详解.docx

1.inuxtcpdump吩咐洋解1皿2好用吩咐实例3输出信息含义3链路头3TCP数据包3UDP数据包3SMBClFS解码3AFS恳求和【川应3KIPAPPIoTaIk协议3IP数据包破裂3时间一4吩咐运用4tcpdump的简洁选项介绍4tcpdump条件表达式5附录ICpdUinP的衣达元简介用简洁的话来定义tcpdump.就是：dumpthetrafficonanetwork.依据运用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来供应分析。它支持针对网络层、协议、主机、网络或端口的过滤,并供应and、or、not等逻辑语句来帮助你去掉无用的信息。好用吩咐实例默认启动一股状况卜.，干脆启动tcpdump将监觇第一个网络接口上全部流过的数据包。监视指定网络接口的数据包tcpdump-iethl假如不指定网卡，默认tcpdump只会监视第个网络接口，般是eth,下面的例子都没有指定网络接口。监视指定主机的数据包打印全部进入或离开sundown的数据包.tcpdmphostsundown也可以指定ip,例如截获全部210.27.48.1的主机收到的和发出的全部的数据包JTHJhelios与hoi或者与ace之间通信的数据包tcpdumphostheIioSand(hotorace)截荻主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信tcpdumphost210.27.48.1and(210.27.48.2or210.27.48.3)打印ace与任何其他主机之间通信的IP数据包，但不包括与helios之间的数据包.tcpdumpiphostaccandnothelios假如想要获得主机21027.48.1除了和主机210.27.48.2之外全部主机通信的ip包，运用吩咐：截获主机hostname发送的全部数据tcpdump-iethsrchosthostname监视全部送到主机hostname的数据包tcpdmp-iethdsthosthostname监视指定主机和端口的数据包假如想要获得主机210.27.48.1接收或发出的telnet包，运用如下吩咐对本机的UdP123端口进行监视123为ntp的服务端口tcpdmpudpport123监视指定网络的数据包打印本地主机与Berkeley网络上的主机之间的全部通信数据包（nt:UCb-ether,此处可理解为'Berkeley网络的网络地址,此表达式最原始的含义可表达为：打印网络地址为UCbether的全部数据包）Icpdunij)netUCb-eIher打印全部通过网关SnUP的ftp数据包（留意，表达式被单引号括起来了,这可以防止shell对其中的括号进行钳误会析）Icpdump'gatewaySnUPand(portftporftp-data)打印全部源地址或目标地址是本地主机的IP数据包（假如本地网络通过网关连到了另网络,则另网络并不能算作本地网络（nt:此句翻译曲折,需补充）Iocalnel实际运用时要我正替换成本地网络的名字）tcpdumpipandnotnetIocalnet监视指定悔议的数据包打印TCP会话中的的起先和结束数据包，并且数据包的源或目的不是本地网络上的主机（nt:IoCalnet,实际运用时要.真正替换成本地网络的名字）tcpdump'tcptcpflags&(tep-syntep-fin)!=0andnotsrcanddstnetIocalnot'打印全部源或目的端口是80,网络层协议为IPw1,并且含有数据，而不是SYN,FIN以及ACK-Only等不含数据的数据包.（ipv6的版本的表达式可做练习）tcpdu11p'Icpport80and(ip2:2-(ip00xf)<<2)-(tcp120xf0)>>2)!=0),(nt:可理解为，ip2:2表示整个ip数据包的长度，(ip0&0xD«21表示ip数据包包头的长度(ip0K0xf代表包中的IH1.域，而此域的单位为32bit,要换算成字节数须要乘以即左移2.(tcp12&0xf0)>>4表示tcp头的长度，此域的单位也是32bit,换钵成比特数为(tcp12fcxf)»4)«2,即(tcp12ftxf)>>2).(ip2:2-(ip0ft0xf)<<2)(tcp120xf0)>>2)!=0表示：整个ip数据包的长度减去ip头的长度,再诚去tcp头的长度不为0,这就意味若，ip数据包中的确是有数据.对于ip，6版本只需考虑ipv6头中的'Payload1.ength'与,tcp头的长度'的差值，并且其中表达方式'ip'需换成'ip6口'.)打印长度超过576字节，并且网关地址是snap的IP数据包Icpdump'gatewaysnupandip2:2>576>打印全部IP层广播或多播的数据包，但不是物理以太网层的广播或多播数据报tcpdump,etherOAl=Oandip16j>=224'打印除'echorequest'或者'echoreply'类型以外的ICMP数据包(比如,须要打印全部非Ping程序产生的数据包时可用到此表达式.(nt:'echoreqest,与,echoreply'这两种类型的ICMP数据包通常由Ping程序产生)tcpdump'icnpicmptype!=ic11p-echoandicnpicmptype!=icmp-echorcply,tcpdp与ViresharkWireshark(以前是etherea1)是WindOWS下特别简洁易用的抓包工具.>但在1.inux下很难找到一个好用的图形化抓包工具。还好有TCPdUmp。我们可以用TCPdUInP+Kireshark的完备组合实现：在1.inUX里抓包，然后在WindoWS里分析包。(1)tcp:ipicmparprarp和tcp、Udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型(2)-iethl:只抓经过接口ethl的包（3）-t:不显示时间戳（4）-SO;抓取数据包时默认抓取长度为68字节。加上-SO后可以抓到完整的数据包（5）-C100:只抓取100个数据包（6）dstport!22:不抓取目标端口是22的数据包（8）-W./target,cap:保存成CaP文件,便利用ethereal（即wireshark）分析运用tcpdu11p抓取HTTP包tcpdump-XvvcnnSs0-iethtcp20:2=0x4745ortcp20:2=0x48540x4745为"GET"前两个字母"GE”,0x4854为"H11P"前两个字母FT。ICPdUmP对截获的数据并没有进行彻底解码，数据包内的大部分内容是运用十六进制的形式干脆打印输出的。明显这不利于分析网络故障，通常的解决方法是先运用带-W参数的tcpdump截获数据并保存到文件中，然后再运用其他程序（如WireShark）进行解码分析.当然也应当定义过漉规则，以避开捕获的数据包填满整个硬就，输出信息含义首先我们留意一下，基本上ICPdUmP总的的输出格式为：系统时间来源主机.端口目标主机.端口数据包参数tcpdump的输出格式与协议有关.以下筒要描述了大部分常用的格式及相关例子.链路层头对于FDDl网络，-e'使tcpdump打印出指定数据包的framecontrol'域,源和目的地址，以及包的长度.（fram。control域限制对包中其他域的解析）.一般的包（比如那些Ipdatagrams）都是带有'async'（异步标记）的数据包，并且有取值0到7的优先级；比如'async4'就代表此包为异步数据包,并且优先级别为4.通常认为,这些包们会内含个1.1.C包（逻辑徙路限制包）；这时,假如此包不是一个ISOdatagram或所谓的SNAP包，其1.1.C头部将会被打印（nt:应当是指此包内含的1.1.C包的包头）.对TTokCnRing网络（令牌环网络。'使tcpdump打印出指定数据包的,framecontrol'和'accesscontrol,以及源和目的地址，外加包的长度.与FDDl网络类似，此数据包通常内含1.1.C数据包.不管是否有'-e,选项.对于此网络上的'source-routed'类型数据包（nt:意洋为:源地址被追踪的数据包,具体含义未知，需补充）,其包的源路由信息总会被打印.对于802.11网络（W1.AN,即wirelesslocalareanetwork）,'-e,使tcpdu11p打印出指定数据包的framecontrol域,包头中包含的全部地址，以及包的长度.与FDDl网络类似，此数据包通常内含UX数据包.（留意:以下的描述会假设你熟识S1.IP压缩算法（nt:S1.lP为SeriaI1.ineInternetProtocol.）,这个算法可以在RFCTl44中找到相关的蛛丝马迹.）对于S1.Ip网络（nl:S1.IPIinks,可理解为一个网络，即通过串行线路建立的连接，而一个简洁的连接也可看成一个网络），数据包的'directionindicator'（'方向指示标记）（"I"表示入，"0"衣示出），类型以及压缩信息将会被打印.包类型会被首先打印.类型分为ip,UtCP以及CtCP（nt:未知,需补充）.对TiP包,连接信息将不被打印（nl:SUp连接上，ip包的连接信息可能无用或没有定义.reconfirm）,对于TCP数据包，连接标识紧接着类型表示被打印,假如此包被压缩，其被编码过的头部将被打印.此时对于特殊的压缩包,会如下显示：*S÷n或者*S+n,其中n代表包的（依次号或（依次号和应答号）增加或削减的数目（ntirt:S,SA拗口，需再译）.对于非特殊的乐缩包,0个或更多的变更'将会被打印.变更'被打印时格式如下：'标记'+/-/=n包数据的长度压缩的头部长度.其中标记'可以取以下值:U（代表紧急指针），W（指镶冲窗口）,A（应答），S（序列号），1（包ID）,而增量表达'=n'表示被给予新的依，+/-表示增加或削减.比如，以下显示了对个外发压缩TCP数据包的打印，这个数据包隐含个连接标识（ConneCtiOnidentifier）：应答号增加了6,依次号增加了49,包ID号增加了6;包数据长度为3字节（OCleCD,压缩头部为6字节.（nt:如此看来这应当不是一个特殊的压缩数据包）.ARP/RARP数据包tcpdump对ArpZrarp包的输出信息中会包含恳求类型及该恳求对应的参数.显示格式简洁明白.以卜是从主机rtsg到主机CSam的'riotin'（远程登录）过程起先阶段的数据包样例：arpWhO-hascs<11tellrlsgarpreplycsamis-atCSM第行表示:rtsg发送了个arp数据包（nt:向全网段发送,arp数据包）以询问csam的以太网地址CSanI（nl:可从下文看出来，是CSam）以她自己的以太网地址做了回应（在这个例子中，以太网地址以大写的名字标识，而intemet地址（即ip地址）以全部的小写名字标识）.假如运用tcpdump-n,可