亚游wwwag8com
你好,游客 登录 注册
背景:
阅读新闻

在 Linux 命令行中使用 tcpdump 抓包

[日期:2018-11-04] 来源:Linux中国  作者:Linux [字体: ]

亚游wwwag8com,  作为排位在INTEL公司之后的世界第二大CPU制造商,AMD是一家业务遍及全球的集成电路商,专为电脑、通信及电子消费类各种芯片产品。

  因此,并不是我们业务本身出现了什么问题,而当前压力只是政府政策的原因,政策调整相比发达国家过于频繁,这仅仅是中国特有的问题,有时政府会出台政策,鼓励人们去购房,但很快又会调整政策,限制人们购房,完全是出于政策需要,总是处于鼓励与限制的循环之中。虽然这让我们的业务收入存在很大的波动性,但我们相信公司房收入一定会重新增长,即便不是今年,也会是明年,所以依旧是我们重要的业务线之一。中国棋院杭州分院举办业余等级赛 为成人专设组别  单向收费乃大势所趋,但是靠将监管排斥在外的“生米煮成熟饭”式的准单向收费来实现,注定危害整个电信业的持续发展。电信业自身规律决定了适度监管的必要,尤其对向移动资费这样的基础业务政策的调整,必须由电信监管部门来主导和推行。

tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。

以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。

tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。

tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。

本文中,我们将讨论 tcpdump 最常用的一些功能。

1、在 Linux 中安装 tcpdump

tcpdump 支持多种 Linux 发行版,所以你的系统中很有可能已经安装了它。用下面的命令检查一下是否已经安装了 tcpdump

  1. $ which tcpdump
  2. /usr/sbin/tcpdump

如果还没有安装 tcpdump,你可以用软件包管理器安装它。 例如,在 CentOS 或者 Red Hat Enterprise 系统中,用如下命令安装 tcpdump

  1. $ sudoyum install -y tcpdump

tcpdump 依赖于 libpcap,该库文件用于捕获网络数据包。如果该库文件也没有安装,系统会根据依赖关系自动安装它。

现在你可以开始抓包了。

2、用 tcpdump 抓包

使用 tcpdump 抓包,需要管理员权限,因此下面的示例中绝大多数命令都是以 sudo 开头。

首先,先用 tcpdump -D 命令列出可以抓包的网络接口:

  1. $ sudotcpdump-D
  2. 1.eth0
  3. 2.virbr0
  4. 3.eth1
  5. 4.any(Pseudo-device that captures on all interfaces)
  6. 5.lo[Loopback]

如上所示,可以看到我的机器中所有可以抓包的网络接口。其中特殊接口 any 可用于抓取所有活动的网络接口的数据包。

我们就用如下命令先对 any 接口进行抓包:

  1. $ sudotcpdump-i any
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 09:56:18.293641 IP rhel75.localdomain.ssh>192.168.64.1.56322:Flags[P.], seq 3770820720:3770820916, ack 3503648727, win 309, options [nop,nop,TS val 76577898 ecr 510770929], length 196
  5. 09:56:18.293794 IP 192.168.64.1.56322> rhel75.localdomain.ssh:Flags[.], ack 196, win 391, options [nop,nop,TS val 510771017 ecr 76577898], length 0
  6. 09:56:18.295058 IP rhel75.59883> gateway.domain:2486+ PTR?1.64.168.192.in-addr.arpa.(43)
  7. 09:56:18.310225 IP gateway.domain > rhel75.59883:2486NXDomain*0/1/0(102)
  8. 09:56:18.312482 IP rhel75.49685> gateway.domain:34242+ PTR?28.64.168.192.in-addr.arpa.(44)
  9. 09:56:18.322425 IP gateway.domain > rhel75.49685:34242NXDomain*0/1/0(103)
  10. 09:56:18.323164 IP rhel75.56631> gateway.domain:29904+ PTR?1.122.168.192.in-addr.arpa.(44)
  11. 09:56:18.323342 IP rhel75.localdomain.ssh>192.168.64.1.56322:Flags[P.], seq 196:584, ack 1, win 309, options [nop,nop,TS val 76577928 ecr 510771017], length 388
  12. 09:56:18.323563 IP 192.168.64.1.56322> rhel75.localdomain.ssh:Flags[.], ack 584, win 411, options [nop,nop,TS val 510771047 ecr 76577928], length 0
  13. 09:56:18.335569 IP gateway.domain > rhel75.56631:29904NXDomain*0/1/0(103)
  14. 09:56:18.336429 IP rhel75.44007> gateway.domain:61677+ PTR?98.122.168.192.in-addr.arpa.(45)
  15. 09:56:18.336655 IP gateway.domain > rhel75.44007:61677*1/0/0 PTR rhel75.(65)
  16. 09:56:18.337177 IP rhel75.localdomain.ssh>192.168.64.1.56322:Flags[P.], seq 584:1644, ack 1, win 309, options [nop,nop,TS val 76577942 ecr 510771047], length 1060
  17. ---- SKIPPING LONG OUTPUT -----
  18. 09:56:19.342939 IP 192.168.64.1.56322> rhel75.localdomain.ssh:Flags[.], ack 1752016, win 1444, options [nop,nop,TS val 510772067 ecr 76578948], length 0
  19. ^C
  20. 9003 packets captured
  21. 9010 packets received by filter
  22. 7 packets dropped by kernel
  23. $

tcpdump 会持续抓包直到收到中断信号。你可以按 Ctrl+C 来停止抓包。正如上面示例所示,tcpdump 抓取了超过 9000 个数据包。在这个示例中,由于我是通过 ssh 连接到服务器,所以 tcpdump 也捕获了所有这类数据包。-c 选项可以用于限制 tcpdump 抓包的数量:

  1. $ sudotcpdump-i any -c 5
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 11:21:30.242740 IP rhel75.localdomain.ssh>192.168.64.1.56322:Flags[P.], seq 3772575680:3772575876, ack 3503651743, win 309, options [nop,nop,TS val 81689848 ecr 515883153], length 196
  5. 11:21:30.242906 IP 192.168.64.1.56322> rhel75.localdomain.ssh:Flags[.], ack 196, win 1443, options [nop,nop,TS val 515883235 ecr 81689848], length 0
  6. 11:21:30.244442 IP rhel75.43634> gateway.domain:57680+ PTR?1.64.168.192.in-addr.arpa.(43)
  7. 11:21:30.244829 IP gateway.domain > rhel75.43634:57680NXDomain0/0/0(43)
  8. 11:21:30.247048 IP rhel75.33696> gateway.domain:37429+ PTR?28.64.168.192.in-addr.arpa.(44)
  9. 5 packets captured
  10. 12 packets received by filter
  11. 0 packets dropped by kernel
  12. $

如上所示,tcpdump 在抓取 5 个数据包后自动停止了抓包。这在有些场景中十分有用 —— 比如你只需要抓取少量的数据包用于分析。当我们需要使用过滤规则抓取特定的数据包(如下所示)时,-c 的作用就十分突出了。

在上面示例中,tcpdump 默认是将 IP 地址和端口号解析为对应的接口名以及服务协议名称。而通常在网络故障排查中,使用 IP 地址和端口号更便于分析问题;用 -n 选项显示 IP 地址,-nn 选项显示端口号:

  1. $ sudotcpdump-i any -c5 -nn
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 23:56:24.292206 IP 192.168.64.28.22>192.168.64.1.35110:Flags[P.], seq 166198580:166198776, ack 2414541257, win 309, options [nop,nop,TS val 615664 ecr 540031155], length 196
  5. 23:56:24.292357 IP 192.168.64.1.35110>192.168.64.28.22:Flags[.], ack 196, win 1377, options [nop,nop,TS val 540031229 ecr 615664], length 0
  6. 23:56:24.292570 IP 192.168.64.28.22>192.168.64.1.35110:Flags[P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 615664 ecr 540031229], length 372
  7. 23:56:24.292655 IP 192.168.64.1.35110>192.168.64.28.22:Flags[.], ack 568, win 1400, options [nop,nop,TS val 540031229 ecr 615664], length 0
  8. 23:56:24.292752 IP 192.168.64.28.22>192.168.64.1.35110:Flags[P.], seq 568:908, ack 1, win 309, options [nop,nop,TS val 615664 ecr 540031229], length 340
  9. 5 packets captured
  10. 6 packets received by filter
  11. 0 packets dropped by kernel

如上所示,抓取的数据包中显示 IP 地址和端口号。这样还可以阻止 tcpdump 发出 DNS 查找,有助于在网络故障排查中减少数据流量。

现在你已经会抓包了,让我们来分析一下这些抓包输出的含义吧。

3、理解抓取的报文

tcpdump 能够抓取并解码多种协议类型的数据报文,如 TCP、UDP、ICMP 等等。虽然这里我们不可能介绍所有的数据报文类型,但可以分析下 TCP 类型的数据报文,来帮助你入门。更多有关 tcpdump 的详细介绍可以参考其 亚游wwwag8com帮助手册tcpdump 抓取的 TCP 报文看起来如下:

  1. 08:41:13.729687 IP 192.168.64.28.22>192.168.64.1.41916:Flags[P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 372

具体的字段根据不同的报文类型会有不同,但上面这个例子是一般的格式形式。

第一个字段 08:41:13.729687 是该数据报文被抓取的系统本地时间戳。

然后,IP 是网络层协议类型,这里是 IPv4,如果是 IPv6 协议,该字段值是 IP6

192.168.64.28.22 是源 ip 地址和端口号,紧跟其后的是目的 ip 地址和其端口号,这里是 192.168.64.1.41916

在源 IP 和目的 IP 之后,可以看到是 TCP 报文标记段 Flags [P.]。该字段通常取值如下:

< 如显示不全,请左右滑动 >

标志类型描述
S SYN Connection Start
F FIN Connection Finish
P PUSH Data push
R RST Connection reset
. ACK Acknowledgment

该字段也可以是这些值的组合,例如 [S.] 代表 SYN-ACK 数据包。

接下来是该数据包中数据的序列号。对于抓取的第一个数据包,该字段值是一个绝对数字,后续包使用相对数值,以便更容易查询跟踪。例如此处 seq 196:568 代表该数据包包含该数据流的第 196 到 568 字节。

接下来是 ack 值:ack 1。该数据包是数据发送方,ack 值为 1。在数据接收方,该字段代表数据流上的下一个预期字节数据,例如,该数据流中下一个数据包的 ack 值应该是 568。

接下来字段是接收窗口大小 win 309,它表示接收缓冲区中可用的字节数,后跟 TCP 选项如 MSS(最大段大小)或者窗口比例值。更详尽的 TCP 协议内容请参考 Transmission Control Protocol(TCP) Parameters

最后,length 372 代表数据包有效载荷字节长度。这个长度和 seq 序列号中字节数值长度是不一样的。

现在让我们学习如何过滤数据报文以便更容易的分析定位问题。

4、过滤数据包

正如上面所提,tcpdump 可以抓取很多种类型的数据报文,其中很多可能和我们需要查找的问题并没有关系。举个例子,假设你正在定位一个与 web 服务器连接的网络问题,就不必关系 SSH 数据报文,因此在抓包结果中过滤掉 SSH 报文可能更便于你分析问题。

tcpdump 有很多参数选项可以设置数据包过滤规则,例如根据源 IP 以及目的 IP 地址,端口号,协议等等规则来过滤数据包。下面就介绍一些最常用的过滤方法。

协议

在命令中指定协议便可以按照协议类型来筛选数据包。比方说用如下命令只要抓取 ICMP 报文:

  1. $ sudotcpdump-i any -c5 icmp
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes

然后再打开一个终端,去 ping 另一台机器:

  1. $ ping opensource.com
  2. PING opensource.com (54.204.39.132)56(84) bytes of data.
  3. 64 bytes from ec2-54-204-39-132.compute-1.amazonaws.com (54.204.39.132): icmp_seq=1 ttl=47time=39.6 ms

回到运行 tcpdump 命令的终端中,可以看到它筛选出了 ICMP 报文。这里 tcpdump 并没有显示有关 opensource.com 的域名解析数据包:

  1. 09:34:20.136766 IP rhel75 > ec2-54-204-39-132.compute-1.amazonaws.com: ICMP echo request,id20361, seq 1, length 64
  2. 09:34:20.176402 IP ec2-54-204-39-132.compute-1.amazonaws.com > rhel75: ICMP echo reply,id20361, seq 1, length 64
  3. 09:34:21.140230 IP rhel75 > ec2-54-204-39-132.compute-1.amazonaws.com: ICMP echo request,id20361, seq 2, length 64
  4. 09:34:21.180020 IP ec2-54-204-39-132.compute-1.amazonaws.com > rhel75: ICMP echo reply,id20361, seq 2, length 64
  5. 09:34:22.141777 IP rhel75 > ec2-54-204-39-132.compute-1.amazonaws.com: ICMP echo request,id20361, seq 3, length 64
  6. 5 packets captured
  7. 5 packets received by filter
  8. 0 packets dropped by kernel

主机

host 参数只抓取和特定主机相关的数据包:

  1. $ sudotcpdump-i any -c5 -nn host 54.204.39.132
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 09:54:20.042023 IP 192.168.122.98.39326>54.204.39.132.80:Flags[S], seq 1375157070, win 29200, options [mss 1460,sackOK,TS val 122350391 ecr 0,nop,wscale 7], length 0
  5. 09:54:20.088127 IP 54.204.39.132.80>192.168.122.98.39326:Flags[S.], seq 1935542841, ack 1375157071, win 28960, options [mss 1460,sackOK,TS val 522713542 ecr 122350391,nop,wscale 9], length 0
  6. 09:54:20.088204 IP 192.168.122.98.39326>54.204.39.132.80:Flags[.], ack 1, win 229, options [nop,nop,TS val 122350437 ecr 522713542], length 0
  7. 09:54:20.088734 IP 192.168.122.98.39326>54.204.39.132.80:Flags[P.], seq 1:113, ack 1, win 229, options [nop,nop,TS val 122350438 ecr 522713542], length 112: HTTP: GET / HTTP/1.1
  8. 09:54:20.129733 IP 54.204.39.132.80>192.168.122.98.39326:Flags[.], ack 113, win 57, options [nop,nop,TS val 522713552 ecr 122350438], length 0
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

如上所示,只抓取和显示与 54.204.39.132 有关的数据包。

端口号

tcpdump 可以根据服务类型或者端口号来筛选数据包。例如,抓取和 HTTP 服务相关的数据包:

  1. $ sudotcpdump-i any -c5 -nn port 80
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 09:58:28.790548 IP 192.168.122.98.39330>54.204.39.132.80:Flags[S], seq 1745665159, win 29200, options [mss 1460,sackOK,TS val 122599140 ecr 0,nop,wscale 7], length 0
  5. 09:58:28.834026 IP 54.204.39.132.80>192.168.122.98.39330:Flags[S.], seq 4063583040, ack 1745665160, win 28960, options [mss 1460,sackOK,TS val 522775728 ecr 122599140,nop,wscale 9], length 0
  6. 09:58:28.834093 IP 192.168.122.98.39330>54.204.39.132.80:Flags[.], ack 1, win 229, options [nop,nop,TS val 122599183 ecr 522775728], length 0
  7. 09:58:28.834588 IP 192.168.122.98.39330>54.204.39.132.80:Flags[P.], seq 1:113, ack 1, win 229, options [nop,nop,TS val 122599184 ecr 522775728], length 112: HTTP: GET / HTTP/1.1
  8. 09:58:28.878445 IP 54.204.39.132.80>192.168.122.98.39330:Flags[.], ack 113, win 57, options [nop,nop,TS val 522775739 ecr 122599184], length 0
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

IP 地址/主机名

同样,你也可以根据源 IP 地址或者目的 IP 地址或者主机名来筛选数据包。例如抓取源 IP 地址为 192.168.122.98 的数据包:

  1. $ sudotcpdump-i any -c5 -nn src 192.168.122.98
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 10:02:15.220824 IP 192.168.122.98.39436>192.168.122.1.53:59332+ A? opensource.com.(32)
  5. 10:02:15.220862 IP 192.168.122.98.39436>192.168.122.1.53:20749+ AAAA? opensource.com.(32)
  6. 10:02:15.364062 IP 192.168.122.98.39334>54.204.39.132.80:Flags[S], seq 1108640533, win 29200, options [mss 1460,sackOK,TS val 122825713 ecr 0,nop,wscale 7], length 0
  7. 10:02:15.409229 IP 192.168.122.98.39334>54.204.39.132.80:Flags[.], ack 669337581, win 229, options [nop,nop,TS val 122825758 ecr 522832372], length 0
  8. 10:02:15.409667 IP 192.168.122.98.39334>54.204.39.132.80:Flags[P.], seq 0:112, ack 1, win 229, options [nop,nop,TS val 122825759 ecr 522832372], length 112: HTTP: GET / HTTP/1.1
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

注意此处示例中抓取了来自源 IP 地址 192.168.122.98 的 53 端口以及 80 端口的数据包,它们的应答包没有显示出来因为那些包的源 IP 地址已经变了。

相对的,使用 dst 就是按目的 IP/主机名来筛选数据包。

  1. $ sudotcpdump-i any -c5 -nn dst 192.168.122.98
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 10:05:03.572931 IP 192.168.122.1.53>192.168.122.98.47049:22481/0/0 A 54.204.39.132(48)
  5. 10:05:03.572944 IP 192.168.122.1.53>192.168.122.98.47049:337700/0/0(32)
  6. 10:05:03.621833 IP 54.204.39.132.80>192.168.122.98.39338:Flags[S.], seq 3474204576, ack 3256851264, win 28960, options [mss 1460,sackOK,TS val 522874425 ecr 122993922,nop,wscale 9], length 0
  7. 10:05:03.667767 IP 54.204.39.132.80>192.168.122.98.39338:Flags[.], ack 113, win 57, options [nop,nop,TS val 522874436 ecr 122993972], length 0
  8. 10:05:03.672221 IP 54.204.39.132.80>192.168.122.98.39338:Flags[P.], seq 1:643, ack 113, win 57, options [nop,nop,TS val 522874437 ecr 122993972], length 642: HTTP: HTTP/1.1302Found
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

多条件筛选

当然,可以使用多条件组合来筛选数据包,使用 and 以及 or 逻辑操作符来创建过滤规则。例如,筛选来自源 IP 地址 192.168.122.98 的 HTTP 数据包:

  1. $ sudotcpdump-i any -c5 -nn src 192.168.122.98and port 80
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 10:08:00.472696 IP 192.168.122.98.39342>54.204.39.132.80:Flags[S], seq 2712685325, win 29200, options [mss 1460,sackOK,TS val 123170822 ecr 0,nop,wscale 7], length 0
  5. 10:08:00.516118 IP 192.168.122.98.39342>54.204.39.132.80:Flags[.], ack 268723504, win 229, options [nop,nop,TS val 123170865 ecr 522918648], length 0
  6. 10:08:00.516583 IP 192.168.122.98.39342>54.204.39.132.80:Flags[P.], seq 0:112, ack 1, win 229, options [nop,nop,TS val 123170866 ecr 522918648], length 112: HTTP: GET / HTTP/1.1
  7. 10:08:00.567044 IP 192.168.122.98.39342>54.204.39.132.80:Flags[.], ack 643, win 239, options [nop,nop,TS val 123170916 ecr 522918661], length 0
  8. 10:08:00.788153 IP 192.168.122.98.39342>54.204.39.132.80:Flags[F.], seq 112, ack 643, win 239, options [nop,nop,TS val 123171137 ecr 522918661], length 0
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

你也可以使用括号来创建更为复杂的过滤规则,但在 shell 中请用引号包含你的过滤规则以防止被识别为 shell 表达式:

  1. $ sudotcpdump-i any -c5 -nn "port 80 and (src 192.168.122.98 or src 54.204.39.132)"
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 10:10:37.602214 IP 192.168.122.98.39346>54.204.39.132.80:Flags[S], seq 871108679, win 29200, options [mss 1460,sackOK,TS val 123327951 ecr 0,nop,wscale 7], length 0
  5. 10:10:37.650651 IP 54.204.39.132.80>192.168.122.98.39346:Flags[S.], seq 854753193, ack 871108680, win 28960, options [mss 1460,sackOK,TS val 522957932 ecr 123327951,nop,wscale 9], length 0
  6. 10:10:37.650708 IP 192.168.122.98.39346>54.204.39.132.80:Flags[.], ack 1, win 229, options [nop,nop,TS val 123328000 ecr 522957932], length 0
  7. 10:10:37.651097 IP 192.168.122.98.39346>54.204.39.132.80:Flags[P.], seq 1:113, ack 1, win 229, options [nop,nop,TS val 123328000 ecr 522957932], length 112: HTTP: GET / HTTP/1.1
  8. 10:10:37.692900 IP 54.204.39.132.80>192.168.122.98.39346:Flags[.], ack 113, win 57, options [nop,nop,TS val 522957942 ecr 123328000], length 0
  9. 5 packets captured
  10. 5 packets received by filter
  11. 0 packets dropped by kernel

该例子中我们只抓取了来自源 IP 为 192.168.122.98 或者 54.204.39.132 的 HTTP (端口号80)的数据包。使用该方法就很容易抓取到数据流中交互双方的数据包了。

5、检查数据包内容

在以上的示例中,我们只按数据包头部的信息来建立规则筛选数据包,例如源地址、目的地址、端口号等等。有时我们需要分析网络连接问题,可能需要分析数据包中的内容来判断什么内容需要被发送、什么内容需要被接收等。tcpdump 提供了两个选项可以查看数据包内容,-X 以十六进制打印出数据报文内容,-A 打印数据报文的 ASCII 值。

例如,HTTP 请求报文内容如下:

  1. $ sudotcpdump-i any -c10 -nn -A port 80
  2. tcpdump: verbose output suppressed,use-v or-vv for full protocol decode
  3. listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 13:02:14.871803 IP 192.168.122.98.39366>54.204.39.132.80:Flags[S], seq 2546602048, win 29200, options [mss 1460,sackOK,TS val 133625221 ecr 0,nop,wscale 7], length 0
  5. E..<..@.@.....zb6.'....P...@......r............
  6. ............................
  7. 13:02:14.910734 IP 54.204.39.132.80 > 192.168.122.98.39366: Flags [S.], seq 1877348646, ack 2546602049, win 28960, options [mss 1460,sackOK,TS val 525532247 ecr 133625221,nop,wscale 9], length 0
  8. E..<..@./..a6.'...zb.P..o..&...A..q a..........
  9. .R.W.......     ................
  10. 13:02:14.910832 IP 192.168.122.98.39366>54.204.39.132.80:Flags[.], ack 1, win 229, options [nop,nop,TS val 133625260 ecr 525532247], length 0
  11. E..4..@.@.....zb6.'....P...Ao..'...........
  12. .....R.W................
  13. 13:02:14.911808 IP 192.168.122.98.39366>54.204.39.132.80:Flags[P.], seq 1:113, ack 1, win 229, options [nop,nop,TS val 133625261 ecr 525532247], length 112: HTTP: GET / HTTP/1.1
  14. E.....@.@..1..zb6.'....P...Ao..'...........
  15. .....R.WGET / HTTP/1.1
  16. User-Agent:Wget/1.14(linux-gnu)
  17. Accept:*/*
  18. Host: opensource.com
  19. Connection: Keep-Alive
  20. ................
  21. 13:02:14.951199 IP 54.204.39.132.80 > 192.168.122.98.39366: Flags [.], ack 113, win 57, options [nop,nop,TS val 525532257 ecr 133625261], length 0
  22. E..4.F@./.."6.'...zb.P..o..'.......9.2.....
  23. .R.a....................
  24. 13:02:14.955030 IP 54.204.39.132.80 > 192.168.122.98.39366: Flags [P.], seq 1:643, ack 113, win 57, options [nop,nop,TS val 525532258 ecr 133625261], length 642: HTTP/1.1 302 Found
  25. E....G@./...6.'...zb.P..o..'.......9.......
  26. .R.b....HTTP/1.1 302 Found
  27. Server: nginx
  28. Date: Sun, 23 Sep 2018 17:02:14 GMT
  29. Content-Type: text/html; charset=iso-8859-1
  30. Content-Length: 207
  31. X-Content-Type-Options: nosniff
  32. Location: /opensourced35ccom/
  33. Cache-Control: max-age=1209600
  34. Expires: Sun, 07 Oct 2018 17:02:14 GMT
  35. X-Request-ID: v-6baa3acc-bf52-11e8-9195-22000ab8cf2d
  36. X-Varnish: 632951979
  37. Age: 0
  38. Via: 1.1 varnish (Varnish/5.2)
  39. X-Cache: MISS
  40. Connection: keep-alive
  41. <!DOCTYPE HTML PUBLIC "-/IETF/DTD HTML 2.0/EN">
  42. <html><head>
  43. <title>302 Found</title>
  44. </head><body>
  45. <h1>Found</h1>
  46. <p>The document has moved <a href="/opensourced35ccom/">here</a>.</p>
  47. </body></html>
  48. ................
  49. 13:02:14.955083 IP 192.168.122.98.39366 > 54.204.39.132.80: Flags [.], ack 643, win 239, options [nop,nop,TS val 133625304 ecr 525532258], length 0
  50. E..4..@.@.....zb6.'....P....o..............
  51. .....R.b................
  52. 13:02:15.195524 IP 192.168.122.98.39366 > 54.204.39.132.80: Flags [F.], seq 113, ack 643, win 239, options [nop,nop,TS val 133625545 ecr 525532258], length 0
  53. E..4..@.@.....zb6.'....P....o..............
  54. .....R.b................
  55. 13:02:15.236592 IP 54.204.39.132.80 > 192.168.122.98.39366: Flags [F.], seq 643, ack 114, win 57, options [nop,nop,TS val 525532329 ecr 133625545], length 0
  56. E..4.H@./.. 6.'...zb.P..o..........9.I.....
  57. .R......................
  58. 13:02:15.236656 IP 192.168.122.98.39366 > 54.204.39.132.80: Flags [.], ack 644, win 239, options [nop,nop,TS val 133625586 ecr 525532329], length 0
  59. E..4..@.@.....zb6.'....P....o..............
  60. .....R..................
  61. 10 packets captured
  62. 10 packets received by filter
  63. 0 packets dropped by kernel

这对定位一些普通 HTTP 调用 API 接口的问题很有用。当然如果是加密报文,这个输出也就没多大用了。

6、保存抓包数据

tcpdump 提供了保存抓包数据的功能以便后续分析数据包。例如,你可以夜里让它在那里抓包,然后早上起来再去分析它。同样当有很多数据包时,显示过快也不利于分析,将数据包保存下来,更有利于分析问题。

使用 -w 选项来保存数据包而不是在屏幕上显示出抓取的数据包:

  1. $ sudotcpdump-i any -c10 -nn -w webserver.pcap port 80
  2. [sudo] password for ricardo:
  3. tcpdump: listening on any,link-type LINUX_SLL (Linux cooked), capture size262144 bytes
  4. 10 packets captured
  5. 10 packets received by filter
  6. 0 packets dropped by kernel

该命令将抓取的数据包保存到文件 webserver.pcap。后缀名 pcap 表示文件是抓取的数据包格式。

正如示例中所示,保存数据包到文件中时屏幕上就没有任何有关数据报文的输出,其中 -c10 表示抓取到 10 个数据包后就停止抓包。如果想有一些反馈来提示确实抓取到了数据包,可以使用 -v 选项。

tcpdump 将数据包保存在二进制文件中,所以不能简单的用文本编辑器去打开它。使用 -r 选项参数来阅读该文件中的报文内容:

  1. $ tcpdump-nn -r webserver.pcap
  2. reading fromfile webserver.pcap,link-type LINUX_SLL (Linux cooked)
  3. 13:36:57.679494 IP 192.168.122.98.39378>54.204.39.132.80:Flags[S], seq 3709732619, win 29200, options [mss 1460,sackOK,TS val 135708029 ecr 0,nop,wscale 7], length 0
  4. 13:36:57.718932 IP 54.204.39.132.80>192.168.122.98.39378:Flags[S.], seq 1999298316, ack 3709732620, win 28960, options [mss 1460,sackOK,TS val 526052949 ecr 135708029,nop,wscale 9], length 0
  5. 13:36:57.719005 IP 192.168.122.98.39378>54.204.39.132.80:Flags[.], ack 1, win 229, options [nop,nop,TS val 135708068 ecr 526052949], length 0
  6. 13:36:57.719186 IP 192.168.122.98.39378>54.204.39.132.80:Flags[P.], seq 1:113, ack 1, win 229, options [nop,nop,TS val 135708068 ecr 526052949], length 112: HTTP: GET / HTTP/1.1
  7. 13:36:57.756979 IP 54.204.39.132.80>192.168.122.98.39378:Flags[.], ack 113, win 57, options [nop,nop,TS val 526052959 ecr 135708068], length 0
  8. 13:36:57.760122 IP 54.204.39.132.80>192.168.122.98.39378:Flags[P.], seq 1:643, ack 113, win 57, options [nop,nop,TS val 526052959 ecr 135708068], length 642: HTTP: HTTP/1.1302Found
  9. 13:36:57.760182 IP 192.168.122.98.39378>54.204.39.132.80:Flags[.], ack 643, win 239, options [nop,nop,TS val 135708109 ecr 526052959], length 0
  10. 13:36:57.977602 IP 192.168.122.98.39378>54.204.39.132.80:Flags[F.], seq 113, ack 643, win 239, options [nop,nop,TS val 135708327 ecr 526052959], length 0
  11. 13:36:58.022089 IP 54.204.39.132.80>192.168.122.98.39378:Flags[F.], seq 643, ack 114, win 57, options [nop,nop,TS val 526053025 ecr 135708327], length 0
  12. 13:36:58.022132 IP 192.168.122.98.39378>54.204.39.132.80:Flags[.], ack 644, win 239, options [nop,nop,TS val 135708371 ecr 526053025], length 0
  13. $

这里不需要管理员权限 sudo 了,因为此刻并不是在网络接口处抓包。

你还可以使用我们讨论过的任何过滤规则来过滤文件中的内容,就像使用实时数据一样。 例如,通过执行以下命令从源 IP 地址 54.204.39.132 检查文件中的数据包:

  1. $ tcpdump-nn -r webserver.pcap src 54.204.39.132
  2. reading fromfile webserver.pcap,link-type LINUX_SLL (Linux cooked)
  3. 13:36:57.718932 IP 54.204.39.132.80>192.168.122.98.39378:Flags[S.], seq 1999298316, ack 3709732620, win 28960, options [mss 1460,sackOK,TS val 526052949 ecr 135708029,nop,wscale 9], length 0
  4. 13:36:57.756979 IP 54.204.39.132.80>192.168.122.98.39378:Flags[.], ack 113, win 57, options [nop,nop,TS val 526052959 ecr 135708068], length 0
  5. 13:36:57.760122 IP 54.204.39.132.80>192.168.122.98.39378:Flags[P.], seq 1:643, ack 113, win 57, options [nop,nop,TS val 526052959 ecr 135708068], length 642: HTTP: HTTP/1.1302Found
  6. 13:36:58.022089 IP 54.204.39.132.80>192.168.122.98.39378:Flags[F.], seq 643, ack 114, win 57, options [nop,nop,TS val 526053025 ecr 135708327], length 0

下一步做什么?

以上的基本功能已经可以帮助你使用强大的 tcpdump 抓包工具了。更多的内容请参考 亚游wwwag8comtcpdump 网站 以及它的 亚游wwwag8com帮助文件

tcpdump 命令行工具为分析网络流量数据包提供了强大的灵活性。如果需要使用图形工具来抓包请参考 亚游wwwag8comWireshark

Wireshark 还可以用来读取 tcpdump 保存的 pcap 文件。你可以使用 tcpdump 命令行在没有 GUI 界面的远程机器上抓包然后在 Wireshark 中分析数据包。

via: 亚游wwwag8com/opensourced35ccom/article/18/10/introduction-tcpdump

作者:亚游wwwag8comRicardo Gerardi 选题:亚游wwwag8comlujun9972 译者:jrg 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

Linux公社的RSS地址/wwwd35clinuxidcd35ccom/rssFeed.aspx

本文永久更新链接地址/wwwd35clinuxidcd35ccom/Linux/2018-11/155167.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
大动作!中国研发“超级高铁” 理论时速达1000公里 两名工人被垮塌泥土掩埋 50多名武警徒手挖人(图) 詹姆斯杜兰特霸屏!全NBA30个得分王他俩抢走22 人民日报评把星座当信仰:星座中找不到引路星光 这位火透了的严书记被查 网友:“严夫人”立头功 德媒:新加坡或将两种兰花命名\"特朗普\"与\"金正恩… 陈水扁祝寿李登辉挨批 狡辩:我不知他哪天生日 友谊的小船要翻?克林顿之女:伊万卡应接受审查 球迷热议权健虐全北:看着解气!足协杯冠军别去了 2月中国制造业PMI为50.3% 经济增长态势未变 欧文缺阵绿军遭逆转 比尔34分奇才双加时过关 滴滴否认网约车费上涨 只是补贴折扣少了
微软量子开发套件更新:现已支持macOS和Linux 叔叔:纳达尔和伤病斗争十余年 一直服止痛药 两大指标精准度达100% 接下来5日将决定今年市场走势 西部如地狱!18战16胜的他们却只能排第10 逃过一劫 马航客机空速表突然失灵险些再酿大祸 研究显示:国际象棋棋手比普通人寿命长7.7年 夏志宏:有靠谱的大学排名吗? 德媒:美方保护主义做法损人不利己 德国恐遭连累 揭秘国足热身对手为何更换 缅甸暂停联赛派最强阵 西藏那曲市双湖县发生3.4级地震 震源深度9千米 身份证新规来了 将影响每个人 两会知多少:政协章程是怎么来的?
男子象甲杭州环境集团阵容出炉 王天一申鹏率队 人工智能长路漫漫?很难拥有10岁儿童的常识分辨能力 年轻人你该买房还是租房?专家这样回答 延边官方发公告声援亚泰 不能为一己之益铤而走险 刘修文:人大预算审查监督向支出预算和政策拓展 获利9.45亿被罚56.7亿 这家公司到底干了什么? 被骂的最惨的穆帅照样杀遍全英超 曼联唯一核心 教育部:严查中小学教师逼迫学生参加校外培训班 官方:青海格尔木和德令哈光伏领跑基地被暂停建设 平一场都不行!我们对瓜帅和穆帅真的很严格 城管抽梯案涉事文印店老板:春节会去死者家拜年 印度新型潜艇入役 印媒:尚不能与中国潜艇抗衡 天壤评LG杯首局:谢尔豪强手连发 井山一挖致败 亚游wwwag8com