Linux操作系统之tcpdump抓包工具详解

前言

①tcpdump工具简介：tcpdump是Linux操作系统中的字符界面的数据抓包分析软件。tcpdump可以将网络中传送的数据包完全截获下来提供分析

②tcpdump是一个用于截取网络分组，并输出分组内容的工具。

③用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

④tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

⑤tcpdump基于底层libpcap库开发，tcpdump存在于基本的 FreeBSD系统中，由于它需要将网络接口设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。

⑥tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

⑦tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。

⑧tcpdump是Linux中强大的网络数据采集分析工具之一。

⑨tcpdump抓包工具从筛选条件来分类，主要有三大类：

• 针对关键字：譬如主机名（HOST）、网段（NET）、端口（PORT）；
• 针对包的方向：譬如源地址（src）、目的地址（dst），且可以支持逻辑运算符号（src and dst、src or dst）
• 针对协议进行抓包：譬如抓取tcp/udp/imcp等协议的数据包。

tcpdump安装

sudo apt-get install tcpdump

版本查看

tcpdump参数

常用参数选项说明：

tcpdump 常用命令参数：
 
-D ：展示可供抓包的端口
 
-n ：将网络地址以数字形式展示
 
-nn ：不进行端口名称的转换
 
-i ：后面跟端口，针对该端口进行抓包
 
-w ：后面跟文件名，将抓取的数据包保存至某个文件（一般保存为.pcap/.cap文件格式）
 
-v ：展示数据包详细详细
 
-vv ：展示数据包更详细的信息
 
-e ：展示数据链路层信息，主要是mac地址
 
-c ：要抓取的数据包数量
 
-C ：在将一个原始包写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。
 
-r ：从指定的文件中读取包(这些包一般通过-w生成)
 
-t ：不在每一行中输出时间戳。

高阶参数说明：

tcpdump 高阶命令参数：

-A  以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数
据包时, 可方便查看数据(nt: 即Handy for capturing web pages).

-c  count
    tcpdump将在接受到count个数据包后退出.

-C  file-size (nt: 此选项用于配合-w file 选项使用)
    该选项使得tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size.
 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指
定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size
的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 
1024k字节为1M计算所得, 即1M=1024 ＊ 1024 ＝ 1,048,576)

-d  以容易阅读的形式,在标准输出上打印出编排过的包匹配码, 随后tcpdump停止.(nt | rt: human
 readable, 容易阅读的,通常是指以ascii码来打印一些信息. compiled, 编排过的. packet-matching 
code, 包匹配码,含义未知, 需补充)

-dd 以C语言的形式打印出包匹配码.

-ddd 以十进制数的形式打印出包匹配码(会在包匹配码之前有一个附加的'count'前缀).

-D  打印系统中所有tcpdump可以在其上进行抓包的网络接口. 每一个接口会打印出数字编号, 相应的
接口名字, 以及可能的一个网络接口描述. 其中网络接口名字和数字编号可以用在tcpdump 的-i flag 
选项(nt: 把名字或数字代替flag), 来指定要在其上抓包的网络接口.

    此选项在不支持接口列表命令的系统上很有用(nt: 比如, Windows 系统, 或缺乏 ifconfig -a 
的UNIX系统); 接口的数字编号在windows 2000 或其后的系统中很有用, 因为这些系统上的接口名字
比较复杂, 而不易使用.

    如果tcpdump编译时所依赖的libpcap库太老,-D 选项不会被支持, 因为其中缺乏 pcap_findalldevs()
函数.

-e  每行的打印输出中将包括数据包的数据链路层头部信息

-E  spi@ipaddr algo:secret,...

    可通过spi@ipaddr algo:secret 来解密IPsec ESP包(nt | rt:IPsec Encapsulating Security 
Payload,IPsec 封装安全负载, IPsec可理解为, 一整套对ip数据包的加密协议, ESP 为整个IP 数据包
或其中上层协议部分被加密后的数据,前者的工作模式称为隧道模式; 后者的工作模式称为传输模式 . 
工作原理, 另需补充).

    需要注意的是, 在终端启动tcpdump 时, 可以为IPv4 ESP packets 设置密钥(secret）.

    可用于加密的算法包括des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, 或者没有(none).
默认的是des-cbc(nt: des, Data Encryption Standard, 数据加密标准, 加密算法未知, 另需补充).
secret 为用于ESP 的密钥, 使用ASCII 字符串方式表达. 如果以 0x 开头, 该密钥将以16进制方式读入.

    该选项中ESP 的定义遵循RFC2406, 而不是 RFC1827. 并且, 此选项只是用来调试的, 不推荐以真实
密钥(secret)来使用该选项, 因为这样不安全: 在命令行中输入的secret 可以被其他人通过ps 等命令
查看到.

    除了以上的语法格式(nt: 指spi@ipaddr algo:secret), 还可以在后面添加一个语法输入文件名字
供tcpdump 使用(nt：即把spi@ipaddr algo:secret,... 中...换成一个语法文件名). 此文件在接受到
第一个ESP 包时会打开此文件, 所以最好此时把赋予tcpdump 的一些特权取消(nt: 可理解为, 这样防
范之后, 当该文件为恶意编写时,不至于造成过大损害).

-f  显示外部的IPv4 地址时(nt: foreign IPv4 addresses, 可理解为, 非本机ip地址), 采用数字方式
而不是名字.(此选项是用来对付Sun公司的NIS服务器的缺陷(nt: NIS, 网络信息服务, tcpdump 显示外
部地址的名字时会用到她提供的名称服务): 此NIS服务器在查询非本地地址名字时,常常会陷入无尽的
查询循环).

    由于对外部(foreign)IPv4地址的测试需要用到本地网络接口(nt: tcpdump 抓包时用到的接口)及
其IPv4 地址和网络掩码. 如果此地址或网络掩码不可用, 或者此接口根本就没有设置相应网络地址和
网络掩码(nt: linux 下的 'any' 网络接口就不需要设置地址和掩码, 不过此'any'接口可以收到系统
中所有接口的数据包), 该选项不能正常工作.

-F  file
    使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.

-i  interface

    指定tcpdump 需要监听的接口.  如果没有指定, tcpdump 会从系统接口列表中搜寻编号最小的已
配置好的接口(不包括 loopback 接口).一但找到第一个符合条件的接口, 搜寻马上结束.

    在采用2.2版本或之后版本内核的Linux 操作系统上, 'any' 这个虚拟网络接口可被用来接收所有
网络接口上的数据包(nt: 这会包括目的是该网络接口的, 也包括目的不是该网络接口的). 需要注意的
是如果真实网络接口不能工作在'混杂'模式(promiscuous)下,则无法在'any'这个虚拟的网络接口上抓
取其数据包.

    如果 -D 标志被指定, tcpdump会打印系统中的接口编号，而该编号就可用于此处的interface 参数.

-l  对标准输出进行行缓冲(nt: 使标准输出设备遇到一个换行符就马上把这行的内容打印出来).在需
要同时观察抓包打印以及保存抓包记录的时候很有用. 比如, 可通过以下命令组合来达到此目的:
    ``tcpdump  -l  |  tee dat'' 或者 ``tcpdump  -l   > dat  &  tail  -f  dat''.(nt: 前者
使用tee来把tcpdump 的输出同时放到文件dat和标准输出中, 而后者通过重定向操作'>', 把tcpdump
的输出放到dat 文件中, 同时通过tail把dat文件中的内容放到标准输出中)

-L  列出指定网络接口所支持的数据链路层的类型后退出.(nt: 指定接口通过-i 来指定)

-m  module
    通过module 指定的file 装载SMI MIB 模块(nt: SMI，Structure of Management Information, 
管理信息结构MIB, Management Information Base, 管理信息库. 可理解为, 这两者用于SNMP(Simple 
Network Management Protoco)协议数据包的抓取. 具体SNMP 的工作原理未知, 另需补充).

    此选项可多次使用, 从而为tcpdump 装载不同的MIB 模块.

-M  secret  如果TCP 数据包(TCP segments)有TCP-MD5选项(在RFC 2385有相关描述), 则为其摘要的
验证指定一个公共的密钥secret.

-n  不对地址(比如, 主机地址, 端口号)进行数字表示到名字表示的转换.

-N  不打印出host 的域名部分. 比如, 如果设置了此选现, tcpdump 将会打印'nic' 而不是 'nic.ddn.mil'.


-O  不启用进行包匹配时所用的优化代码. 当怀疑某些bug是由优化代码引起的, 此选项将很有用.

-p  一般情况下, 把网络接口设置为非'混杂'模式. 但必须注意 , 在特殊情况下此网络接口还是会以
'混杂'模式来工作； 从而, '-p' 的设与不设, 不能当做以下选现的代名词:'ether host {local-hw-add}'
 或  'ether broadcast'(nt: 前者表示只匹配以太网地址为host 的包, 后者表示匹配以太网地址为广
播地址的数据包).

-q  快速(也许用'安静'更好?)打印输出. 即打印很少的协议相关信息, 从而输出行都比较简短.

-R  设定tcpdump 对 ESP/AH 数据包的解析按照 RFC1825而不是RFC1829(nt: AH, 认证头, ESP， 安全负
载封装, 这两者会用在IP包的安全传输机制中). 如果此选项被设置, tcpdump 将不会打印出'禁止中继'
域(nt: relay prevention field). 另外,由于ESP/AH规范中没有规定ESP/AH数据包必须拥有协议版本号
域,所以tcpdump不能从收到的ESP/AH数据包中推导出协议版本号.

-r  file
    从文件file 中读取包数据. 如果file 字段为 '-' 符号, 则tcpdump 会从标准输入中读取包数据.

-S  打印TCP 数据包的顺序号时, 使用绝对的顺序号, 而不是相对的顺序号.(nt: 相对顺序号可理解为, 
相对第一个TCP 包顺序号的差距,比如, 接受方收到第一个数据包的绝对顺序号为232323, 对于后来接
收到的第2个,第3个数据包, tcpdump会打印其序列号为1, 2分别表示与第一个数据包的差距为1 和 2. 
而如果此时-S 选项被设置, 对于后来接收到的第2个, 第3个数据包会打印出其绝对顺序号:232324, 232325).

-s  snaplen
    设置tcpdump的数据包抓取长度为snaplen, 如果不设置默认将会是68字节(而支持网络接口分接头
(nt: NIT, 上文已有描述,可搜索'网络接口分接头'关键字找到那里)的SunOS系列操作系统中默认的也
是最小值是96).68字节对于IP, ICMP(nt: Internet Control Message Protocol,因特网控制报文协议),
 TCP 以及 UDP 协议的报文已足够, 但对于名称服务(nt: 可理解为dns, nis等服务), NFS服务相关的数
据包会产生包截短. 如果产生包截短这种情况, tcpdump的相应打印输出行中会出现''[|proto]''的标志
（proto 实际会显示为被截短的数据包的相关协议层次). 需要注意的是, 采用长的抓取长度(nt: snaplen
比较大), 会增加包的处理时间, 并且会减少tcpdump 可缓存的数据包的数量， 从而会导致数据包的丢失.
 所以, 在能抓取我们想要的包的前提下, 抓取长度越小越好.把snaplen 设置为0 意味着让tcpdump自动
选择合适的长度来抓取数据包.

-T  type
    强制tcpdump按type指定的协议所描述的包结构来分析收到的数据包.  目前已知的type 可取的协议为:
    aodv (Ad-hoc On-demand Distance Vector protocol, 按需距离向量路由协议, 在Ad hoc(点对点模式)网络中使用),
    cnfp (Cisco  NetFlow  protocol),  rpc(Remote Procedure Call), rtp (Real-Time Applications protocol),
    rtcp (Real-Time Applications con-trol protocol), snmp (Simple Network Management Protocol),
    tftp (Trivial File Transfer Protocol, 碎文件协议), vat (Visual Audio Tool, 可用于在internet 上进行电
    视电话会议的应用层协议), 以及wb (distributed White Board, 可用于网络会议的应用层协议).

-t     在每行输出中不打印时间戳

-tt    不对每行输出的时间进行格式处理(nt: 这种格式一眼可能看不出其含义, 如时间戳打
印成1261798315)

-ttt   tcpdump 输出时, 每两行打印之间会延迟一个段时间(以毫秒为单位)

-tttt  在每行打印的时间戳之前添加日期的打印

-u     打印出未加密的NFS 句柄(nt: handle可理解为NFS 中使用的文件句柄, 这将包括文件夹和文件
夹中的文件)

-U    使得当tcpdump在使用-w 选项时, 其文件写入与包的保存同步.(nt: 即, 当每个数据包被保存时,
 它将及时被写入文件中,而不是等文件的输出缓冲已满时才真正写入此文件)

      -U 标志在老版本的libcap库(nt: tcpdump 所依赖的报文捕获库)上不起作用, 因为其中缺乏
pcap_cump_flush()函数.

-v    当分析和打印的时候, 产生详细的输出. 比如, 包的生存时间, 标识, 总长度以及IP包的一些
选项. 这也会打开一些附加的包完整性检测, 比如对IP或ICMP包头部的校验和.

-vv   产生比-v更详细的输出. 比如, NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码.

-vvv  产生比-vv更详细的输出. 比如, telent 时所使用的SB, SE 选项将会被打印, 如果telnet同
时使用的是图形界面,
      其相应的图形选项将会以16进制的方式打印出来(nt: telnet 的SB,SE选项含义未知, 另需补充).

-w    把包数据直接写入文件而不进行分析和打印输出. 这些包数据可在随后通过-r 选项来重新读
入并进行分析和打印.

-W    filecount
      此选项与-C 选项配合使用, 这将限制可打开的文件数目, 并且当文件数据超过这里设置的限
制时, 依次循环替代之前的文件, 这相当于一个拥有filecount 个文件的文件缓冲池. 同时, 该选
项会使得每个文件名的开头会出现足够多并用来占位的0, 这可以方便这些文件被正确的排序.

-x    当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据
(但不包括连接层的头部).总共打印的数据大小不会超过整个数据包的大小与snaplen 中的最小值. 
必须要注意的是, 如果高层协议数据没有snaplen 这么长,并且数据链路层(比如, Ethernet层)有
填充数据, 则这些填充数据也会被打印.(nt: so for link  layers  that pad, 未能衔接理解和
翻译, 需补充 )

-xx   tcpdump 会打印每个包的头部数据, 同时会以16进制打印出每个包的数据, 其中包括数据链
路层的头部.

-X    当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出
每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.

-XX   当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出
每个包的数据, 其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便.

-y    datalinktype
      设置tcpdump 只捕获数据链路层协议类型是datalinktype的数据包

-Z    user
      使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限),
 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID(nt: tcpdump 此处可理解
为tcpdump 运行之后对应的进程)

      此选项也可在编译的时候被设置为默认打开.(nt: 此时user 的取值未知, 需补充)

命令参数使用举例

1、截获主机收到和发出的所有数据包。

命令：

tcpdump

说明：

tcpdump工具截取包默认显示数据包的头部。

普通情况下，直接启动tcpdump工具将监视第一个网络接口上所有流过的数据包。

基础格式：时间 数据包类型 源IP 端口/协议 > 目标IP 端口/协议 协议详细信息

按下Ctrl+C会终止tcpdump命令。且会在结尾处生成统计信息。

2、指定抓包数量：-c参数后跟抓包数量

指定抓取2个数据包。

命令：

tcpdump -c 2

说明：

最后会自动生成统计信息。

3、将抓包信息写入文件：-w参数后跟文件路径

使用-w选项指定记录文件。

一般-w参数后面跟.pacp文件名，将数据包写入pcap文件后使用WireShark工具打开分析数据包更方便。

tcpdump -c 10 -w tcpdump_test.log

说明：

保存的文件不是文本格式，不能直接查看。tcpdump保存的文件的格式是几乎所有主流的抓包工具软件都可以读取。所以可以使用更易读的图形界面工具来查看记录文件。

4、读取记录文件：-r参数后面跟抓包文件名

使用-r选项读取文件。

命令：

tcpdump -r tcpdump_test.log

读取上面抓包后保存的文件内容

5、打印出所有可工作的接口：-D参数

命令：

tcpdump -D

其中网卡为eth0。

6、指定监控的网卡：-i参数

命令：

tcpdump -i eth0

如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0。

7、显示更详细的数据包信息：-v参数或者-vv参数

参数-v，-vv可以显示更详细的抓包信息。

8、不使用域名反解：-n参数

使用-n参数后，tcpdump工具会直接显示IP地址，不会显示域名（与netstat命令相似）。

9、增加抓包时间戳：-tttt参数

tcpdump工具的所有输出打印行中都会默认包含时间戳信息； 时间戳信息的显示格式如下

hh:mm:ss.frac (nt: 小时:分钟:秒.)

此时间戳的精度与内核时间精度一致,　反映的是内核第一次看到对应数据包的时间；而数据包从物理线路传递到内核的时间, 以及内核花费在此包上的中断处理时间都没有算进来；

使用-tttt选项，抓包结果中将包含抓包日期：

命令：

tcpdump -tttt

10、显示MAC地址：-e参数

显示通信双方的源主机MAC地址以及目的主机的MAC地址。

命令：

tcpdump host 172.16.0.105 -c 2 -n -vv -e -tttt

tcpdump工具条件过滤举例

1、过滤：指定需要抓取的协议

tcpdump可以只抓某种协议的包，支持指定以下协议：ip、ip6、arp、tcp、udp、wlan等。

命令：

tcpdump udp

tcpdump icmp

tcpdump tcp

tcpdump arp

2、过滤：指定协议的端口号

使用port参数，用于指定端口号。

命令：

tcpdump tcp port 80

使用portrange参数，用于指定端口范围。

命令：

tcpdump tcp portrange 1-1024

3、过滤：指定源与目标

①src 表示源：src port；src host

②dst 表示目标：dst port；dst host

命令：指定源IP端口

tcpdump src port 8080

命令：指定目标IP端口

tcpdump dst port 80

命令：指定源IP地址

tcpdump src host 172.16.1.166

命令：指定目标IP地址

tcpdump dst host 172.16.1.166

4、过滤：指定特定主机的消息包

使用host指定需要监听的主机。

命令：

tcpdump host 192.168.1.113

 注意：若使用了host参数使用了计算机名或域名。例tcpdump host shi-pc ，则无法再使用-n选项。

5、过滤：指定数据包大小

使用greater（大于）与less（小于）可以指定数据包大小的范围。

例1：只抓取大于1000字节的数据包。

命令：

tcpdump greater 1000

例2：只抓取小于10字节的数据包。

命令：

tcpdump less 10

6、过滤：指定网段进行抓包

例：抓取源IP从192.168.0.0/24网段来的，访问本机80端口的数据包。

命令：

tcpdump -i eth0 port 80 and src net 192.168.0.0/24

7、过滤：根据mac地址进行抓包

src 00:0c:29:ae:89:5d ：是指源mac地址为：00:0c:29:ae:89:5d 

ether：指icmp协议中没有源ip和目的ip，所以需要依赖于ether 协议。

命令：

tcpdump -i eth0 ether src  00:0c:29:ae:89:5d

tcpdump工具逻辑表达式举例

使用基本逻辑组合拼装出更精细的过滤条件。

1、逻辑与

逻辑与关系，使用and。

命令：

tcpdump tcp and host 192.168.1.112

tcpdump tcp and src 192.168.1.112 and port 8080

2、逻辑或

逻辑或关系，使用or。

命令：

tcpdump host 192.168.1.112 or 192.168.1.113

3、逻辑非

逻辑非关系，使用not，也可以使用 ! 。

注意：若使用 ! 必须与其后面的字符隔开一个空格。

例：当通过ssh协议远程使用tcpdump时，为了避免ssh的数据包的输出，所以一般需要禁止ssh数据包的输出。

命令：

tcpdump not tcp port 22

tcpdump ! tcp port 22

4、括号

括号需要使用在引号内，或转意使用。否则会报错。

例：抓取非22端口，且主机为192.168.1.112 和 192.168.1.113的TCP数据包。

命令：

tcpdump not tcp port 22 and host 192.168.1.112or192.168.1.113

tcpdump "not tcp port 22 and host (192.168.1.112 or 192.168.1.113)"

tcpdump not tcp port 22 and host "(192.168.1.112 or 192.168.1.113)"

对tcmpdump工具输出内容分析

第一列：时:分:秒.毫秒

第二列：网络协议 IP

第三列：发送方的ip地址

第四列：箭头 >， 表示数据流向

第五列：接收方的ip地址

第六列：冒号

第七列：数据包内容，包括Flags 标识符，seq 号，ack 号，win 窗口，数据长度 length，其中 [P.] 表示 PUSH 标志位为 1。

注意：使用 tcpdump 抓包后，会遇到的 TCP 报文 Flags，有以下几种：

[S] : SYN（开始连接）
[P] : PSH（推送数据）
[F] : FIN （结束连接）
[R] : RST（重置连接）
[.] : 没有 Flag （意思是除上面四种类型外的其他情况，有可能是 ACK 也有可能是 URG）。

示例解析

1、截取端口eth0的所有关于主机192.168.137.21的数据包

tcpdump -i eth0 host 192.168.137.21

2、截取所有端口的关于192.169.137.0网段的数据包

tcpdump net 192.168.137.0/24

3、截取端口eth0的关于192.169.137.0网段且端口为23的数据包

tcpdump -i eth0 net 192.168.137.0/24 and port 23

4、 截取主机名为hostname的主机发送的通信数据包

tcpdump src host hostname

5、在端口eth0上截取主机名为hostname的主机接收的的通信数据包

tcpdump -i eth0 dst host hostname

6、在eth0上截取所有tcp协议的数据包

tcpdump -i eth0 tcp

参考链接

​​https://zhuanlan.zhihu.com/p/349692865 ​​

去期待陌生，去拥抱惊喜。