tcpdump命令
英文原意是dump traffic on a network ,即截获网络上的数据报,可以根据指定的网络接口来截获不同的数据报 。它会输出在某个网络接口上符合匹配表达式的报内容的描述。当tcpdump完成抓包后,会打印出类似下面的内容:
9 packets captured
56 packets received by filter
17 packets dropped by kernel
56 packets received by filter
17 packets dropped by kernel
当然,在读取网络上的数据包时,得需要特权,比如linux上的超级用户
tcpdump用法
tcpdump -A 用ascii打印出每个包信息,这个对于截获网页很方便
tcpdump -D 打印出当前系统的可用的网络接口。可以用-i选项来指定特定的接口
tcpdump -F 使用文件作为输入的过滤表达式
tcpdump -i 在指定的接口上进行监听。如果未指定,tcpdump会从interface list 中寻找最低数字作为监听的接口
tcpdump -l 使标准输出成为缓冲区,如果你想在截获数据包的同时也查看数据,则可以使用下面命令
tcpdump -l > dat & tail -f dat
tcpdump -S 打印出TCP绝对的序列号
tcpdump -w 将截获的数据包写到一个文件中
如果没有表达式,则网络上所有的包都会被截获
例子
TCP Packets
下面就是TCP 报文的格式
src > dst : flags data-segno ack window urgent options(MSS, 时间戳,窗口规模选项)
1. 要截获特定标志位的TCP 包:
在TCP header中,有8位是控制位
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
有TCP 头的结构中
0 15 31
-------------------------------------------------------------------------
| source port | destination port |
-------------------------------------------------------------------------
| sequence number |
-------------------------------------------------------------------------
| acknowledgment number |
-------------------------------------------------------------------------
| source port | destination port |
-------------------------------------------------------------------------
| sequence number |
-------------------------------------------------------------------------
| acknowledgment number |
--------------------------------------------------------------------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
--------------------------------------------------------------------------
| TCP checksum | urgent pointer |
--------------------------------------------------------------------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
--------------------------------------------------------------------------
| TCP checksum | urgent pointer |
--------------------------------------------------------------------------
8为控制位是TCP头中的第13个 8-bits组
| |
|------------------------|
|C|E|U|A|P|R|S|F|
|------------------------|
|7 5 3 0|
|------------------------|
|C|E|U|A|P|R|S|F|
|------------------------|
|7 5 3 0|
当SYN位为1时
则该8-bits组的二进制表示为:00000010 -> 2
所以只截获TCP中标志位为SYN=1的表达式为
tcpdump -i 2 tcp[13]==2
tcp[13]==2 就是让TCP数据报中的第13个8bits组的值为2
2. 如果TCP报文中带有SYN-ACK,我们认为他是带SYN的报文,那么该咋截获呢
| |
|------------------------|
|C|E|U|A|P|R|S|F|
|------------------------|
|7 5 3 0|
|------------------------|
|C|E|U|A|P|R|S|F|
|------------------------|
|7 5 3 0|
此时该8bits组的二进制表示为 00010010 ->18
此时应该不是 tcp[13] == 18,这样只能截获ACK-SYN报文,而不能再截获SYN报文啦,这时我们应该要维持SYN所在位的值,可以用上逻辑与运算,即如下
‘tcp[13] & 2 == 2’ ,就可以啦
注意:下面截图的TCP报文的第二条的标志位 [S.]
UDP Packets
UDP 报文的格式为
actibude.who > broadcast.who : udp 84
who 为端口号,artinide,broadcast都是主机的网络地址, 84为UDP数据报的大小
UDP name Server Requests
请求报文的格式为
src > dst : id op? flags qtype qclass name(len)
h2opolo.1538 > helios.domain : 3+ A? ucbvax.berkeley.edu (37)
主机hopolo询问主机helios上的domain服务的地址记录(qtype=A),该机路与ucbvax.berkeley,edu相关联
查询id为3,‘+’表明 recursion-desired flag 被设置,query的长度为37字节,没有包括UDP与IP的头长度
UDP Name Server Responses
src > dst : id op rcode flags a/n/au type class data(len)
helios.domain > h2opolo.1538 : 3 3/3/7 A 128.32.137.3 (273)
该报文是helios响应来自h2opolo的query id 为3,且带有3个answer record,3 个name server records 和 7 个additional records
第一个 answer record 是type A ,它数据的大小为273字节,包括UDP和IP报文头