调试利器之tcpdump详解

简介
你执行 man tcpdump 命令,你会看到文档中对tcpdump的说明是“dump traffic on a network”。可见,tcpdump是一个根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的工具之一。
tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中,由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。

安装
在一些Linux发行版中,Tcpdump通常作为标准的软件包被默认安装,执行“tcpdump”命令能够确定是否已安装了Tcpdump。如果没有安装,你可以通过yum命令,rpm包和源码包三种方式来安装tcpdump。tcpdump依赖于libpcap来捕获网络数据包。因此,我们在安装tcpdump的时候必须也得安装libpcap函数包。
下面我们对三种方式逐一做介绍。
yum命令方式安装:

[hailong.xhl@v101080140 ~]$ sudo yum install tcpdump

这种方式是最省时省心的。如果顺利的话,一个命令就可以解决问题。如果安装的软件依赖其他软件包,安装的时候会提示你被依赖的软件包也需要被安装。

rpm包方式安装:
相比yum命令方式,rpm包方式安装会稍微麻烦些。
首先,我们要从网上下载tcpdump的rpm包。

[hailong.xhl@v101080140 ~]$ wget http://dag.wieers.com/redhat/el5/en/x86_64/testing/R

然后,通过rpm命令安装下载的rpm包。

[hailong.xhl@v101080140 ~]$ sudo rpm -ivh ./tcpdump-3.9.4-15.el5.rpm

这种形式的安装是最简单的安装方法,rpm包是将软件编译后打包成二进制的格式,通过rpm命令可以直接安装,不需要修改任何东西。

源码方式安装:
源码方式安装是最繁琐的。但是,如果最新的版本发布后,可能网络上还没有提供rpm包下载,也没有被加入到yum源中。这个时候,我们只能通过源码方式安装。
首先,我们先获取tcpdump的源码。这个源码在tcpdump的官网有下载。官网地址是 http://www.tcpdump.org/。

[hailong.xhl@v101080140 ~]$ wget http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz
[hailong.xhl@v101080140 ~]$ wget http://www.tcpdump.org/release/libpcap-1.6.2.tar.

然后,解压下载的软件包。
因为我们下载的软件包是tar.gz格式的压缩包。我们可以使用tar命令对其解压,才能得到源码。

[hailong.xhl@v101080140 ~]$ tar -xvf ./tcpdump-4.6.2.tar.gz
[hailong.xhl@v101080140 ~]$ tar -xvf ./libpcap-1.6.2.tar.gz

最后,进行源码的安装。
我们先要对libpcap包进行安装。libpcap也依赖于一些其他软件包。如果在安装过程中报一些错误,可能你需要安装相应的依赖包。
在编译安装libpcap时,如果出现 “configure: error: Your operating system's lex is insufficient to compile libpcap.”的错误提示。 说明你没有安装flex软件包。你需要下载安装flex。打开网址 flex.sourceforge.net,下载flex-2.5.35.tar.gz 。然后通过tar -xvf ./flex-2.5.35.tar.gz 命令解压文件。

如果没有编译安装此文件,在编译安装libpcap时,如果出现 "configure: WARNING: don't have both flex and bison; reverting to lex/yacc checking for capable lex... insufficient" 的错误提示。 说明你没有安装bison包。打开网址:ftp.gnu.org/gnu/bison/ 下载 bison-2.4.1.tar.gz 软件包,通过 tar zxvf bison-2.4.1.tar.gz 解压文件。

在编译安装bison-2.4.1时,如果出现 “configure: error: GNU M4 1.4 is required”的错误提示。 说明你没有安装m4。打开网址:ftp.gnu.org/gnu/m4/ 下载 m4-1.4.1.tar.gz软件包,通过 tar zxvf m4-1.4.13.tar.gz 解压文件

而后依次进入目录m4-1.4.1,bison-1.25,flex-2.5.35,libpcap-1.6.2 tcpdump-4.6.2 并执行以下命令:

[hailong.xhl@v101080140 ~]$ ./configure
[hailong.xhl@v101080140 ~]$ make
[hailong.xhl@v101080140 ~]$ sudo make install

命令完成后,libpcap网络捕包接口程序方可使用。
注意:运行此类程序时需要以root的身份运行,因为系统不允许非root用户进行一些网络操作。

基本使用
tcpdump的命令格式如下:
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
[ -C file_size ] [ -F file ]
[ -i interface ] [ -m module ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -Z user ]
[ expression ]

命令行参数介绍:
-A 以ASCII格式打印出所有分组,并将链路层的头最小化。
-c 在收到指定的数量的分组后,tcpdump就会停止。
-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size
中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size
的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。
-d 将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd 将匹配信息包的代码以c语言程序段的格式给出。
-ddd 将匹配信息包的代码以十进制的形式给出。
-D 打印出系统中所有可以用tcpdump截包的网络接口。
-e 在输出行打印出数据链路层的头部信息。
-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。
-f 将外部的Internet地址以数字的形式打印出来。
-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。
-i 指定监听的网络接口。
-l 使标准输出变为缓冲行形式。
-L 列出网络接口的已知数据链路。
-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。
-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。
-n 不把网络地址转换成名字。
-N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。
-t 在输出的每一行不打印时间戳。
-O 不运行分组分组匹配(packet-matching)代码优化程序。
-P 不将网络接口设置成混杂模式。
-q 快速输出。只输出较少的协议信息。
-r 从指定的文件中读取包(这些包一般通过-w选项产生)。
-S 将tcp的序列号以绝对值形式输出,而不是相对值。
-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。
-t 不在每一行中输出时间戳。
-tt 在每一行中输出非格式化的时间戳。
-ttt 输出本行和前面一行之间的时间差。
-tttt 在每一行中输出由date处理的默认格式的时间戳。
-u 输出未解码的NFS句柄。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。
-vv 输出详细的报文信息。
-w 直接将分组写入文件中,而不是不分析并打印出来。
-x 以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.
-xx 以16进制数形式显示每一个报文(包含链路层包头)。
-X 以16进制和ASCII码形式显示每个报文(去掉链路层报头)。
-XX 以16进制和ASCII吗形式显示每个报文(包含链路层报头)。
-y 设置tcpdump 捕获数据链路层协议类型
-Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID

常用参数应用示例与应用场景介绍:

默认启动

[hailong.xhl@v101080140 ~]$ sudo tcpdump

tcpdump如果不加任何参数,启动后默认会监视第一个网络接口上所有流过的数据包。

观察指定接口的网络数据包

[hailong.xhl@v101080140 ~]$ sudo tcpdump -i eth0

想知道本机都有那些网络接口,可以通过tcpdump -D命令查看。如果想监听所有的网络接口,只要把-i参数值改为any就可以了。即,-i any。

以ASCII码方式查看数据包

[hailong.xhl@v101080140 ~]$ sudo tcpdump -A

web程序与其他服务通信多数支持以ASCII格式传输数据。如,向mysql服务端传输的sql语句就是以ASCII码形式进行传输。我们就可以使用-A参数查看传输的具体sql语句。

把数据写入指定文件.

tcpdump -w /tmp/tp.log

数据写入指定文件后,方便使用其他数据包分析软件进行分析。如 wireshark。在后面,我们将涉及如何使用wireshark分析tcpdump的数据包。

设置读取数据包的长度

tcpdump -s 200

默认读取的长度比较短,如果需要查看的信息被截断了。可以指定此参数。

tcpdump能够截获指定接口或任何接口的数据包,这取决于如何对tcpdump进行配置。缺省情况下tcpdump一般会显示任何从网络上截获的数据包,但通常这样的信息量过大,不利于分析。因此,tcpdump提供了使用表达式过滤报文条件,来对截获的数据包进行过滤,从而只显示符合特定需要的数据包。下面我们对tcpdump的表达式做下介绍。
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文符合表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般有如下几种类型的关键字。
第一种是关于类型的关键字,主要包括host,port,net。例如:

#tcpdump host 102.168.1.100

截获来自和发往主机102.168.1.100的所有报文数据。

#tcpdump net 192.168.1.0/24

截获来自和发送到网络地址为192.168.1.0/24的所有主机的报文数据,

#tcpdump port 23

截获所有从23号端口发出,和发往23号端口的报文数据。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明:

#tcpdump src host 102.168.1.100

截获来自主机 102.168.1.100的所有报文数据

#tcpdump dst net 192.168.1.0/24

截获发送到网络地址为192.168.1.0/24的所有主机的报文数据 。既可以是名字(存在/etc/networks中),也可以是网络号.
如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括ip,arp,rarp,tcp,udp等类型。关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

#tcpdump udp

截获所有udp协议的报文数据。

第四种是逻辑运算关键字,主要包括,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,'&&’;或运算 是’or’ ,’││’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

1#tcpdump "dst host 192.168.1.100 and (port 80 or port 8080)"

截获所有发往主机192.168.1.100的80端口或者8080端口的报文数据。

除了这上面几种类型的关键字之外,其他重要的关键字如下:portrange,gateway, broadcast,less,greater。

#tcpdump -n dst portrange 1-1023

截获目标端口在1和1023之间的所有报文数据。

#tcpdump greater 20

截获所有报文长度大于20的报文数据。

输出信息的基本格式:
虽然tcpdump会根据指定参数的不同,输出结果有所差异。但是它基本的输出格式相同:系统时间 来源主机.端口 > 目标主机.端口 数据包参数。下面我们来看下集中典型的输出。
数据链路层头信息:

#tcpdump -e host host2 and port 11211
......
16:49:57.940257 00:16:3e:00:00:2f (oui Unknown) > 00:16:3e:00:6c:fc (oui Unknown), ethertype IPv4 (0x0800), length 110: host1.41684 > host2.11211: P 1036863:1036907(44) ack 839113 win 115 <nop,nop,timestamp 1914224417 1914343362>
......

16:49:57 是时间。 格式为,小时:分:秒。
940257 为ID号。
00:16:3e:00:00:2f 发出数据包主机的mac地址。
oui Unknown 表面mac地址对应的oui(厂商代码)不能识别。
00:16:3e:00:6c:fc 数据包目标主机的mac地址。
ethertype IPv4 (0x0800) 以太网帧所携带的上层数据类型为IPv4。
110 是数据包的长度。
host1.41684 表示发送数据包的主机名是host1,端口是41684。
host2.11211 数据包目标地址主机的主机名是host2,接受数据包的端口是11211。
P 表示发送数据。
(44) 表示发送数据的长度是44个字节。
ack 839113 表示对序列号为839113的包进行响应。
win 115 表示发送的窗口大小为115。

TCP包的输出信息:

#tcpdump tcp port 11211
....
17:31:47.143178 IP host1.48232 > host2.11211: S 307816357:307816357(0) win 14600 <mss 1460,sackOK,timestamp 1916733618 0,nop,wscale 7>
....

17:31:47.143178 是时间
IP 是协议说明。
host1.48232 > 是发送端主机和端口。符号 > 表明数据的传输方向。
host2.11211 接收端的主机名和端口。
S flags是TCP包中的标志信息(S是SYN标志,F(FIN),P(PUSH),R(RST),"."(没有标记))。
第五列 ata-seqno是数据包中的数据的顺序号。
第六列 ack是下次期望的顺序号。
第七列 window是接收缓存的窗口大小。

UDP包的输出信息:
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1 > ice.port2: udp lenth

#tcpdump udp
......
06:03:21.199876 IP v101081217.sqa.zmf.bo56.com.65535 > 224.7.3.1.entextxid: UDP, length 64
......

UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP, 包的长度是lenth。

作业示例:
观察mysql数据通信。

ps:
另外你得了解,为了让网络接口可以让tcpdump监听,所以执行tcpdump时网络接口会启动在“混杂模式(promiscuous)”,所以你会在 /var/log/messages里面看到很多的警告信息,通知你说你的网卡被设置成为混杂模式。别担心,那是正常的。至于更多的应用,请参考man tcpdump了。

时间: 2024-11-05 10:18:22

调试利器之tcpdump详解的相关文章

php调试利器之phpdbg安装配置详解

PHPDBG的目标是成为一个轻量级.强大.易用的PHP调试平台.可以在PHP5.4和之上版本中使用.在php5.6和之上版本将内部集成. 主要功能: – 单步调试 – 灵活的下断点方式(类方法.函数.文件:行.内存地址.opcode) – 可直接调用php的eval – 可以查看当前执行的代码 – 用户空间API(userland/user space) – 方便集成 – 支持指定php配置文件 – JIT全局变量 – readline支持(可选),终端操作更方便 – 远程debug,使用jav

Xdebug PHP 调试器的使用详解

  虽然您可以使用 PHP 为系统管理和传统数据处理之类的任务创建命令行脚本,但是编程语言对 Web 应用程序的性能有主要影响.在使用过程中,每个 PHP 应用程序都驻留在服务器上,并且将通过代理(例如 Apache)调用 PHP 应用程序处理到来的请求.对于每个请求,典型的 PHP Web 应用程序在简短运行后将得到一个 Web 页面或 XML 数据结构. 假定经过简单的运行后,一个分层构造的 Web 应用程序 -- 包括客户机.网络.HTTP 服务器.应用程序代码和底层数据库 -- 将会很难

调试利器之wireshark

简介 Wireshark(前称Ethereal)是一个网络数据包分析软件.网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识.当然,有的人也会"居心叵测"的用它来寻找一

php调试利器之phpdbg

简介 PHPDBG是一个PHP的SAPI模块,可以在不用修改代码和不影响性能的情况下控制PHP的运行环境. PHPDBG的目标是成为一个轻量级.强大.易用的PHP调试平台.可以在PHP5.4和之上版本中使用.在php5.6和之上版本将内部集成. 主要功能: - 单步调试 - 灵活的下断点方式(类方法.函数.文件:行.内存地址.opcode) - 可直接调用php的eval - 可以查看当前执行的代码 - 用户空间API(userland/user space) - 方便集成 - 支持指定php配

段错误调试神器 - Core Dump详解

一.前言: 有的程序可以通过编译, 但在运行时会出现Segment fault(段错误). 这通常都是指针错误引起的. 但这不像编译错误一样会提示到文件某一行, 而是没有任何信息, 使得我们的调试变得困难起来.  gdb: 有一种办法是, 我们用gdb的step, 一步一步寻找. 这放在短小的代码中是可行的, 但要让你step一个上万行的代码, 我想你会从此厌恶程序员这个名字, 而把他叫做调试员. 我们还有更好的办法, 这就是core file.  ulimit: 如果想让系统在信号中断造成的错

红米2手机USB调试模式打开方法详解

1)在你的红米2手机中点击[设置]打开进入找[全部设置]然后我们在打开界面点击[关于手机],进入关于手机后连续点击4次[Android版本]打开进入细节如下图所示. 2)返回[设置]找到[开发者选项]将[USB调试]开启即可.(如下图) 好了现在我们就可以把手机与电脑连接了,此时连接电脑在电脑中的手机助手就会显示连接电脑成功了.

Javascript 调试利器 Firebug使用详解六_javascript技巧

我们测试一下把刚才的4个输出作为一个分组输出,修改代码为: 复制代码 代码如下: console.group('开始分组:'); console.debug('This is console.debug!'); console.info('This is console.info!'); console.warn('This is console.warn!'); console.error('This is console.error!'); console.groupEnd(); 刷新页面看

APP漏洞扫描器之本地拒绝服务检测详解

APP漏洞扫描器之本地拒绝服务检测详解 作者:伊樵@阿里聚安全 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面.本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法. 一.本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据.异常或者畸形数据时没有进行异常捕

JS高级调试技巧:捕获和分析 JavaScript Error详解_javascript技巧

反正只要 JavaScript 出错后刷新不复现,那用户就可以通过刷新解决问题,浏览器不会崩溃,当没有发生过好了.这种假设在 Single Page App 流行之前还是成立的.现在的 Single Page App 运行一段时间后状态复杂无比,用户可能进行了若干输入操作才来到这里的,说刷新就刷新啊?之前的操作岂不要完全重做?所以我们还是有必要捕获和分析这些异常信息的,然后我们就可以修改代码避免影响用户体验. 捕获异常的方式 我们自己写的 throw new Error() 想要捕获当然可以捕获