查看: 3275|回复: 0

Tcpdump的使用

字体大小: 正常放大

韩冰

823 主题	3 听众	4048 积分

我的地盘我做主

该用户从未签到

电梯直达

1^#

发表于 2005-3-20 13:48 |只看该作者 |倒序浏览

|招呼Ta 关注Ta

作者：李国莉　来源：http://www.eviloctal.com/forum/

! R4 e S5 K, _9 w2 k tcpdump采用命令行方式，它的命令格式为： 7 H' z9 d6 q8 a5 C2 a$ B　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] 4 Q* s$ Q' z. }9 v% S. B8 U8 [5 b　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] % I: z! z d" k5 D% O　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ]

　　1. tcpdump的选项介绍 ; K, p! }: {) f0 l8 l　　　-a 　　　将网络地址和广播地址转变成名字；: m" V, W: |3 P/ O 　　　-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；* J+ x9 u. q3 K& ^ 　　　-dd 　　　将匹配信息包的代码以c语言程序段的格式给出； {8 }9 N0 ]) j/ g* w: G　　　-ddd 　　　将匹配信息包的代码以十进制的形式给出； 1 x4 P! h) E' s　　　-e 　　　在输出行打印出数据链路层的头部信息；' a) e+ ~ l1 z! N 　　　-f 　　　将外部的Internet地址以数字的形式打印出来；( M# d* A/ A$ K. ~) n 　　　-l 　　　使标准输出变为缓冲行形式；5 j- w i6 E) N5 w _ 　　　-n 　　　不把网络地址转换成名字； W- k' f) v9 J" F4 Q　　　-t 　　　在输出的每一行不打印时间戳； 1 C. Q, j: J$ K& s: F- L* c　　　-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； " B- M7 B/ d; G( n1 P! M　　　-vv 　　　输出详细的报文信息；; l. s& V" _& G W 　　　-c 　　　在收到指定的包的数目后，tcpdump就会停止；9 }& F. R0 K0 c. F Z2 K1 W 　　　-F 　　　从指定的文件中读取表达式,忽略其它的表达式；: s5 h# `0 r! l 　　　-i 　　　指定监听的网络接口； + p9 e+ d/ H: f+ B7 N; _! q; o　　　-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)； % x* _2 B3 c R. a6 C2 ~- @. t$ r# G　　　-w 　　　直接将包写入文件中，并不分析和打印出来； 8 D) T7 K- n7 o: _; o$ A5 z　　　-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 8 G7 A3 q- c6 L/ @) k! G调用）和snmp（简单　　　　　　　网络管理协议；）

　　2. tcpdump的表达式介绍 1 @1 n/ d- M5 B) C+ r　　　表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表# H8 ?6 l( k3 i 达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会 8 I8 R/ l+ b) z O. F9 H7 [- q被截获。5 u! y" i5 R1 i2 I 　　　在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，0 N, N: i& ]. H7 ] net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 $ z* h, {: p1 n& P/ b202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是& o0 }( M. p5 |6 l( w host. a" n& D2 N# l& X6 ~* {　　　第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src , . ]+ Q1 p) n- Q. b这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27. - Z0 Q1 C, y6 K' V* |48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则 # w$ ?- E2 A$ T5 \" @, y缺省是src or dst关键字。 - U$ X2 h9 `1 U) m1 k' o　　　第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在7 X* J6 C4 ^% d% }6 f# ~! M' } FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和e: Z, \, D8 S Y, o. I; c ther具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。7 X" {0 Y. ~. u' n, O 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会! B- ~ u% L' u* x7 Q 监听所有协议的信息包。- v3 F P1 G% R8 L7 E, R r 　　　除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,$ a9 _1 B5 }% ~# ~ greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'o- X# X E' f" [8 d r' ,'||'；" E+ e' c! i7 f6 Q: w 　　　这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来 . L* u( }9 u, F d; W# q5 e说明。 5 [) `# u: K9 N" ^3 h- y6 A　　　(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包： 8 u& k9 v+ }: V' Y0 ?　　　　#tcpdump host 210.27.48.1 $ M$ Y' Q4 ]; E1 ^　　　(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令" A9 W% w. E" v ：（在命令行中适用　　　括号时，一定要 . J# `$ D4 y9 p* ~　　　　#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) & d( q' m) {+ o 　　　(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包: d9 ~% s) m$ \ ，使用命令：' ~% H; A5 u7 g* X. I! J. J. B 　　　　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2 ) S- i) G2 y) Y! j7 b- v1 _# j9 x　　　(4)如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令： : S5 o3 `) Q. V　　　　#tcpdump tcp port 23 host 210.27.48.1

　　3. tcpdump 的输出结果介绍 ; |( C1 N- ?# V; c) @　　　下面我们介绍几种典型的tcpdump命令的输出信息 ( ^2 A7 Z+ ]/ }　　　(1) 数据链路层头信息 g N+ V9 Z& f: p 　　　使用命令#tcpdump --e host ice) z/ m5 R4 j, G7 i 　　　ice 是一台装有linux的主机，她的MAC地址是0：90：27：58：AF：1A 9 l3 z- }) k- Z& F' _& e8 y　　　H219是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一条- S1 g& M/ X# ? 命令的输出结果如下所示：. A* S9 T/ `' Z% U2 ? U 21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.& [* P' ?" n, i @5 u telne + B- I" U/ k! w2 b2 tt 0:0(0) ack 22535 win 8760 (DF) ) d) N$ l* {0 s% Q h　　分析：21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0 接受该 F; x+ P/ X! \, V9 Y, n数据包，eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它 0 F5 o4 m/ J# j9 H1 v" \表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的8 }) S$ @7 s1 i. H 目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.# _0 L5 ]$ J1 g4 ]# t& ^ telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535; l' j7 K" e2 @( x 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.

　　(2) ARP包的TCPDUMP输出信息 ; C2 o) w- ?# V$ t　　　使用命令#tcpdump arp * Y* x' b3 y8 i　　　得到的输出结果是： ' O# p& n/ I) A　　22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a) & u- Z, k$ u Q* r9 B　　22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af 9 ^7 ]5 q! B+ N7 N ` q:1a) 4 A: h6 H4 i! U8 w" I0 m* O3 w　　分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是 # w6 e( [) O. jARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:5 7 n/ C2 ^" Z" o$ C/ C8:af:1a是主机ICE的MAC地址。

　　(3) TCP包的输出信息, i- N# D: U$ ~- K8 v' Z8 C! e 　　　用TCPDUMP捕获的TCP包的一般输出信息是：7 t9 }. D" y! B: M, _ 　　src > dst: flags data-seqno ack window urgent options : u$ s% [' G, j) Z; @　　src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (F & ~; h! ]3 W2 d/ pIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是 % Q3 G ~9 h1 G6 b" ^下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. ; _* f2 Y6 G$ ?/ XOptions是选项.

　　(4) UDP包的输出信息 & v, a: C6 w3 u5 K9 R4 B% X　　　用TCPDUMP捕获的UDP包的一般输出信息是：5 d |% \( \2 A- v3 x" P% N 　　route.port1 > ice.port2: udp lenth! q4 X! ^* p) R2 l y9 m9 S! `5 l4 k 　　UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机 ( M$ h C6 a& i+ `' \+ x( e2 yICE的port2端口，类型是UDP，包的长度是lenth ( {" S2 W' ?4 r6 @+ |$ U- k 3 I7 w( s7 B/ ~2 l3 j6 O! r% m

! C( P) P2 N; T6 C) [. t: a

zan