Linux網(wǎng)絡(luò)協(xié)議分析工具tcpdump和tshark用法

1、Linux 網(wǎng)絡(luò)協(xié)議分析工具 tcpdump 和 tshark 用法 Tcpdump 是網(wǎng)絡(luò)協(xié)議分析的根本工具。 tshark 是大名鼎鼎的開源網(wǎng)絡(luò) 協(xié)議分析工具 wireshark 原名叫ethereal的命令行版本，wireshark 可對(duì)多達(dá)千余種網(wǎng)絡(luò)協(xié)議進(jìn)行解碼分析。 Wireshark 和 tcpdump 均使 用libpcap庫參見libpcap編程教程進(jìn)行網(wǎng)絡(luò)截包。TCPDUMP詳細(xì)manpage參見tcpdump網(wǎng)站。根本用法 Tcpdump的參數(shù)根本分 為兩塊:選項(xiàng)options和過濾器表達(dá)式filter_expression Tcpdump是網(wǎng)絡(luò)協(xié)議分析的根本工具。tsha

2、rk是大名鼎鼎的開源網(wǎng)絡(luò) 協(xié)議分析wireshark 原名叫ethereal的命令行版本，wireshark可 對(duì)多達(dá)千余種網(wǎng)絡(luò)協(xié)議進(jìn)行解碼分析。 Wireshark 和 tcpdump 均使用 libpcap庫參見libpcap編程教程進(jìn)行網(wǎng)絡(luò)截包。TCPDUMP詳細(xì) man page參見tcpdump 網(wǎng)站。根本用法Tcpdump的參數(shù)根本分為兩塊：選項(xiàng)options 和過濾器表達(dá)式 filter_expression。# tcpdump options filter_expression例如# tcpdump -c 100 -i eth0 -w log tcp dst port 5000

3、0其中 options 局部參數(shù)：-c 100 指定截取的包的數(shù)量-i eth0 指定監(jiān)聽哪個(gè)網(wǎng)絡(luò)端口-w log 輸出到名為 log 的文件中( libpcap 格式)filter_expression 參數(shù)為 tcp dst port 50000，即只監(jiān)聽目標(biāo)端口為 50000 的 tcp 包。更多的例子：/* 監(jiān)視目標(biāo)地址為除內(nèi)網(wǎng)地址 (-54)之外的流 量 */# tcpdump dst net not /*監(jiān)視除 瀏覽(端口 80/8080)、SSH(22) POP3 (110)之外的流量，注意在括號(hào)(之前添加轉(zhuǎn)義符, -n和-nn的解釋見

4、隨后*/#tcpdump -n -nn port not (www or 22 or 110)或# tcpdump -n -nn port ! (www or 22 or 110)/*監(jiān)視源主機(jī)MAC地址為00:50:04:BA: 9B的包*/# tcpdump ether src 00:50:04:BA: 9B/*監(jiān)視源主機(jī)為并且目的端口不是tel net的包*/# tcpdump src host and dst port not tel net ip icmp arp rarp禾口 tcp、udp、icmp這些選項(xiàng)等都要放至U第一個(gè)參數(shù)的位置，用來過濾數(shù)據(jù)報(bào)的類型

5、。例如：# tcpdump ip src只過濾數(shù)據(jù)-鏈路層上的IP報(bào)頭# tcpdump udp and src host /只過濾源主機(jī) 的所有udp報(bào)頭TcpDump提供了很多options參數(shù)來讓我們選擇如何處理得到的數(shù)據(jù)，如下所示：-l 將數(shù)據(jù)重定向。 如 tcpdump -l > tcpcap.txt 將得到的數(shù)據(jù)存入tcpcap.txt 文件中。-n 不進(jìn)行 IP 地址到主機(jī)名的轉(zhuǎn)換。如果不使用這一項(xiàng)，當(dāng)系統(tǒng)中存 在某一主機(jī)的主機(jī)名時(shí)， TcpDump 會(huì)把 IP 地址轉(zhuǎn)換為主機(jī)名顯示，就像這樣：ethO v ntc9.1165

6、> ，使用-n 后變成了： ethO v .1165 > 。-nn 不進(jìn)行端口名稱的轉(zhuǎn)換。 上面這條信息使用 -nn 后就變成了：eth0 v ntc9.1165 > 。-N 不打印出默認(rèn)的域名。 還是這條信息 -N 后就是： eth0 vntc9.1165 > router.telnet。-O 不進(jìn)行匹配代碼的優(yōu)化。-t不打印UNIX時(shí)間戳，也就是不顯示時(shí)間。-tt 打印原始的、未格式化過的時(shí)間。-v詳細(xì)的輸出，也就比普通的多了個(gè) TTL和效勞類型。參數(shù)詳解tcpdump 采用命令行方式，它的命令格式為：tcpdump -adeflnNOpqSt

7、vx -c 數(shù)量 -F 文件名 -i 網(wǎng)絡(luò)接口 -r 文件名 -s snaplen -T 類型 -w 文件名 表達(dá)式 -a將網(wǎng)絡(luò)地址和播送地址轉(zhuǎn)變成名字；-d將匹配信息包的代碼以人們能夠理解的匯編格式給出；-dd將匹配信息包的代碼以 c 語言程序段的格式給出；-ddd將匹配信息包的代碼以十進(jìn)制的形式給出；-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息；-f將外部的 Internet 地址以數(shù)字的形式打印出來；-l使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式；-n不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字；-t在輸出的每一行不打印時(shí)間戳；-v輸出一個(gè)稍微詳細(xì)的信息， 例如在 ip 包中可以包括 ttl 和服務(wù)類型的信息；-vv輸出詳細(xì)的報(bào)文信

8、息；-c在收到指定的包的數(shù)目后， tcpdump 就會(huì)停止；-F從指定的文件中讀取表達(dá)式 ,忽略其它的表達(dá)式；-i指定監(jiān)聽的網(wǎng)絡(luò)接口；-r從指定的文件中讀取包 這些包一般通過 -w 選項(xiàng)產(chǎn)生 ；-w直接將包寫入文件中，并不分析和打印出來；-T將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文，常見的類型有 rpc遠(yuǎn)程過程調(diào)用和snmp 簡單網(wǎng)絡(luò)管理協(xié)議；tcpdump 的表達(dá)式介紹 表達(dá)式是一個(gè)正那么表達(dá)式， tcpdump 利用它作為過濾報(bào)文的條件，如 果一個(gè)報(bào)文滿足表 達(dá)式的條件，那么這個(gè)報(bào)文將會(huì)被捕獲。如果沒有給出任何條件，那么網(wǎng) 絡(luò)上所有的信息包將會(huì) 在表達(dá)式中一般如下幾種類型的關(guān)鍵字，一種是關(guān)于

9、類型的關(guān)鍵字， 主要包括 host，net，port, 例如 host ，指明 是一臺(tái)主機(jī)， net 指明是一個(gè)網(wǎng)絡(luò)地址， port 23 指明端口號(hào)是 23。如果沒有指定 類型，缺省的類型是host.第二種是確定傳輸方向的關(guān)鍵字， 主要包括 src , dst ,dst or src, dst and src ,這些關(guān)鍵字指明了傳輸?shù)姆较颉?舉例說明， src 指, 明 ip 包 中源地址是 , dst net 指明目的網(wǎng)絡(luò)地址是 。如果沒有指 明方向關(guān)鍵字，那

10、么缺省是 src or dst 關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi 指明是在FDD I分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò)上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是"ether" 的別名， fddi 和 ether 具有類似的源地址和目的地址， 所以可以將 fddi 協(xié)議包當(dāng)作 ether 的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。 如果沒有指定任 何協(xié)議，那么 tcpdump 將會(huì)監(jiān)聽所有協(xié)議的信息包。 除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下： gateway, broadcast,less,g

11、reater,還有三種邏輯運(yùn)算，取非運(yùn)算是not ' '!',與運(yùn)算是'and','&&' 或運(yùn)算是'or' ,'|' ； 這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要， 下 面舉幾個(gè)例子來說明。(1) 想要截獲所有 的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包： (2) 想要截獲主機(jī) 和主機(jī) 或 的通 信，使用命令：(在命令行中適用 括號(hào)時(shí)，一定要#tcpdump host 210.27.48.

12、1 and ( or )(3) 如果想要獲取主機(jī) 除了和主機(jī) 之外所有 主機(jī)通信的 ip 包，使用命令：#tcpdump ip host and (4) 如果想要獲取主機(jī) 接收或發(fā)出的 telnet 包，使用如下 命令：#tcpdump tcp port 23 host tcpdump 的輸出結(jié)果介紹 下面我們介紹幾種典型的 tcpdump 命令的輸出信息(1) 數(shù)據(jù)鏈路層頭信息 使用命令 #tcpdump -e host iceice 是一臺(tái)裝有 linux 的主機(jī)，她的 M

13、AC 地址是 0：90：27：58：AF： 1AH219是一臺(tái)裝有SOLARIC勺SUN工作站，它的 MAC地址是 & 0: 20: 79: 5B: 46;上一條命令的輸出結(jié)果如下所示：21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60:h219.33357 > ice.telnet 0:0(0) ack 22535 win 8760 (DF)分析：21: 50: 12是顯示的時(shí)間， 847509是ID號(hào)，ethO <表示從網(wǎng)絡(luò)接口 eth0 接受該數(shù)據(jù)包，eth0 >表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送

14、數(shù)據(jù)包，8:0:20:79:5b:46是主 機(jī) H219 的 MAC 地址,它說明是從源地址 H219發(fā)來的數(shù)據(jù)包.0:90:27:58:af:1a是主機(jī)ICE的MAC地址，表示該數(shù)據(jù)包的目的地址是ICE .ip是說明該數(shù)據(jù)包是IP數(shù)據(jù)包,60是數(shù)據(jù)包的長度, h219.33357 > ice.tel net說明該數(shù)據(jù)包是從主機(jī) H219的33357端口發(fā)往主機(jī)ICE的TELNET(2；端口 . ack 22535說明對(duì)序列號(hào)是 222535的包進(jìn)行響應(yīng) . win 8760說明發(fā)送窗口的大小 是 8760.ARP包的TCPDUMP輸出信息使用命令 #tcpdump arp得到的輸出結(jié)果

15、是：22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)分析：22:32:42是時(shí)間戳，802509是ID號(hào)，ethO >說明從主機(jī)發(fā)出該數(shù)據(jù)包,arp說明是ARP請(qǐng)求包，who-has route tell ice說明是主機(jī)ICE請(qǐng)求主機(jī)ROUTE的MAC 地址。0:90:27:58:af:1a是主機(jī)ICE的MAC地址(3) TCP包

16、的輸出信息用TCPDUMP甫獲的TCP包的一般輸出信息是：src > dst: flags data-seqno ack window urgent optionssrc > dst:說明從源地址到目的地址，flags是TCP包中的標(biāo)志信息，S是SYN標(biāo)志,F (FIN), P (PUSH) , R (RST)".沒有標(biāo)記);data-seqno是數(shù)據(jù)包中的數(shù)據(jù)的 順序號(hào),ack是下次期望的順序號(hào) , window 是接收緩存的窗口大小 , urgent 說明數(shù)據(jù) 包中是否有緊急指針 .Options 是選項(xiàng) .UDP包的輸出信息用TCPDUMP捕獲的UDP包的一般輸出信

17、息是：route.port1 > ice.port2: udp lenthUDP十分簡單，上面的輸出行說明從主機(jī) ROUTE勺port1端口發(fā)出的 一個(gè)UDP數(shù)據(jù)包到主機(jī)ICE的port2端口，類型是UDP,包的長度 是 lenthTshark詳細(xì)參數(shù)參見 tshark 的 manpage。/ 列出可監(jiān)聽流量的網(wǎng)絡(luò)接口列表。 tshark 使用 1,2,.等數(shù)字來標(biāo)識(shí) eth0,eth1.# tshark -D/監(jiān)聽接口 ethO上的UDP端口為1234的流量# tshark -f "udp port 1234" -i 1tshark的強(qiáng)悍之處在于對(duì)協(xié)議進(jìn)行完全解碼，甚至對(duì)分片的TCP包進(jìn)行重組再行解碼，例如/ 監(jiān)聽接口 ethO 上目標(biāo)端口為 8O 的 流量，并將 請(qǐng)求頭的 host 和 location 打印# tshark -f "dst port 8O" -T fields-e .host -e .location -i 1其中 -f 參數(shù)指定過濾表達(dá)式即等同 tcpdump 的 filter_expression -T f