Linux网络抓包分析工具介绍(tcpdump+wireshark)

0    136    1

Tags:

👉 本文共约5010个字,系统预计阅读时间或需19分钟。

一、tcpdump

1、作用

tcpdump 指令可列出经过指定网络界面的数据包文件头,可以将网络中传送的数据包的 “头” 完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助你摘取有用信息。

由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备 root 权限的用户可以直接执行它来获取网络上的信息

其他抓包工具

  • wireshark具有图形化和命令行两种版本,可以对 tcpdump 抓的包进行分析,其主要功能就是分析数据包。
  • ngrep它将抓到的包数据以文本形式直接显示出来,适用于包数据包含文本的[抓包]分析 (如 HTTP、MySQL)

2、命令选项

tcpdump [选项] [协议] [数据流方向] [范围]

  • -a 将网络地址和广播地址转变成名字
  • -A 以 ASCII 格式打印出所有分组,并将链路层的头最小化
  • -b 数据链路层上选择协议,包括 ip/arp/rarp/ipx 都在这一层
  • -c 指定收取数据包的次数,即在收到指定数量的数据包后退出 tcpdump
  • -d 将匹配信息包的代码以人们能够理解的汇编格式输出
  • -dd 将匹配信息包的代码以 c 语言程序段的格式输出
  • -ddd 将匹配信息包的代码以十进制的形式输出
  • -D 打印系统中所有可以监控的网络接口
  • -e 在输出行打印出数据链路层的头部信息
  • -f 将外部的 Internet 地址以数字的形式打印出来,即不显示主机名
  • -F 从指定的文件中读取表达式,忽略其他的表达式
  • -i 指定监听网络接口
  • -l 使标准输出变为缓冲形式,可以数据导出到文件
  • -L 列出网络接口已知的数据链路
  • -n 不把网络地址转换为名字
  • -N 不输出主机名中的域名部分,例如 www.baidu.com 只输出 www
  • -nn 不进行端口名称的转换
  • -P 不将网络接口设置为混杂模式
  • -q 快速输出,即只输出较少的协议信息
  • -r 从指定的文件中读取数据,一般是 - w 保存的文件
  • -w 将捕获到的信息保存到文件中,且不分析和打印在屏幕
  • -s 从每个组中读取在开始的 snaplen 个字节,而不是默认的 68 个字节
  • -S 将 tcp 的序列号以绝对值形式输出,而不是相对值
  • -T 将监听到的包直接解析为指定的类型的报文,常见的类型有 rpc(远程过程调用)和 snmp(简单网络管理协议)
  • -t 在输出的每一行不打印时间戳
  • -tt 在每一行中输出非格式化的时间戳
  • -ttt 输出本行和前面以后之间的时间差
  • -tttt 在每一行中输出 data 处理的默认格式的时间戳
  • -u 输出未解码的 NFS 句柄
  • -v 输出稍微详细的信息,例如在 ip 包中可以包括 ttl 和服务类型的信息
  • -vv 输出相信的保报文信息

3、tcpdump 表达式

关于数据类型的关键字

包括 host、port、net:

host 192.168.100.1 表示一台主机,net 192.168.100.0 表示一个网络网段,port 80 指明端口号为 80,在这里如果没有指明数据类型,那么默认就是 host

数据传输方向的关键字

包括 src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如 src 192.168.100.1 说明数据包源地址是 192.168.100.1。dst net 192.168.100.0 指明目的网络地址是 192.168.100.0,默认是监控主机对主机的 src 和 dst,即默认监听本机和目标主机的所有数据
协议关键字

包括 ip、arp、rarp、udp

其他关键字

  • 运算类型:or、and、not、!
  • 辅助功能型:gateway、less、broadcast、greater

4、tcpdump 捕获方式

tcpdump [协议类型] [源或目标] [主机名称或 IP] [or/and/not/! 条件组合] [源或目标] [主机名或 IP] [or/and/not/! 条件组合] [端口] [端口号] …… [or/and/not/! 条件组合] [条件]

tcpdump

默认监听在第一块网卡,监听所有经过此网卡的数据包

Linux网络抓包分析工具介绍(tcpdump+wireshark)

监听指定网卡 ens33 的所有传输数据包

Linux网络抓包分析工具介绍(tcpdump+wireshark)

捕获主机 192.168.100.10 经过网卡 ens33 的所有数据包(也可以是主机名,但要求可以解析出 IP 地址)

Linux网络抓包分析工具介绍(tcpdump+wireshark)

Linux网络抓包分析工具介绍(tcpdump+wireshark)

  • 第一列:报文的时间
  • 第二列:网络协议 IP
  • 第三列:发送方的 ip 地址、端口号、域名,上图显示的是本机的域名,可通过 / etc/hosts 查看本机域名
  • 第四列:箭头 >, 表示数据流向
  • 第五列:接收方的 ip 地址、端口号、域名,
  • 第六列:冒号
  • 第七列:数据包内容,报文头的摘要信息,有 ttl、报文类型、标识值、序列、包的大小等信息

捕获主机 192.168.56.209 和主机 192.168.56.210 或 192.168.56.211 的所有通信数据包

捕获主机 node9 与其他主机之间(不包括 www.baidu.com)通信的 ip 数据包

捕获 node9 与其他所有主机的通信数据包(不包括 www.baidu.com)

捕获源主机 node10 发送的所有的经过 ens33 网卡的所有数据包

本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务,私聊QQ646634621或微信db_bao,谢谢!
Linux网络抓包分析工具介绍(tcpdump+wireshark)后续精彩内容已被小麦苗无情隐藏,请输入验证码解锁本站所有文章
验证码:
请关注本站微信公众号,回复“小麦苗博客”,获取验证码。在微信里搜索“DB宝”或者“www_xmmup_com”或者微信扫描右侧二维码都可以关注本站微信公众号。

标签:

Avatar photo

小麦苗

学习或考证,均可联系麦老师,请加微信db_bao或QQ646634621

您可能还喜欢...

发表回复

嘿,我是小麦,需要帮助随时找我哦
  • 18509239930
  • 个人微信

  • 麦老师QQ聊天
  • 个人邮箱
  • 点击加入QQ群
  • 个人微店

  • 回到顶部