`

tcpdump 抓包工具,抓http包很管用

阅读更多

tcpdump -i eth1 'host 121.14.84.221 and greater 76' -Ap -v -s10000
抓取 eth1 和 121.14.84.221 上的所有长度大于76的通讯包

tcpdump选项
选项     含义
-A     以ASCII格式打印出所有分组,并将链路层的头最小化
-d     将匹配信息包的代码以人们能够理解的汇编格式给出
-D     打印出系统中所有可以用tcpdump截包的网络接口
-ddd     将匹配信息包的代码以十进制的形式输出
-e     在输出行打印出数据链路层的头部信息
-f     将外部的Internet地址以数字的形式打印出来
-l     使标准输出变为缓冲行形式
-L     列出网络接口的已知数据链路
-n     不把网络地址转换成名字
-N     不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”
-O     不运行分组分组匹配(packet-matching)代码优化程序
-p     不将网络接口设置成混杂模式
-q     快速输出,只输出较少的协议信息
-S     将tcp的序列号以绝对值形式输出,而不是相对值
-t     在输出的每一行不打印时间戳
-u     输出未解码的NFS句柄
-v     输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
-vv     输出详细的报文信息
-c count     指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止
-C file_size     限定数据包写入文件大小
-F file     从指定的文件中读取表达式,忽略其它的表达式
-i interface     指定监听网络接口
-m module     打开指定的SMI MIB组件
-M secret     如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)
-r file     从指定的文件中读取包(这些包一般通过-w选项产生)
-s snaplen     从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节
-T type     将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等
-w file     指定将监听到的数据包写入文件,不分析和打印数据包
-W filecount     限定能写入文件数据包的数量
-E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组
expression     综合表达式
3.2 tcpdump的表达式介绍

tcpdump利用正则表达式作为过滤报文的条件,如果数据包满足表达式的条件,则会被捕获。如果没有给出任何条件,则网络上所有的数据包将会被截获。表达式中常用关键字如下:

    * 1) 指定参数类型的关键字,主要包括host,net,port等,如果没有指定类型,缺省的类型是host;
      例如:#tcpdump host 222.24.20.86 截获ip为222.24.20.86的主机收发的所有数据包
    * 2) 指定数据报文传输方向的关键字,主要包括src , dst ,dst or src, dst and src,缺省为src or dst;
      例如:#tcpdump src net 222.24.20.1 截取源网络地址为 222.24.20.1 的所有数据包
    * 3) 指定协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型,默认监听所有协议的数据包;
      例如:#tucpdump arp 截获所有arp协议的数据包
    * 4) 其他重要的关键字还有,gateway,broadcast,less,greater,三种逻辑运算(取非运算是 'not ','! '; 与运算是 'and ','&& ';或运算 是'or ','|| ')等。这些关键字的巧妙组合,能灵活构造过滤条件,从而满足用户需要。
      例如:#tcpdump host ubuntu and src port \(80 or 8080\) 截取主机ubuntu上源端口为80或8080的所有数据包。

expression一个或多个原语 (primitive)组成。原语通常由一个标识(id,名称或数字),和标识前面的一个或多个修饰子(qualifier)组成。 修饰子 有三种不同的类型:

    * type

      类型修饰子指出标识名称或标识数字代表什么类型的东西. 可以使用的类型有host, net 和 port。例如, `host foo', `net 128.3', `port 20'. 如果不指定类型修饰子, 就使用缺省的 host。
    * dir

      方向修饰子指出相对于标识的传输方向(数据是传入还是传出标识)。 可以使用的方向有 src, dst, src or dst 和 src and dst。例如, `src foo', `dst net 128.3', `src or dst port ftp-data'。如果不指定方向修饰子, 就使用缺省的src or dst。 对于`null'链路层 (就是说象slip之类的点到点协议), 用inbound和outbound修饰子指定所需的传输方向。
    * proto

      协议修饰子要求匹配指定的协议。可以使用的协议有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp。例如, `ether srcfoo', `arp net 128.3', `tcp port 21'。 如果不指定协议修饰子, 就使用所有符合类型的协议. 例如, `src foo' 指 `(ip 或 arp 或 rarp) src foo'(注意后者不符合语法), `net bar'指`(ip 或 arp 或 rarp) net bar', `port 53'指 `(tcp 或 udp) port 53'。(`fddi'实际上是 `ether'的别名; 分析器把它们视为 ``用在指定网络接口上的数据链路层.'' FDDI报头包含类似于以太协议的源目地址, 而且通常包含类似于以太协议的报文类型, 因此你可以过滤FDDI域, 就象分析以太协议一样. FDDI报头也包含其他域, 但是你不能在过滤器表达式里显式描述。)

作为上述的补充, 有一些特殊的`原语'关键字, 它们不同于上面的模式: gateway, broadcast, less, greater和数学表达式. 这些在后面有叙述。 更复杂的过滤器表达式 可以通过and, or和not连接原语来组建。 例如,`host foo and notport ftp and not port ftp-data'。为了少敲点键, 可以忽略相同的修饰子。 例如, `tcp dst port ftp or ftp-data or domain'实际上就是`tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'。
允许的 原语 有:

    * dst host host

      如果报文中IP的目的地址域是host, 则逻辑为真. host既可以是地址, 也可以是主机名.
    * src host host

      如果报文中IP的源地址域是host, 则逻辑为真.
    * host host

      如果报文中IP的源地址域或者目的地址域是host, 则逻辑为真. 上面所有的host表达式都可以加上ip, arp, 或rarp关键字做前缀, 就象:ip host host 它等价于: ether proto \ip and host host。

      如果host是拥有多个IP地址的主机名, 它的每个地址都会被查验。
    * ether dst ehost

      如果报文的以太目的地址是ehost, 则逻辑为真。Ehost既可以是名字(/etc/ethers里有),也可以是数字(有关数字格式另见 ethers(3N) )。
    * ether src ehost

      如果报文的以太源地址是ehost, 则逻辑为真。
    * ether host ehost

      如果报文的以太源地址或以太目的地址是ehost, 则逻辑为真。
    * gateway host

      如果报文把host当做网关, 则逻辑为真。也就是说,报文的以太源或目的地址是host, 但是IP的源目地址都不是host。 host必须是个主机名, 而且必须存在/etc/hosts和/etc/ethers中. (一个等价的表达式是ether host ehost and not host host,对于 host/ehost, 它既可以是名字, 也可以是数字。)
    * dst net net

      如果报文的IP目的地址属于网络号net,则逻辑为真.net既可以是名字(存在/etc/networks中),也可以是网络号.(详见networks(4))。
    * src net net

      如果报文的IP源地址属于网络号net,则逻辑为真。
    * net net

      如果报文的IP源地址或目的地址属于网络号net,则逻辑为真.
    * net net mask mask

      如果IP地址匹配指定网络掩码(netmask)的net,则逻辑为真.本原语可以用src或dst修饰.
    * net net/len

      如果IP地址匹配指定网络掩码的net,则逻辑为真,掩码的有效位宽为len.本原语可以用src或dst修饰。
    * dst port port

      如果报文是ip/tcp或ip/udp,并且目的端口是port,则逻辑为真.port是一个数字,也可以是/etc/services中说明过的名字 (参看tcp(4P)和udp(4P)).如果使用名字,则检查端口号和协议.如果使用数字,或者有二义的名字,则只检查端口号(例 如,dstport513将显示tcp/login的数据和udp/who的数据,而portdomain将显示tcp/domain和udp /domain的数据)。
    * src port port

      如果报文的源端口号是port,则逻辑为真。
    * port port

      如果报文的源端口或目的端口是port,则逻辑为真.上述的任意一个端口表达式都可以用关键字tcp或udp做前缀,就象:
    * tcp src port port

      它只匹配源端口是port的TCP报文。
    * less length

      如果报文的长度小于等于length,则逻辑为真.它等同于:len <= length。
    * greater length

      如果报文的长度大于等于length,则逻辑为真.它等同于:len >= length。
    * ip proto protocol

      如果报文是IP数据报(参见ip(4P)),其内容的协议类型是protocol,则逻辑为真.Protocol可以是数字,也可以是下列名称中的一 个:icmp,igrp,udp,nd,或tcp.注意这些标识符tcp,udp,和icmp也同样是关键字,所以必须用反斜杠(\)转义,在C- shell中应该是\\.
    * ether broadcast

      如果报文是以太广播报文,则逻辑为真.关键字ether是可选的.
    * ip broadcast

      如果报文是IP广播报文,则逻辑为真.Tcpdump检查全0和全1广播约定,并且检查本地的子网掩码.
    * ether multicast

      如果报文是以太多目传送报文(multicast),则逻辑为真.关键字ether是可选的.这实际上是`ether[0]&1!=0'的简写.
    * ip multicast

      如果报文是IP多目传送报文,则逻辑为真.
    * ether proto protocol

      如果报文协议属于以太类型的protocol,则逻辑为真.Protocol可以是数字,也可以是名字,如ip,arp,或rarp.注意这些标识符也是 关键字,所以必须用反斜杠(\)转义.[如果是FDDI(例如,`fddiprotocolarp'),协议标识来自802.2逻辑链路控制(LLC)报 头,它通常位于FDDI报头的顶层.当根据协议标识过滤报文时,Tcpdump假设所有的FDDI报文含有LLC报头,而且LLC报头用的是SNAP格 式.]
    * decnet src host

      如果DECNET的源地址是host,则逻辑为真,该主机地址的形式可能是``10.123'',或者是DECNET主机名.[只有配置成运行DECNET的Ultrix系统支持DECNET主机名.]
    * decnet dst host

      如果DECNET的目的地址是host,则逻辑为真.
    * decnet host host

      如果DECNET的源地址或目的地址是host,则逻辑为真.ip, arp, rarp, decnet是:ether proto p的简写形式,其中p为上述协议的一种.lat, moprc, mopdl 是: ether proto p的简写形式,其中p为上述协议的一种.注意tcpdump目前不知道如何分析这些协议.tcp, udp, icmp 是: ip proto p的简写形式,其中p为上述协议的一种.
    * expr relop expr

      如果这个关系成立,则逻辑为真,其中relop是<,>,<=,>=,=,!=之一,expr是数学表达式,由常整数(标准C语 法形式),普通的二进制运算符[+,-,*,/,&,|],一个长度运算符,和指定的报文数据访问算符组成.要访问报文内的数据,使用下面的语 法:proto [ expr : size ]
      Proto是ether,fddi,ip,arp,rarp,tcp,udp,oricmp之一,同时也指出了下标操作的协议层.expr给出字节单位的 偏移量,该偏移量相对于指定的协议层.Size是可选项,指出感兴趣的字节数;它可以是1,2,4,缺省为1字节.由关键字len给出的长度运算符指明报 文的长度.
      例如,`ether[0]&1!=0'捕捉所有的多目传送报文.表达式`ip[0]&0xf!=5'捕捉所有带可选域的IP报文.表达式 `ip[6:2]&0x1fff=0'只捕捉未分片和片偏移为0的数据报.这种检查隐含在tcp和udp下标操作中.例如,tcp[0]一定是 TCP报头的第一个字节,而不是其中某个IP片的第一个字节.

原语可以用下述方法结合使用:

园括弧括起来的原语和操作符(园括弧在Shell中有专用,所以必须转义).

取反操作 (`!' or `not').

连结操作 (`&&' or `and').

或操作 (`||' or `or').

取反操作有最高优先级.或操作和连结操作有相同的优先级,运算时从左到右结合.注意连结操作需要显式的and算符,而不是并列放置.

如果给出标识符,但没给关键字,那么暗指最近使用的关键字.例如,

not host vs and ace作为not host vs and host ace的简写形式, 不应该和not( host vs or ace )混淆。

表达式参数可以作为单个参数传给tcpdump,也可以作为复合参数,后者更方便一些.一般说来,如果表达式包含Shell元字符(metacharacter),传递单个括起来的参数要容易一些.复合参数在被解析前用空格联接一起.
3.3 tcpdump的输出信息

tcpdump命令四种典型的输出信息:
3.3.1 数据链路层头信息

使用命令:tcpdump -e host host1
输出结果:
11:15:12.247009 eth0 < 88:0:0:7:2b:26 0:90:27:58:af:1a ip 60: host2.25258 > host1.telnet 0:0(0) ack 22552 win 7890 (DF)
分析:“11:15:12”是显示的时间,“247009”是ID号,“eth0 <”表示从网络接口eth0接受该数据包,“88:0:0:7:2b:26”为发送数据主机的MAC地址,“ ip”是表明该数据包是IP类型数据包,“60”是数据包的长度,“ host2.25258 > host1.telnet” 表明该数据包是从主机host2的25258端口发往主机host1的TELNET(23)端口。“ack 22552”表明对序列号是22552的包进行响应。“ win 7890”表明发送窗口的大小是7890。
3.3.2 ARP包的TCPDUMP输出信息

使用命令:tcpdump arp
输出结果:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
分析:“eth0 >”表示从网络接口eth0发送数据包。
3.3.3 TCP包的输出信息

输出信息: src > dst: flags data-seqno ack window urgent options
分析:“src > dst:”表明从源地址到目的地址, flags是TCP包中的标志信息(S是SYN标志,F(FIN),P(PUSH),R(RST),"."(没有标记));data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针,Options是选项。
3.3.4 UDP包的输出信息

输出信息: host.p1 > linux.p2: udp lenth
分析:从主机host的p1端口发出的一个udp类型数据包到主机linux的p2端口,包的长度是lenth。
4 功能扩展

tcpdump还可以结合tcpshow、管道、重定向使用,从而扩展其功能。
5 范例
5.1 显示所有进出sundown的报文:

tcpdump host sundown
5.2 显示helios和主机hot,ace之间的报文传送:

tcpdump host helios and \( hot or ace \)
5.3 显示ace和除了helios以外的所有主机的IP报文

tcpdump ip host ace and not helios
5.4 显示本地的主机和Berkeley的主机之间的网络数据

tcpdump net ucb-ether
5.5 显示所有通过网关snup的ftp报文(注意这个表达式被单引号括起,防止shell解释园括弧)

tcpdump 'gateway snup and (port ftp or ftp-data)'
5.6 显示既不是来自本地主机,也不是传往本地主机的网络数据(如果你把网关通往某个其他网络,这个做法将不会把数据发往你的本地网络).

tcpdump ip and not net localnet
5.7 显示每个TCP会话的起始和结束报文(SYN和FIN报文),而且会话方中有一个远程主机.

tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'
5.8 显示经过网关snup中大于576字节的IP数据报

tcpdump 'gateway snup and ip[2:2] > 576'
5.9 显示IP广播或多目传送的数据报,这些报文不是通过以太网的广播或多目传送形式传送的

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
5.10 显示所有不是回响请求/应答的ICMP报文(也就是说,不是ping报文)

tcpdump 'icmp[0] != 8 and icmp[0] != 0'

tcpdump的输出格式取决于协议.下面的描述给出大多数格式的简要说明和范例.
5.11 链路层报头 (Link Level Headers)

如果给出'-e'选项就显示链路层报头.在以太网上,显示报文的源目地址,协议和报文长度.

在FDDI网络上,'-e'选项导致tcpdump显示出`帧控制(framecontrol)'域,源目地址和报文长度.(`帧控制'域负责解释其余的报文.普通报文(比如说载有IP数据报)是`异步'报文,优先级介于0到7;例如,`async4'.这些被认为载有802.2逻辑链路控制(LLC)报文;如果它们不是ISO数据报或者所谓的SNAP报文,就显示出LLC报头.

(注意:以下描述中假设你熟悉RFC-1144中说明的SLIP压缩算法.)

在SLIP链路上,tcpdump显示出方向指示(``I''指inbound,``O''指outbound),报文类型和压缩信息.首先显示的是报文类型.有三种类型ip,utcp和ctcp.对于ip报文不再显示更多的链路信息.对于TCP报文,在类型后面显示连接标识.如果报文是压缩过的,就显示出编码的报头.特殊情形以*S+n和*SA+n的形式显示,这里的n是顺序号(或顺序号及其确认)发生的改变总和.如果不是特殊情形,就显示0或多少个改变.改变由U(urgentpointer),W(window),A(ack),S(sequencenumber)和I(packetID)指明,后跟一个变化量(+nor-n),或另一个值(=n).最后显示报文中的数据总和,以及压缩报头的长度.

例如,下面一行显示了一个传出的压缩的TCP报文,有一个隐含的连接标识;确认(ack)的变化量是6,顺序号是49,报文ID是6;有三个字节的数据和六个字节的压缩报头:

O ctcp * A+6 S+49 I+6 3 (6)
5.12 ARP/RARP 报文

Arp/rarp报文的输出显示请求类型及其参数.输出格式倾向于能够自我解释.这里是一个简单的例子,来自主机rtsg到主机csam的'rlogin'开始部分:

arp who-has csam tell rtsg

arp reply csam is-at CSAM

第一行说明rtsg发出一个arp报文询问internet主机csam的以太网地址.Csam用它的以太地址作应答(这个例子中,以太地址是大写的,internet地址为小写).

如果 用 tcpdump -n 看上去 要 清楚一些:

arp who-has 128.3.254.6 tell 128.3.254.68

arp reply 128.3.254.6 is-at 02:07:01:00:01:c4

如果用tcpdump-e,可以看到实际上第一个报文是广播,第二个报文是点到点的:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg

CSAM RTSG 0806 64: arp reply csam is-at CSAM

这里第一个报文指出以太网源地址是RTSG,目的地址是以太网广播地址,类型域为16进制数0806(类型ETHER_ARP),报文全长64字节.
5.13 TCP 报文

(注意:以下的描述中假设你熟悉RFC-793中说明的TCP协议,如果你不了解这个协议,无论是本文还是tcpdump都对你用处不大)

一般说来tcp协议的输出格式是:

src > dst: flags data-seqno ack window urgent options

Src和dst是源目IP地址和端口.Flags是S(SYN),F(FIN),P(PUSH)或R(RST)或单独的`.'(无标志),或者是它们的组合.Data-seqno说明了本报文中的数据在流序号中的位置(见下例).Ack是在这条连接上信源机希望下一个接收的字节的流序号 (sequencenumber).Window是在这条连接上信源机接收缓冲区的字节大小.Urg表明报文内是`紧急(urgent)'数据.Options是tcp可选报头,用尖括号括起(例如,).

Src, dst 和 flags肯定存在. 其他域依据报文的tcp报头内容, 只输出有必要的部分.

下面是从主机rtsgrlogin到主机csam的开始部分.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

第一行是说从rtsg的tcp端口1023向csam的login端口发送报文.S标志表明设置了SYN标志.报文的流序号是768512,没有数据. (这个写成`first:last(nbytes)',意思是`从流序号first到last,不包括last,有nbytes字节的用户数据'.)此时没有捎带确认(piggy-backedack),有效的接收窗口是4096字节,有一个最大段大小(max-segment-size)的选项,请求设置mss为1024字节.

Csam用类似的形式应答,只是增加了一个对rtsgSYN的捎带确认.然后Rtsg确认csam的SYN.`.'意味着没有设置标志.这个报文不包含数据,因此也就没有数据的流序号.注意这个确认流序号是一个小整数(1).当tcpdump第一次发现一个tcp会话时,它显示报文携带的流序号.在随后收到的报文里,它显示当前报文和最初那个报文的流序号之差.这意味着从第一个报文开始,以后的流序号可以理解成数据流中的相对位移 asrelativebytepositionsintheconversation'sdatastream(withthefirstdatabyteeachdirectionbeing`1').`- S'选项能够改变这个特性,直接显示原始的流序号.

在第六行,rtsg传给csam19个字节的数据(字节2到20).报文中设置了PUSH标志.第七行csam表明它收到了rtsg的数据,字节序号是 21,但不包括第21个字节.显然大多数数据在socket的缓冲区内,因为csam的接收窗口收到的数据小于19个字节.同时csam向rtsg发送了一个字节的数据.第八和第九行显示csam发送了两个字节的紧急数据到rtsg.

如果捕捉区设置的过小,以至于tcpdump不能捕捉到完整的TCP报头,tcpdump会尽可能的翻译已捕获的部分,然后显示``[|tcp]'',表明无法翻译其余部分.如果报头包含一个伪造的选项 (onewithalengththat'seithertoosmallorbeyondtheendoftheheader),tcpdump显示 ``[badopt]''并且不再翻译其他选项部分(因为它不可能判断出从哪儿开始).如果报头长度表明存在选项,但是IP数据报长度不够,不可能真的保存选项,tcpdump就显示``[badhdrlength]''.
5.14 UDP 报文

UDP格式就象这个rwho报文显示的:

actinide.who > broadcast.who: udp 84

就是说把一个udp数据报从主机actinide的who端口发送到broadcast,Internet广播地址的who端口.报文包含84字节的用户数据.

某些 UDP 服务 能够 识别出来(从 源目端口号 上), 因而 显示出 更高层的 协议信息. 特别是 域名服务请求(RFC-1034/1035) 和 NFS 的 RPC 调用(RFC-1050).
5.15 UDP域名服务请求(NameServerRequests)

(注意:以下的描述中假设你熟悉RFC-1035说明的域名服务协议.如果你不熟悉这个协议,下面的内容就象是天书.)

域名服务请求的格式是

src > dst: id op? flags qtype qclass name (len)

h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

主机h2opolo访问helios上的域名服务,询问和ucbvax.berkeley.edu.关联的地址记录(qtype=A).查询号是 `3'.`+'表明设置了递归请求标志.查询长度是37字节,不包括UDP和IP头.查询操作是普通的Query操作,因此op域可以忽略.如果op设置成其他什么东西,它应该显示在`3'和`+'之间.类似的,qclass是普通的C_IN类型,也被忽略了.其他类型的qclass应该在`A'后面显示.

Tcpdump会检查一些不规则情况,相应的结果作为补充域放在方括号内:如果某个查询包含回答,名字服务或管理机构部分,就把 ancount,nscount,或arcount显示成`[na]',`[nn]'或`[nau]',这里的n代表相应的数量.如果在第二和第三字节中,任何一个回答位(AA,RA或rcode)或任何一个`必须为零'的位被置位,就显示`[b2&3=x]',这里的x是报头第二和第三字节的 16进制数.
5.16 UDP名字服务回答

名字服务回答的格式是

src > dst: id op rcode flags a/n/au type class data (len)
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)

第一个例子里,helios回答了h2opolo发出的标识为3的询问,一共是3个回答记录,3个名字服务记录和7个管理结构记录.第一个回答纪录的类型是A(地址),数据是internet地址128.32.137.3.回答的全长为273字节,不包括UDP和IP报头.作为A记录的 class(C_IN)可以忽略op(询问)和rcode(NoError).

在第二个例子里,helios对标识为2的询问作出域名不存在(NXDomain)的回答,没有回答记录,一个名字服务记录,而且没有管理结构.

`*'表明设置了权威回答(authoritativeanswer).由于没有回答记录,这里就不显示type,class和data.

其他标志字符可以显示为`-'(没有设置递归有效(RA))和`|'(设置消息截短(TC)).如果`问题'部分没有有效的内容,就显示`[nq]'.

注意名字服务的询问和回答一般说来比较大,68字节的snaplen可能无法捕捉到足够的报文内容.如果你的确在研究名字服务的情况,可以使用-s选项增大捕捉缓冲区.`-s128'应该效果不错了.
5.17 NFS请求和响应

SunNFS(网络文件系统)的请求和响应显示格式是:

src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150

在第一行,主机sushi向wrl发送号码为6709的交易会话(注意源主机后面的数字是交易号,不是端口).这项请求长112字节,不包括UDP和IP 报头.在文件句柄(fh)21,24/10.731657119上执行readlink(读取符号连接)操作.(如果运气不错,就象这种情况,文件句柄可以依次翻译成主次设备号,i节点号,和事件号(generationnumber).)Wrl回答`ok'和连接的内容.

在第三行,sushi请求wrl在目录文件9,74/4096.6878中查找`xcolors'.注意数据的打印格式取决于操作类型.格式应该是可以自我说明的.

给出-v(verbose)选项可以显示附加信息.例如:

sushi.1372a > wrl.nfs:

148 read fh 21,11/12.195 8192 bytes @ 24576

wrl.nfs > sushi.1372a:

reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v同时使它显示IP报头的TTL,ID,和分片域,在这个例子里把它们省略了.)在第一行,sushi请求wrl从文件21,11/12.195的偏移位置24576开始,读取8192字节.Wrl回答`ok';第二行显示的报文是应答的第一个分片,因此只有1472字节(其余数据在后续的分片中传过来,但由于这些分片里没有NFS甚至UDP报头,因此根据所使用的过滤器表达式,有可能不显示).-v选项还会显示一些文件属性(它们作为文件数据的附带部分传回来):文件类型(普通文件``REG''),存取模式(八进制数),uid和gid,以及文件大小.

如果再给一个-v选项(-vv),还能显示更多的细节.

注意NFS请求的数据量非常大,除非增加snaplen,否则很多细节无法显示.试一试`-s192'选项.

NFS应答报文没有明确标明RPC操作.因此tcpdump保留有``近来的''请求记录,根据交易号匹配应答报文.如果应答报文没有相应的请求报文,它就无法分析.
5.18 KIPAppletalk(UDP上的DDP)

AppletalkDDP报文封装在UDP数据报中,解包后按DDP报文转储(也就是说,忽略所有的UDP报头信息).文件/etc/atalk.names用来把appletalk网络和节点号翻译成名字.这个文件的行格式是

number name
1.254 ether
16.1 icsd-net
1.254.110 ace

前两行给出了appletalk的网络名称.第三行给出某个主机的名字(主机和网络依据第三组数字区分-网络号一定是两组数字,主机号一定是三组数字.) 号码和名字用空白符(空格或tab)隔开./etc/atalk.names文件可以包含空行或注释行(以`#'开始的行).

Appletalk地址按这个格式显示

net.host.port

144.1.209.2 > icsd-net.112.220

office.2 > icsd-net.112.220

jssmag.149.235 > icsd-net.2

(如果不存在/etc/atalk.names,或者里面缺少有效项目,就以数字形式显示地址.)第一个例子里,网络144.1的209节点的 NBP(DDP端口2)向网络icsd的112节点的220端口发送数据.第二行和上面一样,只是知道了源节点的全称(`office').第三行是从网络jssmag的149节点的235端口向icsd-net的NBP端口广播(注意广播地址(255)隐含在无主机号的网络名字中-所以在/etc /atalk.names中区分节点名和网络名是个好主意).

Tcpdump可以翻译NBP(名字联结协议)和ATP(Appletalk交互协议)的报文内容.其他协议只转储协议名称(或号码,如果还没给这个协议注册名称)和报文大小.

NBP报文的输出格式就象下面的例子:

icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186

第一行是网络icsd的112主机在网络jssmag上的广播,对名字laserwriter做名字查询请求.名字查询请求的nbp标识号是190.第二行显示的是对这个请求的回答(注意它们有同样的标识号),主机jssmag.209表示在它的250端口注册了一个laserwriter的资源,名字是"RM1140".第三行是这个请求的其他回答,主机techpit的186端口有laserwriter注册的"techpit".

ATP报文格式如下例所示:

jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002

Jssmag.209向主机helios发起12266号交易,请求8个报文(`<0-7>').行尾的十六进制数是请求中`userdata'域的值.
Helios用8个512字节的报文应答.跟在交易号后面的`:digit'给筹

实例:
#tcpdump -i eth0 -X src host 10.1.2.1
6 实践经验
6.1 诊断arp风暴

arp攻击包括arp扫描和arp欺骗两类。arp风暴属于前者,它是指由于病毒作用,导致主机向整个网络内广播大量arp请求,耗尽带宽资源,使网络瘫痪的现象,它往往是arp欺骗的前兆,用于破坏网络连接、盗取他人网络账号。
tcpdump -e arp 可以用来监听网络内部广播的所有数据包,监听结果中包含数据发送方Mac地址、arp请求方法IP地址等其他信息,如果某个或多个固定MAC地址的主机连续发送大量请求广播,并得到回应,则其有可能为arp风暴源。可以对此主机进行物理隔离,进行再判断。

kongove@ubuntu:~$ sudo tcpdump -e arp
09:43:48.630521 00:15:c5:6d:0e:80 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.2.1 tell 192.168.8.237
09:43:48.734420 00:e0:4d:1a:c9:24 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.44.138 tell 192.168.44.156
09:43:48.842663 00:e0:e4:02:32:59 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.21.1 tell 192.168.21.251

分享到:
评论

相关推荐

    抓包工具tcpdump

    - `&lt;snaplen&gt;`:定义抓包时捕获的数据包长度,默认值可能不足以捕获完整包头,需要适当调整。 - `&lt;filter expression&gt;`:可选的过滤表达式,用于筛选特定类型的数据包。 例如,以下命令将捕获所有HTTP请求: ```...

    tcpdump抓包工具

    以下是使用tcpdump抓包的基本步骤: 1. **准备环境**:确保电脑上已经安装了Android SDK,其中包含了ADB工具。同时,下载适用于Android的tcpdump二进制文件,通常是一个名为`tcpdump`的可执行文件。 2. **连接设备...

    Tftp工具和himix200的tcpdump抓包工具

    2. 执行抓包:运行`sudo tcpdump -i &lt;interface&gt; [filter expression]`,`&lt;interface&gt;`是你要监听的网络接口,`filter expression`是可选的过滤条件,用于限制捕获的数据包类型。 3. 查看捕获结果:TCPdump会实时...

    linux 抓包工具---Tcpdump

    值得注意的是,由于Tcpdump具有高度的监控能力,涉及敏感信息的抓包操作通常需要root权限执行。同时,合理使用这些工具并尊重用户隐私是网络管理中的重要原则。在实际应用中,网络管理员应根据实际情况,遵循法规和...

    抓包工具,抓包工具,抓包工具

    抓包工具是网络诊断和分析中的重要工具,它能够捕获网络上的数据包,帮助我们了解网络通信的细节。在IT行业中,抓包工具广泛应用于故障排查、性能优化、安全审计等多个领域。以下是对抓包工具及其应用的详细介绍: ...

    linux/unix抓包工具tcpdump

    Linux/Unix系统中,tcpdump是一款非常强大的网络数据包分析工具,它允许用户实时监控网络通信或者将捕获的数据包保存到文件以便后续分析。tcpdump的使用涉及到网络协议、命令行参数、过滤规则等多个方面的知识。 ...

    实用抓包工具

    抓包工具,如Wireshark、tcpdump、Fiddler或Charles,主要用于记录网络通信中的数据包,这些数据包包含了网络传输的所有信息,包括源和目标IP地址、端口号、协议类型、数据内容等。这些信息对于以下场景非常有用: ...

    抓包工具类

    虽然抓包工具对网络分析非常有用,但它们也可能被滥用,侵犯他人隐私或进行非法活动。因此,在使用时必须遵守法律法规,尊重他人的网络通信隐私。 总结来说,"iptool_ipanalyse"这个工具可能专注于IP数据包的抓取和...

    网络抓包工具

    网络抓包工具是一种用于监测和分析网络数据传输的软件,它们可以帮助用户查看网络中的数据包流动情况,从而诊断网络问题、进行性能优化或安全审计。这些工具捕获并记录网络接口上的原始数据包,以便进一步解析和理解...

    TCPDUMP 抓包完整版

    ### TCPDUMP 抓包完整版 #### 概述 TCPDUMP是一款广泛使用的网络数据包捕获工具,主要用于网络故障排查、性能监控以及安全审计等场景。它能够捕获网络接口上的数据包,并根据过滤规则对数据包进行分析与记录。 ##...

    tcpdump高级过滤技巧

    tcpdump是一款功能强大的网络数据包捕获工具,广泛应用于网络监控、故障排查和安全审计等领域。本文档将深入探讨tcpdump的高级过滤技巧,通过具体的示例帮助读者掌握如何精确地筛选网络流量,以满足复杂场景下的数据...

    抓包工具集合

    2. tcpdump:tcpdump是命令行界面的抓包工具,主要用于Unix/Linux系统。它简单高效,适合快速查看网络流量。通过简单的命令参数,用户可以定制抓包规则,进行数据包筛选。 3. Ethereal(现已更名为Wireshark):...

    抓包工具 抓包

    抓包工具,如Wireshark、tcpdump或本例中的Netiffer,工作时会在网络接口层拦截并记录所有通过的数据包。这些数据包包含了网络传输的所有信息,包括源地址、目标地址、协议类型、数据内容等。通过解析这些信息,我们...

    抓包工具使用技巧集锦.docx

    本文将详细介绍一些抓包工具的使用技巧,帮助你更高效地掌握这些工具。 首先,我们来谈谈如何快速定位到HTML标签。在进行网页分析时,不要使用IE浏览器,因为IE不支持直接的元素审查功能。推荐使用Chrome、Firefox...

    手机抓包工具android 抓码流

    总的来说,手机抓包工具,如tcpdump,是Android开发者和网络管理员的强大工具,可以帮助他们深入理解网络通信,定位和解决网络相关的问题。掌握这些工具的使用方法,对于提升专业技能和应对各种网络挑战至关重要。

    抓包命令tcpdump.pdf

    tcpdump 命令是用于抓包的强大工具,它可以捕获和显示网络流量的详细信息。在系统管理员和网络工程师中/tcpdump 是一个非常有用的工具,可以帮助他们 debug 网络问题、分析网络流量、检测网络攻击等。 tcpdump 命令...

    抓包工具 抓包解包分析

    在这里,抓包工具可以解析源和目的MAC地址,这对于识别网络设备间的通信非常有用。 【网络层】 网络层,特别是IP协议,是抓包工具重点分析的对象。IP包头包含了多个字段,如版本号、IP包头长度、服务类型(TOS)、...

    智能抓包工具

    除了这些专业工具,还有一些操作系统自带的抓包工具,例如Windows上的`tcpdump`(在命令行环境下使用)和Linux下的`Wireshark`(前身称为`etherdump`)。这些工具虽然界面相对简洁,但功能同样强大,尤其适合命令行...

Global site tag (gtag.js) - Google Analytics