前言
用簡(jiǎn)單的話來定義tcpdump�����,就是:dump the traffic on a network���,根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具�。 tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析��。它支持針對(duì)網(wǎng)絡(luò)層�����、協(xié)議��、主機(jī)�����、網(wǎng)絡(luò)或端口的過濾��,并提供and�����、or����、not等邏輯語句來幫助你去掉無用的信息�。
說到這個(gè)tcpdump命令���,就不得不提自己參加的中國(guó)移動(dòng)內(nèi)蒙古分公司第三代CRM系統(tǒng)的開發(fā)與實(shí)施。如果沒有記錯(cuò)的話�����,那應(yīng)該是2016年����,自己?jiǎn)为?dú)負(fù)責(zé)整個(gè)10086客服系統(tǒng)自助渠道的整體改造工作��;在系統(tǒng)壓測(cè)階段���,調(diào)用接口平臺(tái)時(shí)����,總是出現(xiàn)超時(shí)現(xiàn)象�。后來這個(gè)問題越來越嚴(yán)重����,同時(shí)短廳渠道、CBOSS渠道也反饋有這個(gè)問題�����,這時(shí)這個(gè)問題就引起了大BOSS的注意�����,然后就是各方專家會(huì)診��。在這種大型項(xiàng)目中�,專家會(huì)診����,都有一個(gè)特色�,就是專家指揮��,小弟干活,而我那個(gè)時(shí)候��,就是那個(gè)小弟��。
好吧,專家發(fā)話了�����,抓包先。這就開始了我的抓包工作���,開始了我對(duì)tcpdump的全面理解��。
首先需要說的是,這個(gè)tcpdump是一個(gè)非常功能強(qiáng)大的命令�,功能強(qiáng)大�,那也就意味著這個(gè)命令的使用是非常復(fù)雜的��,也就是說��,我接下來整理的內(nèi)容也會(huì)是非常多的����。如果你想去掌握整個(gè)tcpdump命令的話����,就需要你稍微有點(diǎn)耐心去把整篇文章讀完�����。OK,Let's go!
命令簡(jiǎn)介
tcpdump是一款強(qiáng)大的網(wǎng)絡(luò)抓包工具,運(yùn)行在Linux平臺(tái)上��。熟悉tcpdump的使用能夠幫助我們分析��、調(diào)試網(wǎng)絡(luò)數(shù)據(jù)��。但是要想很好地掌握tcpdump, 就必須對(duì)網(wǎng)絡(luò)報(bào)文(TCP/IP協(xié)議)有一定的了解����。不過對(duì)于簡(jiǎn)單的使用來說,只要有網(wǎng)絡(luò)基礎(chǔ)概念就行了�����。
作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具�,tcpdump以其強(qiáng)大的功能,靈活的截取策略����,成為每個(gè)高級(jí)的系統(tǒng)管理員分析網(wǎng)絡(luò)��,排查問題等所必備的工具之一���。在實(shí)際工作中,需要以root權(quán)限去執(zhí)行該命令��。
tcpdump是一個(gè)很復(fù)雜的命令���,想了解它的方方面面非常不易���,也不值得推薦,能夠使用它解決日常工作中的問題才是關(guān)鍵�����,所以���,以下的總結(jié)我將更側(cè)重于從實(shí)際工作出發(fā)���,整理一些實(shí)際工作中經(jīng)常用到的用法�����,對(duì)于一些冷門用法�����,我這里基本不會(huì)涉及���,如果日后在工作中用到了��,我這里也會(huì)更新進(jìn)來�����。
命令詳解
下面就先對(duì)tcpdump一些常用的選項(xiàng)進(jìn)行總結(jié)����。
- -s number:tcpdump默認(rèn)只會(huì)截取前96字節(jié)的內(nèi)容�,要想截取所有的報(bào)文內(nèi)容���,就需要使用這個(gè)選項(xiàng)����,其中number是需要截取的報(bào)文字節(jié)數(shù)���,如果是0的話����,表示截取報(bào)文全部?jī)?nèi)容����;
- -nn:表示不解析域名����,直接顯示IP,在netstat命令中,也有這個(gè)選項(xiàng)���;
- -X:同時(shí)使用hex和ascii顯示報(bào)文內(nèi)容�����;
- -S:顯示絕對(duì)的序列號(hào)(sequence number)���,而不是相對(duì)編號(hào);
- -i:指定監(jiān)聽的網(wǎng)卡���,如果為-i any則表示監(jiān)聽所有的網(wǎng)卡;
- -v���,-vv�����,-vvv:顯示更多的詳細(xì)信息�����;
- -c number:表示截取number個(gè)報(bào)文�����,然后結(jié)束;
- -w:將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存,而并不分析和打印出來�����;
- -A:只使用ascii打印報(bào)文的全部數(shù)據(jù)����,不要和-X選項(xiàng)一起使用。截取HTTP請(qǐng)求的時(shí)候可以用sudo tcpdump -nSA port 80
雖然tcpdump命令的選項(xiàng)特別多,但是常用的選項(xiàng)也就上面那幾個(gè)���,我這里將更多的把注意力放在使用實(shí)例上�,通過使用實(shí)例來學(xué)習(xí)tcpdump這個(gè)命令�����。
過濾器
先進(jìn)行使用實(shí)例詳解時(shí),有必要先掌握tcpdump一些基本的使用理論知識(shí),先來說說過濾器。
在服務(wù)器上的網(wǎng)絡(luò)報(bào)文是異常的多��,很多時(shí)候我們只關(guān)注和具體問題有關(guān)的數(shù)據(jù)報(bào)文�����,而這些有用的報(bào)文只占到很小的一部分�����,為了不讓我們?cè)趫?bào)文的海洋里迷失自己,我們就非常有必要學(xué)習(xí)一下tcpdump提供的靈活而且功能強(qiáng)大的過濾器。
過濾器也可以簡(jiǎn)單地分為三類:type�����,dir和proto��。
type:主要用來區(qū)分過濾報(bào)文源類型���,主要由host主機(jī)報(bào)文���,net網(wǎng)段報(bào)文和port指定端口的報(bào)文組成�;
dir:只過濾報(bào)文的源地址和目的地址�,主要包括src源地址和dst目的地址;
proto:只過濾報(bào)文的協(xié)議類型���,支持tcp����,udp和icmp等�����;使用的時(shí)候可以省略proto關(guān)鍵字:
tcpdump -i eth1 arptcpdump -i eth1 iptcpdump -i eth1 tcptcpdump -i eth1 udptcpdump -i eth1 icmp
在我們使用tcpdump命令時(shí)是離不開這些過濾器的���。
條件組合
在茫茫網(wǎng)絡(luò)中��,想要找到那個(gè)你想要的網(wǎng)絡(luò)包�,還是有一定難度的����。為了抓住那個(gè)我們想要的網(wǎng)絡(luò)包,在我們抓包命令中�,包含越多的限制條件,抓的無關(guān)包就會(huì)越少���,所以在進(jìn)行抓包時(shí)�����,我們可以使用“與”(and���、&&)����、“或”(or��、||)和“非”(not�����、!)來將多個(gè)條件組合起來。這對(duì)我們需要基于某些條件來分析網(wǎng)絡(luò)包是非常有用的�����。
使用實(shí)例
命令:tcpdump -i eth1
說明:監(jiān)視指定網(wǎng)絡(luò)接口的數(shù)據(jù)包
命令:tcpdump host 210.27.48.3
說明:截獲210.27.48.3主機(jī)收到的和發(fā)出的所有數(shù)據(jù)包
命令:tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6)
說明:截獲210.27.48.3主機(jī)和210.27.48.5或者210.27.48.6主機(jī)進(jìn)行通信的所有數(shù)據(jù)包
命令:tcpdump net 192.168.1.0/24
說明:截獲192.168.1.0/24整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包
命令:tcpdump -i eth0 src host 210.27.48.3
說明:監(jiān)視eth0網(wǎng)卡上源地址是210.27.48.3的所有網(wǎng)絡(luò)包
命令:tcpdump -i eth0 dst host 210.27.48.3
說明:監(jiān)視eth0網(wǎng)卡上目的地址是210.27.48.3的所有網(wǎng)絡(luò)包
命令:tcpdump tcp port 23 and host 210.27.48.3
說明:獲取主機(jī)210.27.48.3上端口為23的應(yīng)用發(fā)出和接收的所有TCP協(xié)議包
命令:tcpdump udp port 123
說明:獲取本機(jī)123端口發(fā)出和接收的所有UDP協(xié)議包
命令:tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24
說明:截獲源主地址為10.126.1.222,目的地址是10.126.1.0/24整個(gè)網(wǎng)絡(luò)
命令:tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap
說明:抓取報(bào)文后按照指定時(shí)間間隔保存;-G選項(xiàng)后面接時(shí)間,單位為秒����;上述命令就是每隔60秒生存一個(gè)文件
命令:tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap
說明:抓取報(bào)文后按照指定報(bào)文大小保存;-C選項(xiàng)后接文件大小���,單位為MB�;上述命令就是每抓包文件達(dá)到1MB時(shí)就使用一個(gè)新的文件保存新抓的報(bào)文
上面說到tcpdump抓包后生成對(duì)應(yīng)的文件���,那這個(gè)文件如何進(jìn)行分析呢�����?是的,有這么樣一個(gè)叫做“Wireshark”的軟件����,可以非常完美的和tcpdump進(jìn)行結(jié)合�,提供可視化的分析界面�;有興趣的話可以去學(xué)習(xí)一下�,后續(xù)如果有時(shí)間�����,我也整理一個(gè)“Wireshark”入門系列�。
總結(jié)
拖的時(shí)間比較長(zhǎng)�����,終于整理完畢!當(dāng)然了��,tcpdump這么復(fù)雜的一個(gè)命令���,我這里并沒有進(jìn)行非常全面的整理��,但是我這里整理的內(nèi)容絕對(duì)不會(huì)影響你在工作中使用tcpdump這個(gè)命令��。還是那個(gè)“二八定律”�,復(fù)雜的命令��,常用的功能也就占用20%,其余80%都是比較偏僻生冷的功能��,或者說工作中很少會(huì)用到的功能����。
好了�����,以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值��,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持���。
