抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法

2021-08-10 10:47:26 浏览数 (1)

一、前言

网络故障排查中,经常要抓包,windows有wireshark,linux最常用的是tcpdump,其中被问得最多的一个问题:"iptables限制后,tcpdump还能抓到包吗?",首先看下数据包进入OS及出去的顺序:

网卡nic -> tcpdump -> iptables(netfilter) -> app -> iptables(netfilter) -> tcpdump -> 网卡nic

显而易见,数据包到达网卡后,tcpdump有能力直接捕获到,不受iptables的影响,此时数据包还没有到达iptables的PREROUTING链,到达APP后,处理完报文从iptables出去,出去最终要走到POSTROUTING链再到tcpdump,所以此时受到iptables的OUTPUTPOSTROUTING链影响,这两条链的规则决定tcpdump能不能抓到出去的包,iptables各个链工作顺序如下(图片来源于网络):

本文将汇总日常工作使用中的一些用法和技巧,同时附上tcpdump官方文档:https://www.tcpdump.org/tcpdump_man.html。

二、tcpdump常用参数详解

1.指定网卡和主机抓包(-i、host)

指定所有网卡并限定主机为192.168.1.1

代码语言:txt复制
tcpdump -i any host 192.168.1.1      #-i指定网卡为所有

此时如果和对端主机有数据交互,那么屏幕上有输出信息,同时这些信息不会保存在文件里,比如下面这个icmp包:

CTRL C给进程发送SIGINT信号,中断tcpdump当前抓包,会发现这些数据包默认会显示在屏幕上,如果是简单数据包直接拿tcpdump分析是没问题的,但在报文交互很大的场景下,要过滤特定流,此时用tcpdump分析效率会很低,正确的做法是tcpdump抓包保存为抓包文件(.pcap.cap都行),再用wireshark分析。

同时这里还有问题,tcpdump默认会将IP反向解析成host或域名,-nn参数可以禁止反向解析,增加可读性。

2.写入文件并查阅报文(-w、-r)

那么改进后的抓包命令可以是:

代码语言:txt复制
tcpdump -i any host 192.168.1.1 -nn -v -w client.pcap

-nn:禁止反向解析

-v:显示详细抓包信息

-w:写入到client.pcap

可以看到第一条命令,IP不再反解成host或域名,第二条命令-w写入到client.pcap后,使用-r参数指定报文文件查阅内容。

3.指定来源IP或目的IP或网段(src、dst、net)

如果只想抓一个方向的流,使用src指定源或者dst指定目标:

代码语言:txt复制
tcpdump -i any src host 192.168.1.1 -nn

这样一来只抓一个方向的流,如图只有1.1方向过来icmp reply,以及arp报文,arp缓存表过期后则会发送一次广播,以获得mac地址。

dst指定到达目的方向的包,过滤本端发给对端的icmp request

代码语言:txt复制
tcpdump -nn -i any dst 192.168.1.1

指定网段:

代码语言:txt复制
tcpdump -nn -i any net 192.168.1.1/32

4.指定每个报文抓包字节数(-s)

有时候我们分析包一般分析头部就行了,不需要分析每个包的data数据部分,这样可以尽量减小抓包文件的大小,-s指定每个报文抓前面多少个字节:

代码语言:txt复制
tcpdump -nn -i any -s 84 host 192.168.1.1  #imcp协议默认为“56字节”数据字节 “28字节”的ICMP头,一共是84字节

如果不指定-s参数,tcpdump默认只会抓每个报文的前面56个字节,-s 0可以不限制字节数,每次都抓完整的包:

代码语言:txt复制
tcpdump -nn -i any -s 0 host 192.168.1.1

如果是icmp,56 8个字节的icmp头部,默认是64个字节:

5.指定端口和协议(port、portrange、protocol)

全量抓不如抓出问题的端口或协议,对症下药,语法也很简单:

代码语言:txt复制
tcpdump -nn -i any -s 0 icmp  #只抓icmp协议

icmp运行在网络层偏上,所以并没有端口的定义,抓icmp并不需要指定端口,那么抓tcp端口可以这样写:

代码语言:txt复制
tcpdump -nn -i any -s 60 tcp port 80  #作为演示,这里只抓60个头部字节

同理,那么udp可以这样写:

代码语言:txt复制
tcpdump -nn -i any -s 0 udp port 22

抓端口范围,需要用到portrange参数:

代码语言:txt复制
tcpdump -nn -i any tcp portrange 53-80 

如果不确定协议,只指定port即可:

代码语言:txt复制
tcpdump -nn -i any -s 0 port 22

6.tcpdump的逻辑表达式(or、and、not)

逻辑语句,顾名思义,只要接触过一点编程,就知道指的是或与非,及orandnot,其中not也可以用作!,此三个参数较常用,可以帮我们过滤出有用的信息,指哪打哪。

使用and指定目标和协议:

代码语言:txt复制
tcpdump -nn -i any -s 0 host 192.168.1.1 and icmp

使用or指定多个过滤条件:

代码语言:txt复制
tcpdump -nn -i any -s 0 host 192.168.1.1 or icmp or src net 192.168.1.1/32 

使用or!排除过滤条件:

代码语言:txt复制
tcpdump -nn -i any -s 0 ! net 172.16.0.0/16 and icmp and ! tcp

指定要抓包的网段掩码即可,那么综合以上,你可以举一反三,把它们搭配起来灵活运用,只要抓包逻辑语法正确即可,哪怕又臭又长:

代码语言:txt复制
tcpdump -nn -i any -s 0 dst host 192.168.1.197 and icmp and src net 192.168.1.1/32 or ( host 192.168.1.1 ) and ! tcp

bash解析每条命令最多255个字符,又臭又长无意义的语句不是拿来用于生产环境,而是平时练手可以多拼凑组合测试,到达炉火纯青的那一刻,生产环境想抓什么包想怎么搭配使用信手拈来。

7.指定数据包大小过滤(greater、less)

tcpdump提供指定每个报文大小的过滤方式,在需要过滤大包或特定大小的包场景特别好用。

过滤大于1000字节的包:

代码语言:txt复制
tcpdump -nn -s 0 -i any host 192.168.1.1 and greater 1000 and icmp

过滤小于1000字节的包:

代码语言:txt复制
tcpdump -nn -s 0 -i any host 192.168.1.1 and less 1000 and icmp

结合使用,缩小范围:

代码语言:txt复制
tcpdump -nn -s 0 -i any host 192.168.1.1 and less 800 and greater 690

8.Flags标记解读

下面的命令抓取一个完整连接,包括三次握手和四次挥手:

每个Flags含义如下:

Flags

含义

[S]

SYN

[.]

ACK

[S.]

SYN、ACK

[P.]

PUSH

[R.]

RST

[F.]

FIN

[DF]

Don't Fragment(不分片),当DF=0时,允许分片

[FP.]

FIN、PUSH、ACK

前面说过,如果使用tcpdump不好直观分析报文,可-w保存到文件后使用wireshark分析:

建立三次握手后,Tcp Keep-Alive一直保留连接,之后客户端主动挥手断开连接,客户端对应的行为是这样的:

9.指定抓包数量、抓包大小、及轮询抓包(-c、-W、-C、-G)

在某些场景需要分割抓包文件,轮询抓包,那么这几个参数可以排上用上:

  • -c指定抓多少个包
  • -W最多写入多少个抓包文件,以MB为单位
  • -C写入到抓包文件的大小上限

-c指定抓2个包:

代码语言:txt复制
tcpdump -i any -s 0 net 192.168.1.1/32 -c 2

-C指定写入到文件的大小上限为1M:

代码语言:txt复制
tcpdump -i any -s 0 -C 1 -v -w client.pcap

-W指定写入到10个抓包文件,每个文件只抓1M,循环写入:

代码语言:txt复制
tcpdump -i any -s 0 -C 1M -v -W 10 -w client.pcap

保存格式将在文件后缀加入从0-N的编号。

-G参数指定间隔多少秒轮询保存一次文件,通常是以时间格式命令:

代码语言:txt复制
tcpdump -nn -i any -s 0 -G 5 -Z root -v -w %m-%d-%H:%M:%S.pcap  #每隔五秒保存一次文件

-Z参数指定每次写入新文件用root权限执行,-w的时间格式为date命令的时间格式取值,可以之间拿来用。

-G通常配合-C来使用,指定每次每个文件抓固定大小:

代码语言:txt复制
tcpdump -nn -i any -s 0 -C 1 -G 5 -v -w %m-%d-%H:%M:%S.pcap

同时也可以配合timeout命令使用,抓固定时间后停止抓包:

代码语言:txt复制
timeout 10 tcpdump -nn -i any -s 0 -G 5 -v -w %m-%d-%H:%M:%S.pcap

只抓10s,每间隔5s轮询保存一次文件。

10.抓取指定Flag位的报文

抓指定标志位虽然不常用,通常是使用wireshark分析过滤,但如果这个功能在tcpdump上使用熟练,知道自己想要什么包,那么tcpdump这一层就能筛选出对你有用的报文,减少不必要的报文量。

只抓SYN标志位不为0的,并且只抓一个包:

代码语言:txt复制
tcpdump -nn -i any -s 0 -c 1 'tcp[tcpflags] & tcp-syn != 0'

抓一次完整握手需要的标志位:

代码语言:txt复制
tcpdump -nn -i any -s 0 'tcp[tcpflags] & (tcp-syn|tcp-ack|tcp-fin) != 0' and host 192.168.1.1

同时,也可以用二进制表示,不过可读性较差:

代码语言:txt复制
tcpdump -nn -i any -s 0 'tcp[13] & (1|2|18) != 0' and net 192.168.1.1/32 and tcp port 80

tcp字段在tcp头第十四字节存储,编程里面都是从0开始计数,那么tcp13就是表示tcp头部字段,附上过滤常用的几个字段含义:

表达式

含义

tcp13 = 2

捕获SYN包,二进制为:00000010

tcp23 = 18

捕获回给SYN的ACK包,二进制为:00010010

tcp13 & 2 = 2

捕获SYN和SYN对应的ACK包

tcp13 = 24

捕获PSH-ACK包

tcp13 & 1 = 1

捕获FIN-ACK包

tcp13 & 4 = 4

捕获RST包

其他协议也是以此类推,比如icmp:

代码语言:txt复制
tcpdump -nn -i any -c 2 -s 0 host 192.168.1.1 and 'icmp[icmptype] = icmp-echo or icmp[icmptype] = icmp-echoreply'

三、总结

以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。

同时附上PDF版本:

tcpdump分析总结.pdf

0 人点赞