一、前言
网络故障排查中,经常要抓包,windows有wireshark,linux最常用的是tcpdump,其中被问得最多的一个问题:"iptables限制后,tcpdump还能抓到包吗?",首先看下数据包进入OS及出去的顺序:
网卡nic
-> tcpdump
-> iptables(netfilter)
-> app
-> iptables(netfilter)
-> tcpdump
-> 网卡nic
显而易见,数据包到达网卡后,tcpdump有能力直接捕获到,不受iptables的影响,此时数据包还没有到达iptables的PREROUTING
链,到达APP后,处理完报文从iptables出去,出去最终要走到POSTROUTING
链再到tcpdump,所以此时受到iptables的OUTPUT
和POSTROUTING
链影响,这两条链的规则决定tcpdump能不能抓到出去的包,iptables各个链工作顺序如下(图片来源于网络):
本文将汇总日常工作使用中的一些用法和技巧,同时附上tcpdump官方文档:https://www.tcpdump.org/tcpdump_man.html。
二、tcpdump常用参数详解
1.指定网卡和主机抓包(-i、host)
指定所有网卡并限定主机为192.168.1.1
代码语言:txt复制tcpdump -i any host 192.168.1.1 #-i指定网卡为所有
此时如果和对端主机有数据交互,那么屏幕上有输出信息,同时这些信息不会保存在文件里,比如下面这个icmp包:
CTRL C
给进程发送SIGINT
信号,中断tcpdump当前抓包,会发现这些数据包默认会显示在屏幕上,如果是简单数据包直接拿tcpdump分析是没问题的,但在报文交互很大的场景下,要过滤特定流,此时用tcpdump分析效率会很低,正确的做法是tcpdump抓包保存为抓包文件(.pcap
、.cap
都行),再用wireshark分析。
同时这里还有问题,tcpdump默认会将IP反向解析成host或域名,-nn
参数可以禁止反向解析,增加可读性。
2.写入文件并查阅报文(-w、-r)
那么改进后的抓包命令可以是:
代码语言:txt复制tcpdump -i any host 192.168.1.1 -nn -v -w client.pcap
-nn
:禁止反向解析
-v
:显示详细抓包信息
-w
:写入到client.pcap
可以看到第一条命令,IP不再反解成host或域名,第二条命令-w
写入到client.pcap后,使用-r
参数指定报文文件查阅内容。
3.指定来源IP或目的IP或网段(src、dst、net)
如果只想抓一个方向的流,使用src
指定源或者dst
指定目标:
tcpdump -i any src host 192.168.1.1 -nn
这样一来只抓一个方向的流,如图只有1.1方向过来icmp reply
,以及arp报文,arp缓存表过期后则会发送一次广播,以获得mac地址。
dst
指定到达目的方向的包,过滤本端发给对端的icmp request
:
tcpdump -nn -i any dst 192.168.1.1
指定网段:
代码语言:txt复制tcpdump -nn -i any net 192.168.1.1/32
4.指定每个报文抓包字节数(-s)
有时候我们分析包一般分析头部就行了,不需要分析每个包的data数据部分,这样可以尽量减小抓包文件的大小,-s
指定每个报文抓前面多少个字节:
tcpdump -nn -i any -s 84 host 192.168.1.1 #imcp协议默认为“56字节”数据字节 “28字节”的ICMP头,一共是84字节
如果不指定-s
参数,tcpdump默认只会抓每个报文的前面56个字节,-s 0
可以不限制字节数,每次都抓完整的包:
tcpdump -nn -i any -s 0 host 192.168.1.1
如果是icmp,56 8个字节的icmp头部,默认是64个字节:
5.指定端口和协议(port、portrange、protocol)
全量抓不如抓出问题的端口或协议,对症下药,语法也很简单:
代码语言:txt复制tcpdump -nn -i any -s 0 icmp #只抓icmp协议
icmp运行在网络层偏上,所以并没有端口的定义,抓icmp并不需要指定端口,那么抓tcp端口可以这样写:
代码语言:txt复制tcpdump -nn -i any -s 60 tcp port 80 #作为演示,这里只抓60个头部字节
同理,那么udp可以这样写:
代码语言:txt复制tcpdump -nn -i any -s 0 udp port 22
抓端口范围,需要用到portrange
参数:
tcpdump -nn -i any tcp portrange 53-80
如果不确定协议,只指定port
即可:
tcpdump -nn -i any -s 0 port 22
6.tcpdump的逻辑表达式(or、and、not)
逻辑语句,顾名思义,只要接触过一点编程,就知道指的是或与非,及or
、and
、not
,其中not
也可以用作!
,此三个参数较常用,可以帮我们过滤出有用的信息,指哪打哪。
使用and
指定目标和协议:
tcpdump -nn -i any -s 0 host 192.168.1.1 and icmp
使用or
指定多个过滤条件:
tcpdump -nn -i any -s 0 host 192.168.1.1 or icmp or src net 192.168.1.1/32
使用or
或!
排除过滤条件:
tcpdump -nn -i any -s 0 ! net 172.16.0.0/16 and icmp and ! tcp
指定要抓包的网段掩码即可,那么综合以上,你可以举一反三,把它们搭配起来灵活运用,只要抓包逻辑语法正确即可,哪怕又臭又长:
代码语言:txt复制tcpdump -nn -i any -s 0 dst host 192.168.1.197 and icmp and src net 192.168.1.1/32 or ( host 192.168.1.1 ) and ! tcp
bash解析每条命令最多255个字符,又臭又长无意义的语句不是拿来用于生产环境,而是平时练手可以多拼凑组合测试,到达炉火纯青的那一刻,生产环境想抓什么包想怎么搭配使用信手拈来。
7.指定数据包大小过滤(greater、less)
tcpdump提供指定每个报文大小的过滤方式,在需要过滤大包或特定大小的包场景特别好用。
过滤大于1000字节的包:
代码语言:txt复制tcpdump -nn -s 0 -i any host 192.168.1.1 and greater 1000 and icmp
过滤小于1000字节的包:
代码语言:txt复制tcpdump -nn -s 0 -i any host 192.168.1.1 and less 1000 and icmp
结合使用,缩小范围:
代码语言:txt复制tcpdump -nn -s 0 -i any host 192.168.1.1 and less 800 and greater 690
8.Flags标记解读
下面的命令抓取一个完整连接,包括三次握手和四次挥手:
每个Flags含义如下:
Flags | 含义 |
---|---|
| SYN |
| ACK |
| SYN、ACK |
| PUSH |
| RST |
| FIN |
| Don't Fragment(不分片),当DF=0时,允许分片 |
| FIN、PUSH、ACK |
前面说过,如果使用tcpdump不好直观分析报文,可-w
保存到文件后使用wireshark分析:
建立三次握手后,Tcp Keep-Alive
一直保留连接,之后客户端主动挥手断开连接,客户端对应的行为是这样的:
9.指定抓包数量、抓包大小、及轮询抓包(-c、-W、-C、-G)
在某些场景需要分割抓包文件,轮询抓包,那么这几个参数可以排上用上:
-c
指定抓多少个包-W
最多写入多少个抓包文件,以MB为单位-C
写入到抓包文件的大小上限
-c
指定抓2个包:
tcpdump -i any -s 0 net 192.168.1.1/32 -c 2
-C
指定写入到文件的大小上限为1M:
tcpdump -i any -s 0 -C 1 -v -w client.pcap
-W
指定写入到10个抓包文件,每个文件只抓1M,循环写入:
tcpdump -i any -s 0 -C 1M -v -W 10 -w client.pcap
保存格式将在文件后缀加入从0-N的编号。
-G
参数指定间隔多少秒轮询保存一次文件,通常是以时间格式命令:
tcpdump -nn -i any -s 0 -G 5 -Z root -v -w %m-%d-%H:%M:%S.pcap #每隔五秒保存一次文件
-Z
参数指定每次写入新文件用root
权限执行,-w
的时间格式为date
命令的时间格式取值,可以之间拿来用。
-G
通常配合-C
来使用,指定每次每个文件抓固定大小:
tcpdump -nn -i any -s 0 -C 1 -G 5 -v -w %m-%d-%H:%M:%S.pcap
同时也可以配合timeout
命令使用,抓固定时间后停止抓包:
timeout 10 tcpdump -nn -i any -s 0 -G 5 -v -w %m-%d-%H:%M:%S.pcap
只抓10s,每间隔5s轮询保存一次文件。
10.抓取指定Flag位的报文
抓指定标志位虽然不常用,通常是使用wireshark分析过滤,但如果这个功能在tcpdump上使用熟练,知道自己想要什么包,那么tcpdump这一层就能筛选出对你有用的报文,减少不必要的报文量。
只抓SYN标志位不为0的,并且只抓一个包:
代码语言:txt复制tcpdump -nn -i any -s 0 -c 1 'tcp[tcpflags] & tcp-syn != 0'
抓一次完整握手需要的标志位:
代码语言:txt复制tcpdump -nn -i any -s 0 'tcp[tcpflags] & (tcp-syn|tcp-ack|tcp-fin) != 0' and host 192.168.1.1
同时,也可以用二进制表示,不过可读性较差:
代码语言:txt复制tcpdump -nn -i any -s 0 'tcp[13] & (1|2|18) != 0' and net 192.168.1.1/32 and tcp port 80
tcp字段在tcp头第十四字节存储,编程里面都是从0开始计数,那么tcp13就是表示tcp头部字段,附上过滤常用的几个字段含义:
表达式 | 含义 |
---|---|
tcp13 = 2 | 捕获SYN包,二进制为:00000010 |
tcp23 = 18 | 捕获回给SYN的ACK包,二进制为:00010010 |
tcp13 & 2 = 2 | 捕获SYN和SYN对应的ACK包 |
tcp13 = 24 | 捕获PSH-ACK包 |
tcp13 & 1 = 1 | 捕获FIN-ACK包 |
tcp13 & 4 = 4 | 捕获RST包 |
其他协议也是以此类推,比如icmp:
代码语言:txt复制tcpdump -nn -i any -c 2 -s 0 host 192.168.1.1 and 'icmp[icmptype] = icmp-echo or icmp[icmptype] = icmp-echoreply'
三、总结
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
同时附上PDF版本: