tcpdump抓包工具

Posted 2022-09-15 哭泣的馒头

一、简述

tcpdump采用命令行方式对接口的数据包进行筛选抓取，其丰富特性表现在灵活的表达式上。

它使用 ​​libpcap​​ 库来抓取网络数据包，这个库在几乎在所有的 Linux/Unix 中都有。

注意，tcpdump只能抓取流经本机的数据包，不带任何选项的tcpdump，默认会抓取第一个网络接口，且只有将tcpdump进程终止才会停止抓包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1) tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2) -i eth1 : 只抓经过接口eth1的包
(3) -t : 不显示时间戳
(4) -s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5) -c 100 : 只抓取100个数据包
(6) dst port ! 22 : 不抓取目标端口是22的数据包
(7) src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8) -w ./target.cap : 保存成cap文件，方便用wireshark分析。

1、命令格式

tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]
        [ -s snaplen ] [ -w file ] [ expression ]

2、抓包选项

-c：指定要抓取的包数量。注意，是最终要获取这么多个包。例如，指定"-c 10"将获取10个包，但可能已经处理了100个包，只不过只有10
    个包是满足条件的包。
-i interface：指定tcpdump需要监听的接口。若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口
   ，要抓取loopback接口使用tcpdump -i lo)，
   ：一旦找到第一个符合条件的接口，搜寻马上结束。可以使用any关键字表示所有网络接口。
-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。
-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。
-N：不打印出host的域名部分。例如tcpdump将会打印nic而不是nic.ddn.mil。
-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生
        包截断，若出现包截断，
      ：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓
        存的数据包的数量，
      ：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。

输出选项：
-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v：当分析和打印的时候，产生详细的输出。
-vv：产生比-v更详细的输出。
-vvv：产生比-vv更详细的输出。

其他功能性选项：
-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。
-w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项
    载入这些文件以进行分析和打印。
-r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

常用选项：
tcpdump -D
tcpdump -c num -i int -nn -XX -vvv

二、实验

1、tcpdump表达式

表达式用于筛选输出哪些类型的数据包，如果没有给定表达式，所有的数据包都将输出，否则只输出表达式为true的包。在表达式中出现的
shell元字符建议使用单引号包围。

tcpdump的表达式由一个或多个"单元"组成，每个单元一般包含ID的修饰符和一个ID(数字或名称)。有三种修饰符：
所以，一个基本的表达式单元格式为"proto dir type ID"
常用的协议有tcp/udp/arp/ip/ether/icmp等，若未给定协议类型，则匹配所有可能的类型。例如"tcp port 21"，“udp portrange 
7000-7009”。

(1).proto：通过给定协议限定匹配的数据包类型。
可以给定的值包括src/dst/src or dst/src and dst，默认为src or dst。例如，"src foo"表示源主机为foo的数据包，
"dst net 128.3"表示目标网络为128.3的数据包，"src or dst port 22"表示源或目的端口为22的数据包。

(2).dir：指定ID的方向。
可以给定的值有host/net/port/portrange。例如"host foo"，“net 128.3”，“port 20”，“portrange 6000-6008”。默认的type为
host。

(3).type：指定ID的类型。
tcpdump的表达式由一个或多个"单元"组成，每个单元一般包含ID的修饰符和一个ID(数字或名称)。有三种修饰符：
除了使用修饰符和ID组成的表达式单元，还有关键字表达式单元：gateway，broadcast，less，greater以及算术表达式。
表达式单元之间可以使用操作符" and / && / or / || / not / ! “进行连接，从而组成复杂的条件表达式。如"host foo and not
port ftp and not port ftp-data”，这表示筛选的数据包要满足"主机为foo且端口不是ftp(端口21)和ftp-data(端口20)的包"，常用端
口和名字的对应关系可在linux系统中的/etc/service文件中找到。

另外，同样的修饰符可省略，如"tcp dst port ftp or ftp-data or domain"与"tcp dst port ftp or tcp dst port ftp-data or 
tcp dst port domain"意义相同，都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。
使用括号"()“可以改变表达式的优先级，但需要注意的是括号会被shell解释，所以应该使用反斜线”“转义为”()"，在需要的时候，还需要包围在引号中。

2、实例

注意，tcpdump只能抓取流经本机的数据包。

1、默认启动
tcpdump
默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。这样抓取的结果会非常多，滚动非常快。

2、监视指定网络接口的数据包
tcpdump -i eth1
如果不指定网卡，默认tcpdump只会监视第一个网络接口，如eth0。

3、监视指定主机的数据包
例如所有进入或离开longshuai的数据包
tcpdump host longshuai

4、打印helios<–>hot或helios<–>ace之间通信的数据包
tcpdump host helios and \\( hot or ace \\)

5、打印ace与任何其他主机之间通信的IP数据包
但不包括与helios之间的数据包
tcpdump ip host ace and not helios

6、截获主机hostname发送的所有数据
tcpdump src host hostname

7、监视所有发送到主机hostname的数据包
tcpdump dst host hostname

8、监视指定主机和端口的数据包
tcpdump tcp port 22 and host hostname

9、对本机的udp 123端口进行监视(123为ntp的服务端口)
tcpdump udp port 123

10、监视指定网络的数据包
如本机与192.168网段通信的数据包，"-c 10"表示只抓取10个包
tcpdump -c 10 net 192.168

11、打印所有通过网关snup的ftp数据包
(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
shell> tcpdump gateway snup and (port ftp or ftp-data)

12、抓取ping包
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp 
如果明确要抓取主机为192.168.100.70对本机的ping，则使用and操作符。
[root@server2 ~]# tcpdump -c 5 -nn -i eth0 icmp and src 192.168.100.62
注意不能直接写icmp src 192.168.100.70，因为icmp协议不支持直接应用host这个type。

13、抓取到本机22端口包
[root@server2 ~]# tcpdump -c 10 -nn -i eth0 tcp dst port 22  

总的来说，tcpdump对基本的数据包抓取方法还是较简单的。只要掌握有限的几个选项(-nn -XX -vvv -i -c -q)，再组合表达式即可。

3、tcpdump过滤器

可以给tcpdump传送“过滤表达式”来起到网络包过滤的作用，而且可以支持传入单个或多个过滤表达式。
可以通过命令 man pcap-filter 来参考过滤表达式的帮助文档
过滤表达式大体可以分成三种过滤条件，“类型”、“方向”和“协议”，这三种条件的搭配组合就构成了我们的过滤表达式。

关于类型的关键字，主要包括host，net，port, 例如 host 210.45.114.211，指定主机 210.45.114.211，net 210.11.0.0 指明
210.11.0.0是一个网络地址，port 21 指明端口号是21。如果没有指定类型，缺省的类型是host.

关于传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,
这些关键字指明了传输的方向。举例说明，src 210.45.114.211 ,指明ip包中源地址是210.45.114.211, dst net 210.11.0.0 指明目的
网络地址是210.11.0.0  。如果没有指明方向关键字，则缺省是srcor dst关键字。

关于协议的关键字，主要包括 ether,ip,ip6,arp,rarp,tcp,udp等类型。这几个的包的协议内容。如果没有指定任何协议，则tcpdump将会
监听所有协议的信息包。

如我们只想抓tcp的包命令为: sudo tcpdump -i eth0  -nn -c1 tcp
除了这三种类型的关键字之外，其他重要的关键字如下：
gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 not  ! , 与运算是and,&&;或运算是or ,||；
可以利用这些关键字进行组合，从而组合为比较强大的过滤条件。下面举例说明

1、只想查目标机器端口是21或80的网络包，其他端口的我不关注：
　　sudo tcpdump -i eth0 -c 10 dst port 21 or dst port 80
2、想要截获主机172.16.0.11 和主机210.45.123.249或 210.45.123.248的通信，使用命令(注意括号的使用)：
　　sudo tcpdump -i eth0 -c 3 host 172.16.0.11 and (210.45.123.249 or210.45.123.248)
3、想获取使用ftp端口和ftp数据端口的网络包
   sudo tcpdump port ftp or ftp-data
   这里 ftp、ftp-data到底对应哪个端口？ linux系统下 /etc/services这个文件里面，就存储着所有知名服务和传输层端口的对应关系
   。如果你直接把/etc/services里的ftp对应的端口值从21改为了3333，那么tcpdump就会去抓端口含有3333的网络包了。
4、如果想要获取主机172.16.0.11除了和主机210.45.123.249之外所有主机通信的ip包，使用命令：
 sudo tcpdump ip ‘host 172.16.0.11 and ! 210.45.123.249’
5、抓172.16.0.11的80端口和110和25以外的其他端口的包
sudo tcpdump -i eth0 host 172.16.0.11 and! port 80 and ! port 25 and ! port 110

6、提取HTTP用户代理
$ tcpdump -nn -A -s1500 -l | grep "User-Agent:"
通过 egrep 可以同时提取用户代理和主机名（或其他头文件）
tcpdump -nn -A -s1500 -l | egrep -i User-Agent:|Host:
7、只抓取 HTTP GET 和 POST 流量
抓取 HTTP GET 流量：
$ tcpdump -s 0 -A -vv tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
也可以抓取 HTTP POST 请求流量：
$ tcpdump -s 0 -A -vv tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354
注意：该方法不能保证抓取到 HTTP POST 有效数据流量，因为一个 POST 请求会被分割为多个 TCP 数据包。
上述两个表达式中的十六进制将会与 GET 和 POST 请求的 ASCII 字符串匹配。例如，tcp[((tcp[12:1] & 0xf0) >> 2):4] 首先会确定
我们感兴趣的字节的位置（在 TCP header 之后），然后选择我们希望匹配的 4 个字节。
8、提取 HTTP 请求的 URL#
提取 HTTP 请求的主机名和路径：
$ tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"
9、提取 HTTP POST 请求中的密码#
从 HTTP POST 请求中提取密码和主机名：
$ tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
10、提取 Cookies#
提取 Set-Cookie（服务端的 Cookie）和 Cookie（客户端的 Cookie）：
$ tcpdump -nn -A -s0 -l | egrep -i Set-Cookie|Host:|Cookie:
11、查看网络上的所有 ICMP 数据包：
$ tcpdump -n icmp
12、抓取非 ECHO/REPLY 类型的 ICMP 数据包#
通过排除 echo 和 reply 类型的数据包使抓取到的数据包不包括标准的 ping 包：
$ tcpdump icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply
13、抓取 SMTP/POP3 协议的邮件#
可以提取电子邮件的正文和其他数据。例如，只提取电子邮件的收件人：
$ tcpdump -nn -l port 25 | grep -i MAIL FROM\\|RCPT TO
14、可以通过 tcpdump 抓取 GetRequest 和 GetResponse：
$ tcpdump -n -s0  port 161 and udp
15、切割 pcap 文件#
当抓取大量数据并写入文件时，可以自动切割为多个大小相同的文件。例如，下面的命令表示每 3600 秒创建一个新文件 capture-(hour)
.pcap，每个文件大小不超过 200*1000000 字节：
$ tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200
这些文件的命名为 capture-1-24.pcap，24 小时之后，之前的文件就会被覆盖。
16、抓取 IPv6 流量#
可以通过过滤器 ip6 来抓取 IPv6 流量，同时可以指定协议如 TCP：
$ tcpdump -nn ip6 proto 6
从之前保存的文件中读取 IPv6 UDP 数据报文：
$ tcpdump -nr ipv6-test.pcap ip6 proto 17
17、抓取 HTTP 有效数据包#
抓取 80 端口的 HTTP 有效数据包，排除 TCP 连接建立过程的数据包（SYN / FIN / ACK）：
$ tcpdump tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
18、将输出内容重定向到 Wireshark#
通常 Wireshark（或 tshark）比 tcpdump 更容易分析应用层协议。一般的做法是在远程服务器上先使用 tcpdump 抓取数据并写入文件，
然后再将文件拷贝到本地工作站上用 Wireshark 分析。
还有一种更高效的方法，可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。以 MacOS 系统为例，可以通过 
brew cask install wireshark 来安装，然后通过下面的命令来分析：
$ ssh root@remotesystem tcpdump -s0 -c 1000 -nn -w - not port 22 | /Applications/Wireshark.app/Contents/MacOS
/Wireshark -k -i -
例如，如果想分析 DNS 协议，可以使用下面的命令：
$ ssh root@remotesystem tcpdump -s0 -c 1000 -nn -w - port 53 | /Applications/Wireshark.app/Contents/MacOS/
Wireshark -k -i -
19、找出发包最多的 IP#
找出一段时间内发包最多的 IP，或者从一堆报文中找出发包最多的 IP，可以使用下面的命令：
$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d . | sort | uniq -c | sort -nr | head -n 20
20、抓取用户名和密码#
本例将重点放在标准纯文本协议上，过滤出于用户名和密码相关的报文
$ tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 
pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |
user 

4、读取抓包文件

1、读取抓包文件
tcpdump 加上 -r 参数和文件名称，就可以读取这个文件了，而且也可以加上过滤条件
tcpdump -r file.pcap tcp[tcpflags] & (tcp-rst) != 0

2、过滤报文
tcp 标记值有 tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg
# 过滤出 TCP RST 报文
tcpdump -w file.pcap tcp[tcpflags]&(tcp-rst) != 0
# 用偏移量的写
tcpdump -w file.pcap tcp[13]&4 != 0

3、过滤后转存
我们想从抓包文件中过滤出想要的报文，并转存到另一个文件中。比如想从一个抓包文件中找到 TCP RST 报文，并把这些 RST 报文保存到
新文件。那么就可以这么做：
tcpdump -r file.pcap tcp[tcpflags] & (tcp-rst) != 0 -w rst.pcap