[转帖][译]tcpdump 示例教程

tcpdump,示例,教程 · 浏览次数 : 0

小编点评

ANDand 或者 &&ORor 或者说 ||EXCEPTnot 或者 !原始数据输出使用组合参数查看详细输出，不要解决主机名或者端口号，使用绝对序列号，显示容易阅读的时间戳:1tcpdump -ttnnvvS 来自特定的IP,发往特定的端口来自10.5.2.3,发往任意网段去来自192.168.x.x子网，发往10.x和172.16.x.x 根据 TCP Flags 分离数据例如使用TCP RST flag筛选:12tcpdump 'tcp[13] & 4!=0' 根据 TCP SYN flag筛选:12tcpdump 'tcp[13] & 2!=0' 根据 TCP ACK flag筛选:12tcpdump 'tcp[13] & 16!=0' 根据 TCP PSH flag筛选:12tcpdump 'tcp[13] & 8!=0' 根据 TCP FIN flag筛选:12tcpdump 'tcp[13] & 1!=0' 根据 SYN 和RST筛选:12tcpdump 'tcp[13] = 6'发现 HTTP User Agent1tcpdump -vvAls0 | grep 'User-Agent:'GET 请求1tcpdump -vvAls0 | grep 'GET'HTTP Host1tcpdump -vvAls0 | grep 'Host:'HTTP Cookie1tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'SSH 连接1tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'DNS流量1tcpdump -vvAs0 port 53FTP流量1tcpdump -vvAs0 port ftp or ftp-dataNTP流量1tcpdump -vvAs0 port 123密码1tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '根据 evil bit筛选IP header中有一个bit从来没有被用过，我们叫它evil bit.可以筛选设置它的包1tcpdump 'ip[6] & 128 != 0' 归纳总结以上内容，生成内容时需要带简单的排版

正文

https://colobu.com/2019/07/16/a-tcpdump-tutorial-with-examples/

目录 [−]

原文: A tcpdump Tutorial with Examples — 50 Ways to Isolate Traffic

很好的整理，备查

tcpdump毫无无疑是首要的网络分析工具，因为它在一个工具中提供了强大的功能，而且还很简单。

本教程将向您展示如何以各种方式将流量基于IP、端口、协议、应用程序层协议分离(原文叫做isolate，你可以理解为filter, 将网卡中的各种数据包进行筛选，只保留我们关注的数据包)出来，以确保您尽快找到所需的内容(也就是数据包的筛选)。

首先我们看一个分离HTTPS流量的简单命令:

1	tcpdump -nnSX port 443

04:45:40.573686 IP 78.149.209.110.27782 > 172.30.0.144.443: Flags [.], ack 
278239097, win 28, options [nop,nop,TS val 939752277 ecr 1208058112], length 0
0x0000: 4500 0034 0014 0000 2e06 c005 4e8e d16e E..4........N..n
0x0010: ac1e 0090 6c86 01bb 8e0a b73e 1095 9779 ....l......>...y
0x0020: 8010 001c d202 0000 0101 080a 3803 7b55 ............8.{U
0x0030: 4801 8100

可以看到HTTPS的流量数据，左边是是十六进制，右边是ascii显示(当然它是加密的)。只要记住当你有所迟疑的时候，使用这个命令监控你感兴趣的端口，你就上路了。

既然你已经能够获取到流量数据，那么接下来介绍一些在实际工作中使用的命令例子。

网卡上的所有数据

运行下面的命令，监控一个指定的网络接口:

1	tcpdump -i eth0

基于IP查找流量

最重要的查询之一就是host,你可以查看1.1.1.1上的进出流量:

1	tcpdump host 1.1.1.1

06:20:25.593207 IP 172.30.0.144.39270 > one.one.one.one.domain: 
12790+ A? google.com. 
(28) 06:20:25.594510 IP one.one.one.one.domain > 172.30.0.144.39270: 
12790 1/0/0 A 172.217.15.78 (44)

根据来源和目标进行筛选

如果你只想看单一方向的流量，可以使用src和dst:

1 2	tcpdump src 1.1.1.1 tcpdump dst 1.0.0.1

根据网段进行查找

如果想查看某一网段或者子网的进出流量，可以:

1	tcpdump net 1.2.3.0/24

使用十六进制输出

当你想检查包的内容是否有问题的时候，十六进制输出很有帮助。当你想仔细检查几个候选包的时候是最好的方法：

1	tcpdump -c 1 -X icmp

显示特定端口的流量

你可以使用 port 查找特定端口的流量:

1 2	tcpdump port 3389 tcpdump src port 1025

显示特定协议的流量

如果你想查看特定协议的流量，你可以使用tcp、udp、icmp等各种协议:

1	tcpdump icmp

只显示 ipv6 的流量

通过协议参数可以查看所有ipv6的流量:

1	tcpdump ip6

查看一个端口段的流量

你可以查看某一范围内的所有端口的流量：

1	tcpdump portrange 21-23

基于包大小进行筛选

如果你正在查看特定大小的包，你可以使用这个参数。使用less、greater或者对应的数学符号:

1
2
3

tcpdump less 32 
tcpdump greater 64 
tcpdump <= 128

读写文件

经常需要将包存在文件中以便将来分析。这些文件叫做PCAP(PEE-cap)文件，它们可以被许许多多的工具进行分析，当然也包括tcpdump自己。

使用-w保存到文件:

1	tcpdump port 80 -w capture_file

你也可以使用-r从文件中读取。你可以使用各种参数分析文件中的包，但是显然你不可能处理文件中根本不存在的包：

1	tcpdump -r capture_file

前面几个例子我们介绍了tcpdump基本的功能，接下来我们介绍一些它的高级功能。

tcpdump还有一些参数：

-X : 同时显示包内容的ascii和十六进制数据
-XX : 同上，但是还显示 ethernet header.
-D : 显示所有可用网络接口的列表
-l : 基于行的输出，便于你保存查看，或者交给其它工具分析
-q : 使用较少的信息(more quiet),显示较少的协议信息
-t : 便于查看的时间戳
-tttt : 最容易查看的时间戳
-i eth0 : 监听eth0网络接口
-vv : 更多输出信息 (v越多输出信息越多).
-c : 只捕获 x 个包，然后就停止
-s : 定义包获取的字节大小.使用-s0获取完整的包
-S : 打印出绝对sequence numbers
-e : 还获取ethernet header
-E : 揭秘IPSEC数据

当然还有一些其它不太常用的参数。

单独使用一个参数就很强大了，但是tcpdump的魔力就在于可以创造性的组合参数，以便准确的分离出你想查找的包。有三种方式可以组合，只要你稍微有点编程基础就很容易理解。

AND
and 或者 &&
OR
or 或者说 ||
EXCEPT
not 或者 !

原始数据输出

使用组合参数查看详细输出，不要解决主机名或者端口号，使用绝对序列号，显示容易阅读的时间戳:

1	tcpdump -ttnnvvS

下面是几个组合的例子。

来自特定的IP,发往特定的端口

来自10.5.2.3,发往任意主机的3389端口的包:

1	tcpdump -nnvvS src 10.5.2.3 and dst port 3389

从某个网段来，到某个网段去

来自192.168.x.x子网，发往10.x和172.16.x.x。显示十六进制，无需翻译主机名，一个v的详细信息。

1	tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

到某个IP的非ICMP流量

发往192.168.0.2,非icmp流量。

1	tcpdump dst 192.168.0.2 and src net and not icmp

###来自某个主机，发往排除的端口

来自mars主机，发往非SSH端口。

1	tcpdump -vv src mars and not dst port 22

如你所见，你可以组合查询你所需的所有的数据。关键是你要准确弄清楚你要查找什么数据，然后准备查询去分离数据。

注意当你构建复杂查询的时候，你可能需要使用引号。单引号告诉tcpdump忽略特定的特殊字符，如下面的例子中的括号。

1	tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

根据 TCP Flags 分离数据

例如使用TCP RST flag筛选:

1 2	tcpdump 'tcp[13] & 4!=0' tcpdump 'tcp[tcpflags] == tcp-rst'

根据 TCP SYN flag筛选

1 2	tcpdump 'tcp[13] & 2!=0' tcpdump 'tcp[tcpflags] == tcp-syn'

根据 TCP SYN和ACK flag筛选

1	tcpdump 'tcp[13]=18'

根据 TCP URG flag筛选

1 2	tcpdump 'tcp[13] & 32!=0' tcpdump 'tcp[tcpflags] == tcp-urg'

根据 TCP ACK flag筛选

1 2	tcpdump 'tcp[13] & 16!=0' tcpdump 'tcp[tcpflags] == tcp-ack'

根据 TCP PSH flag筛选

1 2	tcpdump 'tcp[13] & 8!=0' tcpdump 'tcp[tcpflags] == tcp-psh'

根据 TCP FIN flag筛选

1 2	tcpdump 'tcp[13] & 1!=0' tcpdump 'tcp[tcpflags] == tcp-fin'

根据 SYN 和RST筛选

1	tcpdump 'tcp[13] = 6'

发现 HTTP User Agent

1	tcpdump -vvAls0 \| grep 'User-Agent:'

GET 请求

1	tcpdump -vvAls0 \| grep 'GET'

HTTP Host

1	tcpdump -vvAls0 \| grep 'Host:'

HTTP Cookie

1	tcpdump -vvAls0 \| grep 'Set-Cookie\|Host:\|Cookie:'

SSH 连接

1	tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'

DNS流量

1	tcpdump -vvAs0 port 53

FTP流量

1	tcpdump -vvAs0 port ftp or ftp-data

NTP流量

1	tcpdump -vvAs0 port 123

密码

1	tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA \| egrep -i -B5 'pass=\|pwd=\|log=\|login=\|user=\|username=\|pw=\|passw=\|passwd= \|password=\|pass:\|user:\|username:\|password:\|login:\|pass \|user '

根据 evil bit筛选

IP header中有一个bit从来没有被用过，我们叫它evil bit.可以筛选设置它的包

1	tcpdump 'ip[6] & 128 != 0'