​tcpdump​​ 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。

​tcpdump​​ 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。

本文中,我们将讨论 ​​tcpdump​​ 最常用的一些功能。

1、在 Linux 中安装 tcpdump

用下面的命令检查一下是否已经安装了 ​​tcpdump​​:

which tcpdump

Linux 使用 tcpdump 命令抓包_服务器

如果还没有安装 ​​tcpdump​​​,用如下命令安装 ​​tcpdump​​:

sudo yum install -y tcpdump

​tcpdump​​​ 依赖于 ​​libpcap​​,该库文件用于捕获网络数据包。如果该库文件也没有安装,系统会根据依赖关系自动安装它。

2、用 tcpdump 抓包

使用 ​​tcpdump​​ 抓包,需要管理员权限,因此下面的示例中绝大多数命令都是以 sudo 开头

首先,先用 ​​tcpdump -D​​ 命令列出可以抓包的网络接口:

sudo tcpdump -D

 

Linux 使用 tcpdump 命令抓包_服务器_02

如上所示,可以看到我的机器中所有可以抓包的网络接口。其中特殊接口 any 可用于抓取所有活动的网络接口的数据包

我们就用如下命令先对 ​​any​​ 接口进行抓包:

sudo tcpdump -i any

Linux 使用 tcpdump 命令抓包_数据_03

 

​tcpdump​​​ 会持续抓包直到收到中断信号。你可以按 ​​Ctrl+C​​​ 来停止抓包。正如上面示例所示,​​tcpdump​​​ 抓取了超过 10000 个数据包。在这个示例中,由于我是通过 ​​ssh​​​ 连接到服务器,所以 ​​tcpdump​​ 也捕获了所有这类数据包。

​-c​​​ 选项可以用于限制 ​​tcpdump​​ 抓包的数量:

sudo tcpdump -i any -c 3

Linux 使用 tcpdump 命令抓包_服务器_04

如上所示,​​tcpdump​​​ 在抓取 3 个数据包后自动停止了抓包。这在有些场景中十分有用 —— 比如你只需要抓取少量的数据包用于分析。当我们需要使用过滤规则抓取特定的数据包(如下所示)时,​​-c​​ 的作用就十分突出了。

在上面示例中,​​tcpdump​​​ 默认是将 IP 地址和端口号解析为对应的接口名以及服务协议名称。而通常在网络故障排查中,使用 IP 地址和端口号更便于分析问题;用 ​​-n​​​ 选项显示 IP 地址,​​-nn​​ 选项显示端口号:

sudo tcpdump -i any -c 3 -nn

 

Linux 使用 tcpdump 命令抓包_抓包_05

 

如上所示,抓取的数据包中显示 IP 地址和端口号。这样还可以阻止 ​​tcpdump​​ 发出 DNS 查找,有助于在网络故障排查中减少数据流量。

现在你已经会抓包了,让我们来分析一下这些抓包输出的含义吧。

3、理解抓取的报文

​tcpdump​​​ 能够抓取并解码多种协议类型的数据报文,如 TCP、UDP、ICMP 等等。虽然这里我们不可能介绍所有的数据报文类型,但可以分析下 TCP 类型的数据报文,来帮助你入门。更多有关 ​​tcpdump​​​ 的详细介绍可以参考其 ​​帮助手册​​​。​​tcpdump​​ 抓取的 TCP 报文看起来如下:

12:43:24.047063 IP 202.106.2.140.22 > 202.106.2.116.52980: Flags [P.], seq 4020757562:4020757774, ack 1254862904, win 274, length 212

1列:12:43:24.047063 是该数据报文被抓取的系统本地时间戳。

​2列:IP​​​ 是网络层协议类型,这里是 ​​IPv4​​​,如果是 ​​IPv6​​​ 协议,该字段值是 ​​IP6​​。

​3列:202.106.2.140​​ 是源 IP 地址和端口号 22

​4列:202.106.2.116​​ 是目的 IP 地址和端口号 52980

5列: TCP 报文标记段 ​​Flags [P.]​​​。该字段也可以是这些值的组合,例如 ​​[S.]​​​ 代表 ​​SYN-ACK​​ 数据包。该字段通常取值如下:


标志类型

描述

S

SYN

Connection Start

F

FIN

Connection Finish

P

PUSH

Data push

R

RST

Connection reset

.

ACK

Acknowledgment

 

6列:接下来是该数据包中数据的序列号。对于抓取的第一个数据包,该字段值是一个绝对数字,后续包使用相对数值,以便更容易查询跟踪。例如此处 seq 4020757562:4020757774代表该数据包包含该数据流的第 XX 到 XXX 字节。

7列:接下来是 ack 值:ack 1254862904。该数据包是数据发送方,ack 值为 XXX。在数据接收方,该字段代表数据流上的下一个预期字节数据。

8列:接下来字段是接收窗口大小 ​​win 274​​​,它表示接收缓冲区中可用的字节数,后跟 TCP 选项如 MSS(最大段大小)或者窗口比例值。更详尽的 TCP 协议内容请参考 ​​Transmission Control Protocol(TCP) Parameters​​。

9列:​​length 212​​代表数据包有效载荷字节长度。这个长度和 seq 序列号中字节数值长度是不一样的。

现在让我们学习如何过滤数据报文以便更容易的分析定位问题。

4、过滤数据包

正如上面所提,​​tcpdump​​ 可以抓取很多种类型的数据报文,其中很多可能和我们需要查找的问题并没有关系。举个例子,假设你正在定位一个与 web 服务器连接的网络问题,就不必关心 SSH 数据报文,因此在抓包结果中过滤掉 SSH 报文可能更便于你分析问题。

​tcpdump​​ 有很多参数选项可以设置数据包过滤规则,例如根据源 IP 以及目的 IP 地址,端口号,协议等等规则来过滤数据包。下面就介绍一些最常用的过滤方法。

协议

在命令中指定协议便可以按照协议类型来筛选数据包。比方说用如下命令只要抓取 ICMP 报文:

sudo tcpdump -i ens192 icmp -c 5

然后再打开一个终端,去 ping 另一台机器或者用本机ping连接的这个服务器。

回到运行 ​​tcpdump​​​ 命令的终端中,可以看到它筛选出了 ICMP 报文。这里 ​​tcpdump​​​ 并没有显示有关 ​​opensource.com​​ 的域名解析数据包:

Linux 使用 tcpdump 命令抓包_数据_06

 

主机

用 ​​host​​​ 参数只抓取和特定主机相关的数据包,只抓取和显示与 ​​202.106.2.116​​ 有关的数据包。

sudo tcpdump -i ens192  -c 5 -nn host 202.106.2.116

端口号

​tcpdump​​ 可以根据服务类型或者端口号来筛选数据包。例如,抓取和 HTTP 服务相关的数据包:

sudo tcpdump -i ens192  -c 5 -nn port 80

Linux 使用 tcpdump 命令抓包_服务器_07

IP 地址/主机名

同样,你也可以根据源 IP 地址或者目的 IP 地址或者主机名来筛选数据包。例如抓取源 IP 地址为 ​​202.106.2.116​​ 的数据包:

sudo tcpdump -i ens192  -c 5 -nn src 202.106.2.116

注意此处示例中抓取了来自源 IP 地址 ​​192.168.122.98​​ 的 53 端口以及 80 端口的数据包,它们的应答包没有显示出来因为那些包的源 IP 地址已经变了。

相对的,使用 ​​dst​​ 就是按目的 IP/主机名来筛选数据包。

sudo tcpdump -i ens192  -c 5 -nn dst 202.106.2.116

 

Linux 使用 tcpdump 命令抓包_抓包_08

 

多条件筛选

当然,可以使用多条件组合来筛选数据包,使用 ​​and​​​ 以及 ​​or​​ 逻辑操作符来创建过滤规则。例如,筛选来自源 IP 地址 XXX 的 HTTP 数据包:

sudo tcpdump -i ens192  -c 5 -nn dst 202.106.2.116 and port 80

sudo tcpdump -i ens192  -c 5 -nn dst 202.106.2.116 or port 80

 

Linux 使用 tcpdump 命令抓包_数据_09

 

你也可以使用括号来创建更为复杂的过滤规则,但在 shell 中请用引号包含你的过滤规则以防止被识别为 shell 表达式:

sudo tcpdump -i ens192  -c 5 -nn 'port 80 and (dst 202.106.2.116 or src 202.106.2.140)'

 

sudo tcpdump -i ens192  -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)'

 

Linux 使用 tcpdump 命令抓包_数据_10

 小结:

第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网??上的特定的网络协议,实际上它是"ether" 的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。


除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。

5、检查数据包内容

在以上的示例中,我们只按数据包头部的信息来建立规则筛选数据包,例如源地址、目的地址、端口号等等。有时我们需要分析网络连接问题,可能需要分析数据包中的内容来判断什么内容需要被发送、什么内容需要被接收等。​​tcpdump​​​ 提供了两个选项可以查看数据包内容,​​-X​​​ 以十六进制打印出数据报文内容,​​-A​​ 打印数据报文的 ASCII 值。

例如,HTTP 请求报文内容如下:

 

sudo tcpdump -i ens192  -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)' -A
sudo tcpdump -i ens192  -c 5 -nn 'port not 80 and (dst 202.106.2.116 or src 202.106.2.140)'

 

Linux 使用 tcpdump 命令抓包_数据_11

这对定位一些普通 HTTP 调用 API 接口的问题很有用。当然如果是加密报文,这个输出也就没多大用了。

6、保存抓包数据

​tcpdump​​ 提供了保存抓包数据的功能以便后续分析数据包。例如,你可以夜里让它在那里抓包,然后早上起来再去分析它。同样当有很多数据包时,显示过快也不利于分析,将数据包保存下来,更有利于分析问题。

使用 ​​-w​​ 选项来保存数据包而不是在屏幕上显示出抓取的数据包:

sudo tcpdump -i ens192  -c 5 -nn port 80

Linux 使用 tcpdump 命令抓包_抓包_12

该命令将抓取的数据包保存到文件 ​​、test.pcap​​​。后缀名 ​​pcap​​ 表示文件是抓取的数据包格式。

正如示例中所示,保存数据包到文件中时屏幕上就没有任何有关数据报文的输出,其中 ​​-c 5​​​ 表示抓取到 5 个数据包后就停止抓包。如果想有一些反馈来提示确实抓取到了数据包,可以使用 ​​-v​​ 选项。

查看pcap文件内容

​tcpdump​​​ 将数据包保存在二进制文件中,所以不能简单的用文本编辑器去打开它。使用 ​​-r​​ 选项参数来阅读该文件中的报文内容:

tcpdump -nn -r /tmp/test.pcap

Linux 使用 tcpdump 命令抓包_服务器_13

这里不需要管理员权限 ​​sudo​​ 了,因为此刻并不是在网络接口处抓包。

你还可以使用我们讨论过的任何过滤规则来过滤文件中的内容,就像使用实时数据一样。 例如,通过执行以下命令从源 IP 地址 ​​54.204.39.132​​ 检查文件中的数据包:

tcpdump -nn -r /tmp/test.pcap  src port 80

 

Linux 使用 tcpdump 命令抓包_抓包_14

7.补充 TCP的几个状态 (SYN, FIN, ACK, PSH, RST, URG)

在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.

其中,对于我们日常的分析有用的就是前面的五个字段。

它们的含义是:

SYN表示建立连接,

FIN表示关闭连接,

ACK表示响应,

PSH表示有 DATA数据传输,

RST表示连接重置。

其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,

如果只是单个的一个SYN,它表示的只是建立连接。

TCP的几次握手就是通过这样的ACK表现出来的。

但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。

RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。

一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。

PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。

TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。

概念补充-TCP三次握手:

TCP(Transmission Control Protocol)传输控制协议

TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接:

位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)

第一次握手:主机A发送位码为syn=1,随机产生seq number=1234567的数据包到服务器,主机B由SYN=1知道,A要求建立联机;

第二次握手:主机B收到请求后要确认联机信息,向A发送ack number=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包;

第三次握手:主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送ack number=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。

完成三次握手,主机A与主机B开始传送数据。


在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。完成三次握手,客户端与服务器开始传送数据.