網路資料包分析工具tcpdump之一
前言
tcpdump是一個用於擷取網路分組,並輸出分組內容的工具。憑藉強大的功能和靈活的擷取策略,使其成為類UNIX系統下用於網路分析和問題排查的首選工具;tcpdump 可以支援針對網路層、協議、主機、網路或埠的過濾,並提供and、or、not等邏輯語句來幫助你去掉無用的資訊
聯絡方式
目錄
-
tcpdump語法
-
tcpdump語義
-
tcpdump示例
-
tcpdump與mysql
-
培訓課件
-
思考
tcpdump語法
Usage: tcpdump [-aAdDefhIJKlLnNOpqRStuUvxX] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z command ] [ -Z user ] [ expression ]
tcpdump語義
抓包選項
-c:指定要抓取的包數量。 -i interface:指定tcpdump需要監聽的介面。預設會抓取第一個網路介面 -n:對地址以數字方式顯式,否則顯式為主機名,也就是說-n選項不做主機名解析。 -nn:除了-n的作用外,還把埠顯示為數值,否則顯示埠服務名。 -P:指定要抓取的包是流入還是流出的包。可以給定的值為"in"、"out"和"inout",預設為"inout"。 -s len:設定tcpdump的資料包抓取長度為len,如果不設定預設將會是65535位元組。對於要抓取的資料包較大時,長度設定不夠可能 會產生包截斷,若出現包截斷,:輸出行中會出現"[|proto]"的標誌(proto實際會顯示為協議名)。但是抓取len越長,包 的處理時間越長,並且會減少tcpdump可快取的資料包的數量,:從而會導致資料包的丟失,所以在能抓取我們想要的包的前提下,抓取長度越小越好。
輸出選項
-e:輸出的每行中都將包括資料鏈路層頭部資訊,例如源MAC和目標MAC。 -q:快速列印輸出。即列印很少的協議相關資訊,從而輸出行都比較簡短。 -X:輸出包的頭部資料,會以16進位制和ASCII兩種方式同時輸出。 -XX:輸出包的頭部資料,會以16進位制和ASCII兩種方式同時輸出,更詳細。 -v:當分析和列印的時候,產生詳細的輸出。 -vv:產生比-v更詳細的輸出。 -vvv:產生比-vv更詳細的輸出。
其它功能性選項
-D:列出可用於抓包的介面。將會列出介面的數值編號和介面名,它們都可以用於"-i"後。 -F:從檔案中讀取抓包的表示式。若使用該選項,則命令列中給定的其他表示式都將失效。 -w:將抓包資料輸出到檔案中而不是標準輸出。可以同時配合"-G time"選項使得輸出檔案每time秒就自動切換到另一個檔案。可透過"-r"選項載入這些檔案以進行分析和列印。 -r:從給定的資料包檔案中讀取資料。使用"-"表示從標準輸入中讀取。
expression表示式
==一個基本的表示式單元格式為"proto dir type ID"== 對於表示式語法,參考 pcap-filter 【pcap-filter - packet filter syntax】 型別 type host, net, port, portrange 例如:host 192.168.201.128 , net 128.3, port 20, portrange 6000-6008' 目標 dir src, dst, src or dst, src and dst 協議 proto tcp, udp , icmp,若未給定協議型別,則匹配所有可能的型別 ==表示式單元之間可以使用運算子" and / && / or / || / not / ! "進行連線,從而組成複雜的條件表示式==。 如"host foo and not port ftp and not port ftp-data",這表示篩選的資料包要滿足"主機為foo且埠不是 ftp(埠21)和ftp-data(埠20)的包",常用埠和名字的對應關係可在linux系統中的/etc/service檔案中找到。 另外,同樣的修飾符可省略,如"tcp dst port ftp or ftp-data or domain"與"tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain"意義相同,都表示包的協議為tcp且目的埠為ftp或ftp-data 或domain(埠53)。 使用括號"()"可以改變表示式的優先順序,但需要注意的是括號會被shell解釋,所以應該使用反斜線""轉義為"()", 在需要的時候,還需要包圍在引號中。
tcpdump示例
監控指定網路介面的資料包
tcpdump -i eth0
監控指定主機的資料包
tcpdump -i eth0 host 10.0.0.13
監控2個主機的資料包
tcpdump -i eth0 host 10.0.0.11 and host 10.0.0.13
監控1個主機與非1個主機之間的資料包
tcpdump -i eth0 host 10.0.0.11 and not host 10.0.0.13
監控某主個主機傳送的資料包
tcpdump -i eth0 src host 10.0.0.11
監控傳送到某個主機的資料包
tcpdump -i eth0 dst host 10.0.0.11
監控指定主機和埠的資料包
tcpdump -i eth0 host 10.0.0.11 and port 3306
監控指定網段的資料包,並且只抓取10個資料包
tcpdump -i eth0 -c 10 net 10.0
監控透過閘道器snup的ftp協議型別的資料包
tcudump 'gateway snup and (port ftp or ftp-data)'
監控ping協議資料包
tcpdump -c 5 -nn -i eth0
監控指定主機的ping協議資料包
tcpdump -c 5 -nn -i eth0 icmp and src 10.0.0.11
監控到本機3306埠的資料包
tcpdump -c 10 -nn -i eth0 tcp dst port 3306
監控完整詳細的資料包
tcpdump -c 2 -q -XX -vvv -nn -i eth0 tcp dst port 3306
tcpdump與mysql
tcpdump命令 tcpdump host 10.92.143.15 -tttt -S -nn 主機上登陸mysql mysql -u root -h 10.92.143.15 -p 執行exit退出mysql客戶端
# 三次握手,其中S代表Syn,.代表Ack,S.代表Syn, Ack
2018-08-19 22:52:42.768100 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [S], seq 864854527, win 14600, options [mss 1460,sackOK,TS val 2246810963 ecr 0,nop,wscale 8], length 0 2018-08-19 22:52:42.810055 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [S.], seq 4288771247, ack 864854528, win 14480, options [mss 1460,sackOK,TS val 2062159250 ecr 2246810963,nop,wscale 8], length 0 2018-08-19 22:52:42.810065 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [.], ack 4288771248, win 58, options [nop,nop,TS val 2246811005 ecr 2062159250], length 0
# 登入校驗,傳輸使用者名稱和密碼驗證階段,其中P代表Push,傳輸資料需要。這裡包含登入驗證和版本資訊等後設資料的交換
2018-08-19 22:52:42.852102 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [P.], seq 4288771248:4288771308, ack 864854528, win 57, options [nop,nop,TS val 2062159292 ecr 2246811005], length 60 2018-08-19 22:52:42.852118 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [.], ack 4288771308, win 58, options [nop,nop,TS val 2246811047 ecr 2062159292], length 0 2018-08-19 22:52:42.853251 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [P.], seq 864854528:864854590, ack 4288771308, win 58, options [nop,nop,TS val 2246811048 ecr 2062159292], length 62 2018-08-19 22:52:42.895198 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [.], ack 864854590, win 57, options [nop,nop,TS val 2062159335 ecr 2246811048], length 0 2018-08-19 22:52:42.895256 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [P.], seq 4288771308:4288771319, ack 864854590, win 57, options [nop,nop,TS val 2062159335 ecr 2246811048], length 11 2018-08-19 22:52:42.895264 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [.], ack 4288771319, win 58, options [nop,nop,TS val 2246811090 ecr 2062159335], length 0 2018-08-19 22:52:42.895312 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [P.], seq 864854590:864854627, ack 4288771319, win 58, options [nop,nop,TS val 2246811090 ecr 2062159335], length 37 2018-08-19 22:52:42.937268 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [.], ack 864854627, win 57, options [nop,nop,TS val 2062159377 ecr 2246811090], length 0 2018-08-19 22:52:42.937405 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [P.], seq 4288771319:4288771409, ack 864854627, win 57, options [nop,nop,TS val 2062159377 ecr 2246811090], length 90 2018-08-19 22:52:42.937414 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [.], ack 4288771409, win 58, options [nop,nop,TS val 2246811132 ecr 2062159377], length 0
# 傳送exit;正好5個字元
2018-08-19 22:52:44.366633 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [P.], seq 864854627:864854632, ack 4288771409, win 58, options [nop,nop,TS val 2246812561 ecr 2062159377], length 5 # 四次揮手,其中F代表FIN,完成資料傳送 2018-08-19 22:52:44.366649 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [F.], seq 864854632, ack 4288771409, win 58, options [nop,nop,TS val 2246812561 ecr 2062159377], length 0
## 這個是exit的答覆
2018-08-19 22:52:44.408575 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [.], ack 864854632, win 57, options [nop,nop,TS val 2062160848 ecr 2246812561], length 0 2018-08-19 22:52:44.408618 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [.], ack 864854633, win 57, options [nop,nop,TS val 2062160848 ecr 2246812561], length 0 2018-08-19 22:52:44.408652 IP 10.92.143.15.3306 > 10.119.124.24.45298: Flags [F.], seq 4288771409, ack 864854633, win 57, options [nop,nop,TS val 2062160848 ecr 2246812561], length 0 2018-08-19 22:52:44.408657 IP 10.119.124.24.45298 > 10.92.143.15.3306: Flags [.], ack 4288771410, win 58, options [nop,nop,TS val 2246812603 ecr 2062160848], length 0
上述資料包互動的圖例
思考
-
透過tcpdump可以精準分析mysql客戶端與mysql伺服器端的通訊互動詳細過程
-
tcp建立連線時為3個握手
-
斷開tcp連線時為4個握手
-
這個握手是指mysql客戶端與mysql伺服器端之間的單向請求或回覆
-
mysql客戶端登陸mysql伺服器端分為3個階段:tcp 3次握手建立tcp連線,基於tcp連線的資料傳輸,斷開tcp連線的4次握手
-
透過tcpdump可以結合netstat的state去深入分析某些mysql客戶端無法連線mysql伺服器端的複雜問題
培訓課件
(收費20元,已共享到百度雲盤方便大家獲取)
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/9240380/viewspace-2665243/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 使用tcpdump+wireshark抓包分析網路資料包TCP
- Debookee 8.1.2 網路資料抓包及分析工具
- Linux中使用wireshark分析tcpdump抓取的資料包LinuxTCP
- 用Tcpdump過濾資料包TCP
- tcpdump抓包分析詳解TCP
- 使用tcpdump檢視原始資料包TCP
- 推薦一款網路資料抓包分析工具:Debookee 7 Mac版Mac
- Wireshark和TcpDump抓包分析心得TCP
- tcpdump過濾資料包,結果不對?TCP
- tcpdump抓包分析NAT ping不通TCP
- Linux下的網路協議分析工具-tcpdump 快速入門手冊(轉)Linux協議TCP
- 網路資料包資訊收集工具ferret-sidejackIDE
- Wireshark資料抓包分析(網路協議篇)第1章網路協議抓包概述協議
- 網路丟包分析
- tcpdump抓包TCP
- 網路資料分析:原始大資料大資料
- wireshark安裝使用與tcpdump的抓包分析TCP
- Linux 網路分析必備技能:tcpdump 實戰詳解LinuxTCP
- Tcpdump命令的使用與示例——linux下的網路分析TCPLinux
- 網路資料注入工具HexInject
- 資料包分析
- 路由器網路中資料包傳輸分析路由器
- 抓取Android平臺資料包之tcpdump 工具的使用過程中出現的問題AndroidTCP
- 網路資料修改工具netsed
- 網路資料嗅探工具HexInject
- Linux作業系統tcpdump抓包分析詳解Linux作業系統TCP
- 網站資料分析工具一覽表網站
- 大資料技術人員工具包之—常見資料探勘分析處理工具大資料
- 一個資料包的網際網路漫遊記
- 【軟體篇:suy網路工具包】
- tcpdump抓包命令詳解TCP
- Ixia全新網路操作解決方案可完整探查網路資料包
- 資料分析三劍客之一numpy
- 資料探勘與分析(網際網路行業)行業
- WireShark資料包分析資料封裝封裝
- 資料包抓取工具:Debookee for macMac
- Debookee for mac(資料包抓取工具)Mac
- 資料包發包工具bittwist