tcpdump的本機安裝和使用

sgy618發表於2011-01-17
TCP
tcpdump的本機安裝和使用[@more@]

對於網路管理人員來說,使用嗅探器能夠隨時掌控網路 的實際情況,在網路效能急劇下降的時候,能夠透過嗅探器來分析原因,找出造成網路阻塞的根源。Tcpdump就是Linux平臺下一個以命令列方式執行的 網路流量監測工具。他能截獲網路卡上收到的資料包,並能夠協助網路管理員對其中的內容進行相應的分析。

嗅探器能夠截獲指定介面或任何接 口的資料包,這取決於如何對嗅探器進行配置。預設情況下嗅探器一般會顯示任何從網路上截獲的資料包,但通常會因為資料量過大而使網路管理員理不清頭緒。因 此,嗅探器一般都提供有相應的機制來對截獲的資料包進行過濾,從而只顯示符合特定需要的資料包。Tcpdump提供了一整套完善的規則來對截獲的資料包進 行過濾,由於大多數影像化的嗅探器都使用類似的過濾機制,因此對Linux網路管理員來說,瞭解如何使用Tcpdump來捕獲感興趣的資料包是一項必須掌 控的基本功。

Tcpdump的安裝



安裝順序:
m4,flex,bison,libpcap,tcpdump

1.在下載libpcap-1.0.0.tar.gz和tcpdump-4.0.0.tar.gz兩個檔案。
2.將這兩個檔案放在/home下解壓。
3.編譯,安裝libpcap-1.0.0:
(1)進入libpcap目錄,開啟configure。將下面兩端程式碼註釋掉
#if test -z "$with_pcap" && test "$cross_compiling" = yes; then
# { { echo "$as_me:$LINENO: error: pcap type not determined when cross-compiling; use --with-pcap=..." >&5
#echo "$as_me: error: pcap type not determined when cross-compiling; use --with-pcap=..." >&2;}
# { (exit 1); exit 1; }; }
#fi
.......
# if test $ac_cv_linux_vers = unknown ; then
# { { echo "$as_me:$LINENO: error: cannot determine linux version when cross-compiling" >&5
#echo "$as_me: error: cannot determine linux version when cross-compiling" >&2;}
# { (exit 1); exit 1; }; }
# fi
執行./configure --host=arm CC=arm-uclibc
(如果不註釋掉上面兩段程式碼,可能會出現determine linux version when cross-compiling或
pcap type not determined when cross-compiling導致無法configure)。
執行開始的時候可能會出現個warning說不能用--host,configure的時候會自動識別交叉編譯,
但事實上不是這樣,還是需要./configure --host=arm-uclibc-linux才會識別用什麼交叉編譯。
(2)配置之後,會生成Makefile。開啟Makefile發現CC=arm-uclibc-linux-gcc,說明交叉編譯配置成功。
但還需要把prefix項為prefix=/usr/local/arm/3.4.1/arm-uclibc-linux。然後make,make install。
發現/usr/local/arm/3.4.1/arm-uclibc-linux/include有了3個pcap檔案,libpcap編譯安裝成功。

3.編譯,安裝tcpdump-4.0.0
(1)進入tcpdump目錄,開啟configure,將下面一段程式碼註釋掉
# if test $ac_cv_linux_vers = unknown ; then
# { { echo "$as_me:$LINENO: error: cannot determine linux version when cross-compiling" >&5
#echo "$as_me: error: cannot determine linux version when cross-compiling" >&2;}
# { (exit 1); exit 1; }; }
# fi
執行./configure --host=arm CC=arm-uclibc

(2)開啟生成的Makefile,將INCLS項改為INCLS=-I.-I./../libpcap-1.0.0 -I$(srcdir)/missing -I/usr/local/include,
DEFS項改為DEFS=-DHAVE_CONFIG_H -I./../libpcap-1.0.0 -I/usr/local/include -I$(srcdir)missing -D_U="__attribute__((unused))"。
LDFLAGS=-L/usr/local/lib。然後make,make install。在/usr/local/sbin下有個tcpdump的二進位制檔案,這個就是交叉編譯成功的tcpdump
(3)將這個二進位制檔案放到tftpboot資料夾,用過tftp將這個檔案下載到arm板上,chmod 777 tcpdump將其變為可執行檔案。
(4)執行tcpdump,成功!

Tcpdump的使用

tcpdump採用命令列方式,它的命令格式為:

  tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 檔名 ]

          [ -i 網路介面 ] [ -r 檔名] [ -s snaplen ]

          [ -T 型別 ] [ -w 檔名 ] [表示式 ]

  1. tcpdump的選項介紹

   -a    將網路地址和廣播地址轉變成名字;

   -d   將匹配資訊包的程式碼以人們能夠理解的彙編格式給出;

   -dd   將匹配資訊包的程式碼以c語言程式段的格式給出;

   -ddd   將匹配資訊包的程式碼以十進位制的形式給出;

   -e   在輸出行列印出資料鏈路層的頭部資訊;

   -f   將外部的Internet地址以數字的形式列印出來;

   -l   使標準輸出變為緩衝行形式;

   -n    不把網路地址轉換成名字;

   -t    在輸出的每一行不列印時間戳;

   -v    輸出一個稍微詳細的資訊,例如在ip包中可以包括ttl和服務型別的資訊;

   -vv   輸出詳細的報文資訊;

   -c    在收到指定的包的數目後,tcpdump就會停止;

   -F   從指定的檔案中讀取表示式,忽略其它的表示式;

   -i   指定監聽的網路介面;

   -r   從指定的檔案中讀取包(這些包一般透過-w選項產生)

   -w   直接將包寫入檔案中,並不分析和列印出來;

   -T   將監聽到的包直接解釋為指定的型別的報文,常見的型別有rpc (遠端過程呼叫)和snmp(簡單網路管理協議;)

  2. tcpdump的表示式介紹

表示式是一個正規表示式,tcpdump利用它作為過濾報文的條件,如果一個報文滿足表示式的條件,則這個報文將會被捕獲。如果沒有給出任何條件,則網路上所有的資訊包將會被截獲。

在表示式中一般如下幾種型別的關鍵字:

第一種是關於型別的關鍵字,主要包括hostnetport, 例如 host 210.27.48.2,指明 210.27.48.2是一臺主機,net 202.0.0.0 指明202.0.0.0是一個網路地址,port 23 指明埠號是23。如果沒有指定型別,預設的型別是host.

第二種是確定傳輸方向的關鍵字,主要包括src , dst ,dst or src, dst and src ,

這些關鍵字指明瞭傳輸的方向。舉例說明,src 210.27.48.2 ,指明ip包中源地址是210.27. 48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字,則 預設是src or dst關鍵字。

第三種是協議的關鍵字,主要包括fddi,ip ,arp,rarp,tcp,udp等型別。Fddi指明是在 FDDI(分散式光纖資料介面網路)上的特定的網路協議,實際上它是"ether"的別名,fddiether具有類似的源地址和目的地址,所以可以將fddi協議包當作ether的包進行處理和分析。 其他的幾個關鍵字就是指明瞭監聽的包的協議內容。如果沒有指定任何協議,則tcpdump將會監聽所有協議的資訊包。

除了這三種型別的關鍵字之外,其他重要的關鍵字如下:gateway, broadcast,less, greater,還有三種邏輯運算,取非運算是 'not ' '! ', 與運算是'and','&&';或運算是'o r' ,'||';這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要,下面舉幾個例子來

說明。

(1)想要截獲所有210.27.48.1 的主機收到的和發出的所有的資料包:

#tcpdump host 210.27.48.1

(2) 想要截獲主機210.27.48.1 和主機210.27.48.2 210.27.48.3的通訊,使用命令 ()

#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通訊的ip包,使用命令:

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

(4)如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:

#tcpdump tcp port 23 host 210.27.48.1

  3. tcpdump 的輸出結果介紹

   下面我們介紹幾種典型的tcpdump命令的輸出資訊

   (1) 資料鏈路層頭資訊

   使用命令#tcpdump --e host ice

   ice 是一臺裝有linux的主機,她的MAC地址是0902758AF1A

   H219是一臺裝有SOLARICSUN工作站,它的MAC地址是8:0:20:79:5b:46;上一條命令的輸出結果如下所示:21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 >; ice. telnet 0:0(0) ack 22535 win 8760 (DF)

  分析:215012是顯示的時間, 847509ID號,eth0 <表示從網路介面eth0 接受該資料包,eth0 >;表示從網路介面裝置傳送資料包, 8:0:20:79:5b:46是主機H219MAC地址,它表明是從源地址H219發來的資料包. 0:90:27:58:af:1a是主機ICEMAC地址,表示該資料包的目的地址是ICE . ip 是表明該資料包是IP資料包,60 是資料包的長度, h219.33357 >; ice. telnet 表明該資料包是從主機H21933357埠發往主機ICETELNET(23). ack 22535 表明對序列號是222535的包進行響應. win 8760表明傳送視窗的大小是8760.

  (2) ARP包的TCPDUMP輸出資訊

使用命令#tcpdump arp

  得到的輸出結果是:

  22:32:42.802509 eth0 >; arp who-has route tell ice (0:90:27:58:af:1a)

  22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af :1a)

  分析: 22:32:42是時間戳, 802509ID, eth0 >;表明從主機發出該資料包, arp表明是 ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTEMAC地址。 0:90:27:5

8:af:1a是主機ICEMAC地址。

  (3) TCP包的輸出資訊

TCPDUMP捕獲的TCP包的一般輸出資訊是:

  src >; dst: flags data-seqno ack window urgent options

  src >; dst:表明從源地址到目的地址, flagsTCP包中的標誌資訊,S SYN標誌, F (F IN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是資料包中的資料的順序號, ack是下次期望的順序號, window是接收快取的視窗大小, urgent表明資料包中是否有緊急指標. Options是選項.

  (4) UDP包的輸出資訊

TCPDUMP捕獲的UDP包的一般輸出資訊是:

route.port1 >; ice.port2: udp lenth

  UDP十分簡單,上面的輸出行表明從主機ROUTEport1埠發出的一個UDP資料包到主機ICEport2埠,型別是UDP,包的長度是lenth

舉例:

tcpdump –i eth0 –w tcpdump.pcap –s 0 '(tcp and (dst host 192.168.0.2) ) '

-w tcpdump.pcap是指將抓取到的包存到tcpdump.pcap這個檔案中,-s 0是指儘可能大的抓取每個包(儘量不截斷),最後面的單引號裡的內容是過濾規則。

test.pcap檔案中埠號為80tcp包(http包)提取出來,再轉交給tcpreplay去傳送,可以這樣做。

$ tcpdump -r test.pcap -w http_only.pcap –s 0 tcp port 80

-r test.pcap是指從test.pcap中讀包。這個指令的意思是從test.pcap中讀包後,根據“tcp port 80”這個過濾規則篩選出滿足要求的包,將這些包存到http_only.pcap這個檔案中去。

tcpdump -i wlan0 -enn -XX -vv tcp port 80 -s 500 -w /tmp/tcpdump.bak

-i //指定網路介面 -=-=- wlan0 eth0 -=-=-
-vv //列印出更詳細的資訊模式
tcp //指定協議型別為TCP
port //指定埠號 -=-=- 後面跟埠號
-c //當收到count報文後退出
-s //重定義擷取報文大小,預設為96(或68),如果定義為0,則表示獲取完整報文。該引數應儘量小,尤其在繁忙網路環境中
-w //輸出到某個檔案
-XX //16 進位制數形式顯示每一個報文(包含鏈路層報頭),同時顯示ASCII
-e //每一行顯示資料鏈路層報文:MAC地址>目的MAC地址,以太型別 IPV4 (0X0800), 包資料長度
host //指定域名或者機器名或者IP 者目標的 -=-=- host -=-=-
-n //別把地址轉換成名字:顯示ip地址,而非主機名稱
-nn //別把協議和埠號轉換為服務名:譬如顯示80埠而非HTTP

//輸出到檔案,直接檢視檔案比較友好一點

eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 192.168.1.12380埠的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 192.168.1.123icmp的包
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap 192.168.1.12380埠和11025以外的其他埠的包
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap pppoe的密碼
tcpdump -i eth1 pppoes -w /tmp/xxx.cap 100m大小分割儲存檔案, 超過100m另開一個檔案 -C 100m 10000個包後退出 -c 10000 後臺抓包, 控制檯退出也不會影響:
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 抓下來的檔案可以直接用ethereal 或者wireshark開啟。 wireshark就是新版的ethereal,程式換名了

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/23168012/viewspace-1044775/,如需轉載,請註明出處,否則將追究法律責任。

相關文章