這裡收集了一些實用的 tcpdump 使用示例,使用它們可提升您的網路故障排除和安全測試能力。
熟練掌握下面的 tcpdump 使用示例,可以幫助我們更好的瞭解自己的網路。
瞭解 tcpdump 是一項基本技能,不僅對於系統管理員、網路工程師或安全專業人員,
對於自己部署玩的一些伺服器來說,也會派上用場。
基礎知識
常用引數
下面的命令是使用 tcpdump 時常見的引數。
$ sudo tcpdump -i eth0 -nn -s0 -v port 80
- -i:進行抓包的介面,通常是乙太網卡或無線介面卡,但也可能是
vlan或其它東西。
如果只有一個網路介面卡,不用指定也行。
- -nn :單個 (n) 不會解析主機名。兩個 (nn) 不會解析主機名或埠。
這不僅對於檢視 IP/埠號很方便,而且在抓包大量資料時也很方便,因為名稱解析會減慢抓包速度。
- -s0:抓包大小。 -s0 會將大小設定為無限制 。
如果您想抓包所有流量,或者從網路流量中提取二進位制檔案/檔案,則需要此選項。
- -v:詳細,使用 (-v) 或 (-vv) 會增加輸出中顯示更詳細資訊,通常會顯示更多協議特定的資訊。
- port 80 :埠過濾器,這裡設定的是抓包埠 80 上的流量。
顯示 ASCII 文字
-A引數使得輸出中包含抓包的 ascii 字串。
這樣便於結合 grep 或其他命令解析輸出。
另一個可以同時顯示十六進位制輸出和 ascii 的引數是 -X。
$ sudo tcpdump -A -s0 port 80
根據協議抓包
比如,過濾 UDP 流量,可以指定udp,也可以指定使用協議17,這兩個命令效果一樣。TCP 對應的協議是 6。
$ sudo tcpdump -i eth0 udp
$ sudo tcpdump -i eth0 proto 17
根據 IP 抓包
使用 host 過濾器將同時抓包前往(目標)和來自(源)IP 地址的流量。
$ sudo tcpdump -i eth0 host 10.10.1.1
或者使用 src 或 dst 僅抓包單向流量。
$ sudo tcpdump -i eth0 src 10.10.1.20
$ sudo tcpdump -i eth0 dst 10.10.1.20
抓包內容寫入檔案
將抓包檔案寫入磁碟,這樣就可以用其它工具,比如 Wireshark 來分析。
$ sudo tcpdump -i eth0 -s0 -w test.pcap
行緩衝模式
指定緩衝模式,比如行緩衝(-l)或資料包緩衝(-C),可以讓 tcpdump 的輸出立即傳送到管道命令,在故障排除時立即做出響應。
$ sudo tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'
不指定緩衝模式,有可能會得不到預期的結果。
組合過濾器
在上面的示例中,可以使用使用下面的邏輯符號來組合不同的過濾器。
and or &&
or or ||
not or !
使用示例
Tcpdump命令引數很多,常常有多種方法可以實現同樣的結果。
使用哪種方法取決於所需的輸出以及線路上的流量。比如,在繁忙的千兆位鏈路上進行抓包可能會迫使您使用特定的低階資料包過濾器。
下面的示例中,將列舉一些以最簡單(因此最快)的方式獲得結果的方法。
提取 HTTP 使用者代理
從 HTTP 請求標頭中提取 HTTP 使用者代理。
$ sudo tcpdump -nn -A -s1500 -l | grep "User-Agent:"
透過使用 egrep 和多個匹配規則,可以從請求中獲取使用者代理和主機(或任何其他標頭)。
$ sudo tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'
僅捕獲 HTTP GET 和 POST 資料包
僅指定與 GET 匹配的資料包。
$ sudo tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
只選擇 POST 請求。
$ sudo tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'
注意,使用此過濾器抓包的資料中可能不包含 POST 資料,因為POST 請求很可能會被拆分為多個 TCP 資料包。
上面的表示式中的十六進位制是與 GET 和 POST 請求中的 ascii 對應的。
提取 HTTP 請求的 URL
從流量中解析主機和 HTTP 請求位置。
如果服務不在80 埠,則需要指定埠。
$ sudo tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"
tcpdump: listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
POST /wp-login.php HTTP/1.1
Host: dev.example.com
GET /wp-login.php HTTP/1.1
Host: dev.example.com
GET /favicon.ico HTTP/1.1
Host: dev.example.com
GET / HTTP/1.1
Host: dev.example.com
在 POST 請求中提取 HTTP 密碼
$ sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:25:54.799014 IP 10.10.1.30.39224 > 10.10.1.125.80: Flags [P.], seq 1458768667:1458770008, ack 2440130792, win 704, options [nop,nop,TS val 461552632 ecr 208900561], length 1341: HTTP: POST /wp-login.php HTTP/1.1
.....s..POST /wp-login.php HTTP/1.1
Host: dev.example.com
.....s..log=admin&pwd=notmypassword&wp-submit=Log+In&redirect_to=http%3A%2F%2Fdev.example.com%2Fwp-admin%2F&testcookie=1
從伺服器和客戶端抓包 Cookie
透過搜尋 Set-Cookie(來自伺服器)和 Cookie(來自客戶端)來抓包 cookie。
$ sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes
Host: dev.example.com
Cookie: wordpress_86be02xxxxxxxxxxxxxxxxxxxc43=admin%7C152xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxfb3e15c744fdd6; _ga=GA1.2.21343434343421934; _gid=GA1.2.927343434349426; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_86be654654645645645654645653fc43=admin%7C15275102testtesttesttestab7a61e; wp-settings-time-1=1527337439
抓包所有 ICMP 資料包
$ sudo tcpdump -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:34:21.590380 IP 10.10.1.217 > 10.10.1.30: ICMP echo request, id 27948, seq 1, length 64
11:34:21.590434 IP 10.10.1.30 > 10.10.1.217: ICMP echo reply, id 27948, seq 1, length 64
11:34:27.680307 IP 10.10.1.159 > 10.10.1.1: ICMP 10.10.1.189 udp port 59619 unreachable, length 115
非 ECHO/REPLY 的 ICMP 資料包
對 icmp 型別進行過濾,以選擇非標準 ping 包的 icmp 包。
$ sudo tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:37:04.041037 IP 10.10.1.189 > 10.10.1.20: ICMP 10.10.1.189 udp port 36078 unreachable, length 156
抓包 SMTP/POP3 電子郵件
可以提取電子郵件正文和其他資料,下面的例子中僅解析電子郵件收件人。
$ sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'
NTP 的查詢和響應的故障排除
$ sudo tcpdump dst port 123
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:02:19.112502 IP test33.ntp > 199.30.140.74.ntp: NTPv4, Client, length 48
21:02:19.113888 IP 216.239.35.0.ntp > test33.ntp: NTPv4, Server, length 48
21:02:20.150347 IP test33.ntp > 216.239.35.0.ntp: NTPv4, Client, length 48
21:02:20.150991 IP 216.239.35.0.ntp > test33.ntp: NTPv4, Server, length 48
抓包 SNMP 的查詢和響應
使用 onesixtyone 快速 SNMP 協議掃描器,然後在本地網路上測試 SNMP 服務並捕獲 GetRequest 和 GetResponse 。
模擬SNMP掃描:
$ onesixtyone 10.10.1.10 public
Scanning 1 hosts, 1 communities
10.10.1.10 [public] Linux test33 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64
抓包SNMP查詢和掃描:
$ sudo tcpdump -n -s0 port 161 and udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:39:13.725522 IP 10.10.1.159.36826 > 10.10.1.20.161: GetRequest(28) .1.3.6.1.2.1.1.1.0
23:39:13.728789 IP 10.10.1.20.161 > 10.10.1.159.36826: GetResponse(109) .1.3.6.1.2.1.1.1.0="Linux testmachine 4.15.0-20-generic #21-Ubuntu SMP Tue Apr 24 06:16:15 UTC 2018 x86_64"
抓包 FTP 的憑證和命令
$ sudo tcpdump -nn -v port ftp or ftp-data
滾動抓包檔案
針對大流量或長時間抓包時,自動建立固定大小的新檔案會很有幫助,一般使用引數 -W 、 -G 和 -C 來完成。
下面的示例中,檔案 capture-(hour).pcap 將每 (-G) 3600 秒(1 小時)建立一次,這些檔案將在第二天被覆蓋。
因此,最終應該得到 capture-{1-24}.pcap,如果小時為 15,則新檔案為 (/tmp/capture-15.pcap)。
$ tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200
抓包 IPv6 流量
使用 ip6 過濾器捕獲 IPv6 流量。
可以使用 proto 6 或 proto 17 指定了 TCP或UDP 協議。
tcpdump -nn ip6 proto 6
從先前儲存的抓包檔案中讀取UDP 的 IPv6 流量。
tcpdump -nr ipv6-test.pcap ip6 proto 17
檢測網路流量中的埠掃描
$ tcpdump -nn
21:46:19.693601 IP 10.10.1.10.60460 > 10.10.1.199.5432: Flags [S], seq 116466344, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 0
21:46:19.693626 IP 10.10.1.10.35470 > 10.10.1.199.513: Flags [S], seq 3400074709, win 29200, options [mss 1460,sackOK,TS val 3547090332 ecr 0,nop,wscale 7], length 0
21:46:19.693762 IP 10.10.1.10.44244 > 10.10.1.199.389: Flags [S], seq 2214070267, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0
21:46:19.693772 IP 10.10.1.199.389 > 10.10.1.10.44244: Flags [R.], seq 0, ack 2214070268, win 0, length 0
21:46:19.693783 IP 10.10.1.10.35172 > 10.10.1.199.1433: Flags [S], seq 2358257571, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0
21:46:19.693826 IP 10.10.1.10.33022 > 10.10.1.199.49153: Flags [S], seq 2406028551, win 29200, options [mss 1460,sackOK,TS val 3547090333 ecr 0,nop,wscale 7], length 0
21:46:19.695567 IP 10.10.1.10.55130 > 10.10.1.199.49154: Flags [S], seq 3230403372, win 29200, options [mss 1460,sackOK,TS val 3547090334 ecr 0,nop,wscale 7], length 0
21:46:19.695590 IP 10.10.1.199.49154 > 10.10.1.10.55130: Flags [R.], seq 0, ack 3230403373, win 0, length 0
21:46:19.695608 IP 10.10.1.10.33460 > 10.10.1.199.49152: Flags [S], seq 3289070068, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0
21:46:19.695622 IP 10.10.1.199.49152 > 10.10.1.10.33460: Flags [R.], seq 0, ack 3289070069, win 0, length 0
21:46:19.695637 IP 10.10.1.10.34940 > 10.10.1.199.1029: Flags [S], seq 140319147, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0
21:46:19.695650 IP 10.10.1.199.1029 > 10.10.1.10.34940: Flags [R.], seq 0, ack 140319148, win 0, length 0
21:46:19.695664 IP 10.10.1.10.45648 > 10.10.1.199.5060: Flags [S], seq 2203629201, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0
21:46:19.695775 IP 10.10.1.10.49028 > 10.10.1.199.2000: Flags [S], seq 635990431, win 29200, options [mss 1460,sackOK,TS val 3547090335 ecr 0,nop,wscale 7], length 0
21:46:19.695790 IP 10.10.1.199.2000 > 10.10.1.10.49028: Flags [R.], seq 0, ack 635990432, win 0, length 0
顯示 Nmap NSE 指令碼測試的示例過濾器
在 Nmap 機器上模擬NSE指令碼:
$ nmap -p 80 --script=http-enum.nse targetip
在目標機器上抓包:
$ tcpdump -nn port 80 | grep "GET /"
GET /w3perl/ HTTP/1.1
GET /w-agora/ HTTP/1.1
GET /way-board/ HTTP/1.1
GET /web800fo/ HTTP/1.1
GET /webaccess/ HTTP/1.1
GET /webadmin/ HTTP/1.1
GET /webAdmin/ HTTP/1.1
抓包非本地主機上的開始和結束的資料包
透過選擇 tcp-syn 和 tcp-fin 資料包,可以顯示每個已建立的 TCP 會話,其中包含時間戳,但不包含資料。
$ tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
抓包 DNS 請求和響應
比如下面的示例中可以看到對 Google 公共 DNS 的出站 DNS 請求和 A 記錄(IP 地址)響應。
$ sudo tcpdump -i wlp58s0 -s0 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp58s0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:19:06.879799 IP test.53852 > google-public-dns-a.google.com.domain: 26977+ [1au] A? play.google.com. (44)
14:19:07.022618 IP google-public-dns-a.google.com.domain > test.53852: 26977 1/0/1 A 216.58.203.110 (60)
抓包 HTTP 資料包
僅抓包埠 80 上的 HTTP 流量,避免抓包 TCP 會話 (SYN / FIN / ACK)。
$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
在 tcpdump 中抓包,在 Wireshark 中檢視
一般方法是透過tcpdump抓包之後儲存成檔案,再將檔案複製到Wireshark中檢視。
不過,除此之外,還可以透過 SSH 連線將抓包的內容實時提供給 Wireshark。
不要忘記 not port 22 ,加上這個就不會捕獲 SSH 流量了。
$ ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -
按資料包數量排名主機
列出一段時間內或資料包數量最多的通話者。
使用簡單的命令列欄位提取來獲取 IP 地址,對出現的次數進行排序和計數。
用於排序和計數的流量與計數引數 -c 相關。
$ sudo tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
200 packets captured
261 packets received by filter
0 packets dropped by kernel
108 IP 10.10.211.181
91 IP 10.10.1.30
1 IP 10.10.1.50
抓包 所有明文密碼
下面的示例中,重點關注標準純文字協議,並選擇 grep 處理任何與使用者或密碼相關的內容。
透過 grep 的 -B5 選項,只獲取前 5 行(可以提供有關的密碼的上下文、主機名、IP 地址、系統)。
$ sudo tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '
DHCP 示例
監視 DHCP 請求和回覆, DHCP 請求在埠 67 上顯示,回覆在埠 68 上顯示。
使用引數 -v 可以檢視協議選項和其他詳細資訊。
$ sudo tcpdump -v -n port 67 or 68
tcpdump: listening on enp7s0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:37:50.059662 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328)
0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:xx:xx:xx:d5, length 300, xid 0xc9779c2a, Flags [none]
Client-Ethernet-Address 00:0c:xx:xx:xx:d5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Request
Requested-IP Option 50, length 4: 10.10.1.163
Hostname Option 12, length 14: "test-ubuntu"
Parameter-Request Option 55, length 16:
Subnet-Mask, BR, Time-Zone, Default-Gateway
Domain-Name, Domain-Name-Server, Option 119, Hostname
Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route
NTP, Classless-Static-Route-Microsoft, Static-Route, Option 252
14:37:50.059667 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328)
0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:xx:xx:xx:d5, length 300, xid 0xc9779c2a, Flags [none]
Client-Ethernet-Address 00:0c:xx:xx:xx:d5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Request
Requested-IP Option 50, length 4: 10.10.1.163
Hostname Option 12, length 14: "test-ubuntu"
Parameter-Request Option 55, length 16:
Subnet-Mask, BR, Time-Zone, Default-Gateway
Domain-Name, Domain-Name-Server, Option 119, Hostname
Netbios-Name-Server, Netbios-Scope, MTU, Classless-Static-Route
NTP, Classless-Static-Route-Microsoft, Static-Route, Option 252
14:37:50.060780 IP (tos 0x0, ttl 64, id 53564, offset 0, flags [none], proto UDP (17), length 339)
10.10.1.1.67 > 10.10.1.163.68: BOOTP/DHCP, Reply, length 311, xid 0xc9779c2a, Flags [none]
Your-IP 10.10.1.163
Server-IP 10.10.1.1
Client-Ethernet-Address 00:0c:xx:xx:xx:d5
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: ACK
Server-ID Option 54, length 4: 10.10.1.1
Lease-Time Option 51, length 4: 86400
RN Option 58, length 4: 43200
RB Option 59, length 4: 75600
Subnet-Mask Option 1, length 4: 255.255.255.0
BR Option 28, length 4: 10.10.1.255
Domain-Name-Server Option 6, length 4: 10.10.1.1
Hostname Option 12, length 14: "test-ubuntu"
T252 Option 252, length 1: 10
Default-Gateway Option 3, length 4: 10.10.1.1
附錄
本文翻譯自:https://hackertarget.com/tcpdump-examples/
沒有直譯,根據自己的理解和實際操作做了一些調整。