tcpdump抓包分析详解.docVIP

tcpdump抓包分析详解 [root@linux ~]# tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX] [-r 档案] [所欲撷取的数据内容] 参数： -nn：直接以 IP 及 port number 显示，而非主机名与服务名称 -i ：后面接要『监听』的网络接口，例如 eth0, lo, ppp0 等等的界面； -w ：如果你要将监听所得的封包数据储存下来，用这个参数就对了！后面接档名 -c ：监听的封包数，如果没有这个参数， tcpdump 会持续不断的监听， 直到使用者输入 [ctrl]-c 为止。 -A ：封包的内容以 ASCII 显示，通常用来捉取 WWW 的网页封包资料。 -e ：使用资料连接层 (OSI 第二层) 的 MAC 封包数据来显示； -q ：仅列出较为简短的封包信息，每一行的内容比较精简 -X ：可以列出十六进制 (hex) 以及 ASCII 的封包内容，对于监听封包内容很有用 -r ：从后面接的档案将封包数据读出来。那个『档案』是已经存在的档案， 并且这个『档案』是由 -w 所制作出来的。 所欲撷取的数据内容：我们可以专门针对某些通讯协议或者是 IP 来源进行封包撷取， 那就可以简化输出的结果，并取得最有用的信息。常见的表示方法有： host foo, host ：针对单部主机来进行封包撷取 net 192.168 ：针对某个网域来进行封包的撷取； src host dst net 192.168：同时加上来源(src)或目标(dst)限制 tcp port 21：还可以针对通讯协议侦测，如 tcp, udp, arp, ether 等 还可以利用 and 与 or 来进行封包数据的整合显示呢！ 范例一：以 IP 与 port number 捉下 eth0 这个网络卡上的封包，持续 3 秒 [root@linux ~]# tcpdump -i eth0 -nn tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:33:40.41 IP 00.22 1.1190: P 116:232(116) ack 1 win 9648 01:33:40.41 IP 00.22 1.1190: P 232:364(132) ack 1 win 9648 ==按下 [ctrl]-c 之后结束 6680 packets captured ==捉下来的封包数量 14250 packets received by filter ==由过滤所得的总封包数量 7512 packets dropped by kernel ==被核心所丢弃的封包 如果你是第一次看 tcpdump 的 man page 时，肯定一个头两个大，因为 tcpdump 几乎都是分析封包的表头数据，用户如果没有简易的网络封包基础，要看懂粉难吶！ 所以，至少您得要回到网络基础里面去将 TCP 封包的表头数据理解理解才好啊！ ^_^！至于那个范例一所产生的输出范例中，我们可以约略区分为数个字段， 我们以范例一当中那个特殊字体行来说明一下： 01:33:40.41：这个是此封包被撷取的时间，『时:分:秒』的单位； IP：透过的通讯协议是 IP ； 00.22 ：传送端是 00 这个 IP，而传送的 port number 为 22，您必须要了解的是，那个大于 () 的符号指的是封包的传输方向喔！ 1.1190：接收端的 IP 是 1， 且该主机开启 port 1190 来接收； P 116:232(116)：这个封包带有 PUSH 的数据传输标志， 且传输的数据为整体数据的 116~232 byte，所以这个封包带有 116 bytes 的数据量； ack 1 win 9648：ACK与 Window size 的相关资料。 最简单的说法，就是该封包是由 00 传到 1，透过的 port 是由 22 到 1190 ， 且带有 116 bytes 的数据量，使用的是 PUSH 的旗标，而不是 SYN 之类的主动联机标志。 呵呵！不容易看的懂吧！所以说，上头才讲请务必到 TCP 表头数据的部分去瞧一瞧的啊！ 再来，一个网络状态很忙的主机上面，你想要取得某部主机对你联机的封包数据而已时， 使用 tcpdump 配合管线命令与正规表示法也