×

Tcpdump命令抓包详细分析
  

请君江南扫落花 1657022人觉得有帮助

{{ttag.title}}
一、起因

      前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都某公司公司处遁形。
为了更好、更顺手地能够用好这两个工具,特整理本篇文章,希望也能给大家带来收获。为大家之后排查问题,添一利器。

二、tcpdump与Wireshark介绍
      在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。
默认情况下,tcpdump不会抓取本机某公司公司通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内核,并且完成了路由选择。【比如本机的TCP通信,也必须要socket通信的基本要素:src ip port dst ip port】
如果要使用tcpdump抓取某公司公司主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。一般而言,Unix不会让普通某公司公司设置混杂模式,因为这样可以看到别人的信息,比如telnet的某公司公司名和密码,这样会引起一些安全上的问题,所以只有root某公司公司可以开启混杂模式,开启混杂模式的命令是:ifconfig en0 promisc, en0是你要打开混杂模式的网卡。

Linux抓包原理:

Linux抓包是通过注册一种某公司公司的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点某公司公司些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。
当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。
Wireshark是一个网络协议检测工具,支持Windows平台、Unix平台、Mac平台,一般只在图形界面平台下使用Wireshark,如果是Linux的话,直接使用tcpdump了,因为一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。
在Mac平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓包过滤器或者显示过滤器,具体简单使用下面会介绍。Wireshark是一个免费的工具,只要google一下就能很容易找到下载的地方。
所以,tcpdump是用来抓取数据非常方便,Wireshark则是用于分析抓取到的数据比较方便。

三、tcpdump使用
3.1 语法
类型的关键字
host(缺省类型): 指明一台主机,如:host 210.27.48.2
net: 指明一个网络地址,如:net 202.0.0.0
port: 指明端口号,如:port 23
确定方向的关键字
src: src 210.27.***.2, IP包源地址是210.***.48.2
dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0
dst or src(缺省值)
dst and src
协议的关键字:缺省值是监听所有协议的信息包
fddi
ip
arp
rarp
tcp
udp
某公司公司关键字
gateway
broadcast
less
greater
常用表达式:多条件时可以用括号,但是要用转义
非 : ! or “某公司t” (去掉双引号)
且 : && or “and”
或 : || or “or”
3.2 选项



3.3 命令实践

1、直接启动tcpdump,将抓取所有经过第一个网络接口上的数据包


2、抓取所有经过指定网络接口上的数据包


3、抓取所有经过 en0,目的或源地址是 10.37.***.255 的网络数据:


4、抓取主机10.37.***.255和主机10.37.***.61或10.37.***.95的通信:


5、抓取主机192.168.***.210除了和主机10.37.***.61之外所有主机通信的数据包:


6、抓取主机10.37.***.255除了和主机10.37.***.61之外所有主机通信的ip包


7、抓取主机10.37.***.3发送的所有数据:


8、抓取主机10.37.***.3接收的所有数据:

9、抓取主机10.37.***.3所有在TCP 80端口的数据包:


10、抓取HTTP主机10.37.***.3在80端口接收到的数据包:


11、抓取所有经过 en0,目的或源端口是 25 的网络数据

12、抓取所有经过 en0,网络是 192.168上的数据包


13、协议过滤


14、抓取所有经过 en0,目的地址是 192.***.1.254 或 192.***1.2某公司 端口是 80 的 TCP 数据


15、抓取所有经过 en0,目标 MAC 地址是 某公司:01:02:03:04:05 的 ICMP 数据


16、抓取所有经过 en0,目的网络是 192.168,但目的主机不是 192.***.1.2某公司 的 TCP 数据


17、只抓 SYN 包


18、抓 SYN, ACK


19、抓 SMTP 数据,抓取数据区开始为”MAIL”的包,”MAIL”的十六进制为 0x4d41494c


20、抓 HTTP GET 数据,”GET “的十六进制是 0x47455420


21、抓 SSH 返回,”SSH-“的十六进制是 0x5353482D


22、高级包头过滤如前两个的包头过滤,首先了解如何从包头过滤信息:


23、抓 DNS 请求数据


24、某公司公司-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是抓的太多,于是可以用-c 参数指定抓多少个包。


3.4 抓个网站练练
想抓取访问某公司个网站时的网络数据。比如网站 http://www.baidu.com/ 怎么做?
1、通过tcpdump截获主机www.baidu.com发送与接收所有的数据包


2、访问这个网站


3、想要看到详细的http报文。怎么做?


4、分析抓取到的报文


四、tcpdump抓取TCP包分析
TCP传输控制协议是面向连接的可靠的传输层协议,在进行数据传输之前,需要在传输数据的两端(客户端和服务器端)创建一个连接,这个连接由一对插口地址唯一标识,即是在IP报文首部的源IP地址、目的IP地址,以及TCP数据报首部的源端口地址和目的端口地址。TCP首部结构如下:


注意:通常情况下,一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手
其中在TCP连接和断开连接过程中的关键部分如下:
源端口号:即发送方的端口号,在TCP连接过程中,对于客户端,端口号往往由内核分配,某公司公司需进程指定;
目的端口号:即发送目的的端口号;
序号:即为发送的数据段首个字节的序号;
确认序号:在收到对方发来的数据报,发送确认时期待对方下一次发送的数据序号;
SYN:同步序列编号,Synchronize Sequence Numbers;
ACK:确认编号,Ack某公司wledgement Number;
FIN:结束标志,FINish;
4.1 TCP三次握手
三次握手的过程如下:


step1. 由客户端向服务器端发起TCP连接请求。Client发送:同步序列编号SYN置为1,发送序号Seq为一个随机数,这里假设为X,确认序号ACK置为0;
step2. 服务器端接收到连接请求。Server响应:同步序列编号SYN置为1,并将确认序号ACK置为X+1,然后生成一个随机数Y作为发送序号Seq(因为所确认的数据报的确认序号未初始化);
step3. 客户端对接收到的确认进行确认。Client发送:将确认序号ACK置为Y+1,然后将发送序号Seq置为X+1(即为接收到的数据报的确认序号);
为什么是三次握手而不是两次对于step3的作用,假设一种情况,客户端A向服务器B发送一个连接请求数据报,然后这个数据报在网络中滞留导致其迟到了,虽然迟到了,但是服务器仍然会接收并发回一个确认数据报。但是A却因为久久收不到B的确认而将发送的请求连接置为失效,等到一段时间后,接到B发送过来的确认,A认为自己现在没有发送连接,而B却一直以为连接成功了,于是一直在等待A的动作,而A将不会有任何的动作了。这会导致服务器资源白白浪费掉了,因此,两次握手是不行的,因此需要再加上一次,对B发过来的确认再进行一次确认,即确认这次连接是有效的,从而建立连接。
对于双方,发送序号的初始化为何值有的系统中是显式的初始化序号是0,但是这种已知的初始化值是非常危险的,因为这会使得一些黑客钻漏洞,发送一些数据报来破坏连接。因此,初始化序号因为取随机数会更好一些,并且是越随机越安全。
tcpdump抓TCP三次握手抓包分析:
sudotcpdump-n-S-ilo0host10.37.63.3andtcpport8080
# 接着再运行:
curlhttp://10.37.63.3:8080/atbg/doc
控制台输出:


每一行中间都有这个包所携带的标志:
S=SYN,发起连接标志。
P=PUSH,传送数据标志。
F=FIN,关闭连接标志。
ack,表示确认包。
RST=RESET,异常关闭连接。
.,表示没有任何标志。
第1行:16:某公司:13.486776,从10.37.***.3(client)的临时端口61725向10.37.63.3(server)的8080监听端口发起连接,client初始包序号seq为1944916150,滑动窗口大小为65535字节(滑动窗口即tcp接收缓冲区的大小,用于tcp拥塞控制),mss大小为16344(即可接收的最大包长度,通常为MTU减40字节,IP头和TCP头各20字节)。【seq=1944916150,ack=0,syn=1】
第2行:16:某公司:13.486850,server响应连接,同时带上第一个包的ack信息,为client端的初始包序号seq加1,即1944916151,即server端下次等待接受这个包序号的包,用于tcp字节流的顺序控制。Server端的初始包序号seq为1119565918,mss也是16344。【seq=1119565918,ack=1944916151,syn=1】
第3行:15:46:13.084161,client再次发送确认连接,tcp连接三次握手完成,等待传输数据包。【ack=1119565919,seq=1944916151】
4.2 TCP四次挥手
连接双方在完成数据传输之后就需要断开连接。由于TCP连接是属于全双工的,即连接双方可以在一条TCP连接上互相传输数据,因此在断开时存在一个半关闭状态,即有有一方失去发送数据的能力,却还能接收数据。因此,断开连接需要分为四次。主要过程如下:


step1. 主机A向主机B发起断开连接请求,之后主机A进入FIN-WAIT-1状态;
step2. 主机B收到主机A的请求后,向主机A发回确认,然后进入CLOSE-WAIT状态;
step3. 主机A收到B的确认之后,进入FIN-WAIT-2状态,此时便是半关闭状态,即主机A失去发送能力,但是主机B却还能向A发送数据,并且A可以接收数据。此时主机B占主导位置了,如果需要继续关闭则需要主机B来操作了;
step4. 主机B向A发出断开连接请求,然后进入LAST-ACK状态;
step5. 主机A接收到请求后发送确认,进入TIME-WAIT状态,等待2MSL之后进入CLOSED状态,而主机B则在接受到确认后进入CLOSED状态;
为何主机A在发送了最后的确认后没有进入CLOSED状态,反而进入了一个等待2MSL的TIME-WAIT主要作用有两个:
第一,确保主机A最后发送的确认能够到达主机B。如果处于LAST-ACK状态的主机B一直收不到来自主机A的确认,它会重传断开连接请求,然后主机A就可以有足够的时间去再次发送确认。但是这也只能尽最大力量来确保能够正常断开,如果主机A的确认总是在网络中滞留失效,从而超过了2MSL,最后也某公司公司法正常断开;
第二,如果主机A在发送了确认之后立即进入CLOSED状态。假设之后主机A再次向主机B发送一条连接请求,而这条连接请求比之前的确认报文更早地到达主机B,则会使得主机B以为这条连接请求是在旧的连接中A发出的报文,并不看成是一条新的连接请求了,即使得这个连接请求失效了,增加2MSL的时间可以使得这个失效的连接请求报文作废,这样才不影响下次新的连接请求中出现失效的连接请求。
为什么断开连接请求报文只有三个,而不是四个因为在TCP连接过程中,确认的发送有一个延时(即经受延时的确认),一端在发送确认的时候将等待一段时间,如果自己在这段事件内也有数据要发送,就跟确认一起发送,如果没有,则确认单独发送。而我们的抓包实验中,由服务器端先断开连接,之后客户端在确认的延迟时间内,也有请求断开连接需要发送,于是就与上次确认一起发送,因此就只有三个数据报了。

五、 Wireshark分析tcpdump抓包结果

1、启动8080端口,tcpdump抓包命令如下:
tcpdump-ilo0-s0-n-Shost10.37.63.3andport8080-w./Desktop/tcpdump_10.37.63.3_8080_20160525.cap
# 然后再执行curl
curlhttp://10.37.63.3:8080/atbg/doc
2、使用Wireshark打开tcpdump_10.37.63.3_8080_20160525.cap文件


No. 1-4 行:TCP三次握手环节;
No. 5-8 行:TCP传输数据环节;
No. 9-13 行:TCP四次挥手环节;
3、顺便说一个查看 http 请求和响应的方法:


弹窗如下图所示,上面红色部分为请求信息,下面蓝色部分为响应信息:


以上是Wireshark分析tcpdump的简单使用,Wireshark更强大的是过滤器工具,大家可以自行去多研究某公司公司Wireshark,用起来还是比较爽的。

二层以太网帧有个ether type头,占两个字节,指示了帧的类别,常见的有:
0x08某公司 ipv4
0x0806 arp
0x81某公司 tags vlan
0x8137 ipx
0x8808 flow control
0x86dd ipv6
0x8863 pppoe discovery 发现帧
0x8864 pppoe session 会话帧
0x8870 巨帧
这个ether type在tcpdump上,用ether proto来表示。
比如ipv4的另一个表示法:
# tcpdump -i eth0 ether proto 0x08某公司
抓vlan包:
# tcpdump -i eth0 ether proto 0x81某公司
抓pppoe包:
# tcpdump -i eth0 -n ether proto 0x8863 '||' ether proto 0x8864
标记: 没有

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-15 15:15
  
内容非常棒,全是干货知识!

非社区原创的内容,还请注明出处,感谢!
主动出击 发表于 2019-11-18 16:10
  
这个贴子要加精,太得太详细了。
静态路由 发表于 2019-11-18 18:25
  
非常详细的命令记录,一般情况下我个人喜欢直接梭哈全部抓下来,tcpdump -i -w
新手689835 发表于 2019-11-18 18:32
  
这个写的挺全面的,有点不看不明白
新手850916 发表于 2019-11-18 23:30
  
学习打卡,感谢分享,虽然看的不是很明白
新手541178 发表于 2019-11-18 23:36
  
刚好想学习这个,感谢分享
新手311144 发表于 2019-11-18 23:40
  
感谢楼主的分享,这个很重要。
新手254119 发表于 2019-11-18 23:40
  
刚好想学习这个,感谢分享
新手535160 发表于 2019-11-18 23:40
  
感谢楼主的分享,这个很重要。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人