Linux中如何利用tcpdump抓包

這篇文章將為大家詳細(xì)講解有關(guān)Linux中如何利用tcpdump抓包，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

很多時(shí)候我們的系統(tǒng)部署在Linux系統(tǒng)上面，在一些情況下定位問(wèn)題就需要查看各個(gè)系統(tǒng)之間發(fā)送數(shù)據(jù)報(bào)文是否正常，下面我就簡(jiǎn)單講解一下如何使用tcpdump抓包

網(wǎng)絡(luò)數(shù)據(jù)包截獲分析工具。支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾。并提供and、or、not等邏輯語(yǔ)句幫助去除無(wú)用的信息。

tcpdump - dump traffic on a network

tcpdump的命令格式

tcpdump的參數(shù)眾多，通過(guò)man tcpdump可以查看tcpdump的詳細(xì)說(shuō)明，這邊只列一些自己常用的參數(shù)：

tcpdump [-i 網(wǎng)卡] -nnAX '表達(dá)式'

各參數(shù)說(shuō)明如下：

• -i：interface 監(jiān)聽(tīng)的網(wǎng)卡。

• -nn：表示以ip和port的方式顯示來(lái)源主機(jī)和目的主機(jī)，而不是用主機(jī)名和服務(wù)。

• -A：以ascii的方式顯示數(shù)據(jù)包，抓取web數(shù)據(jù)時(shí)很有用。

• -X：數(shù)據(jù)包將會(huì)以16進(jìn)制和ascii的方式顯示。

• 表達(dá)式：表達(dá)式有很多種，常見(jiàn)的有：host 主機(jī)；port 端口；src host 發(fā)包主機(jī)；dst host 收包主機(jī)。多個(gè)條件可以用and、or組合，取反可以使用!，更多的使用可以查看man 7 pcap-filter。

例子

不指定任何參數(shù)

監(jiān)聽(tīng)第一塊網(wǎng)卡上經(jīng)過(guò)的數(shù)據(jù)包。主機(jī)上可能有不止一塊網(wǎng)卡，所以經(jīng)常需要指定網(wǎng)卡。

tcpdump

監(jiān)聽(tīng)特定網(wǎng)卡

tcpdump -i en0

監(jiān)聽(tīng)特定主機(jī)

例子：監(jiān)聽(tīng)本機(jī)跟主機(jī)182.254.38.55之間往來(lái)的通信包。

備注：出、入的包都會(huì)被監(jiān)聽(tīng)。

tcpdump host 182.254.38.55

特定來(lái)源、目標(biāo)地址的通信

特定來(lái)源

tcpdump src host hostname

特定目標(biāo)地址

tcpdump dst host hostname

如果不指定src跟dst，那么來(lái)源 或者目標(biāo) 是hostname的通信都會(huì)被監(jiān)聽(tīng)

tcpdump host hostname

特定端口

tcpdump port 3000

監(jiān)聽(tīng)TCP/UDP

服務(wù)器上不同服務(wù)分別用了TCP、UDP作為傳輸層，假如只想監(jiān)聽(tīng)TCP的數(shù)據(jù)包

tcpdump tcp

來(lái)源主機(jī)+端口+TCP

監(jiān)聽(tīng)來(lái)自主機(jī)123.207.116.169在端口22上的TCP數(shù)據(jù)包

tcpdump tcp port 22 and src host 123.207.116.169

監(jiān)聽(tīng)特定主機(jī)之間的通信

tcpdump ip host 210.27.48.1 and 210.27.48.2

210.27.48.1除了和210.27.48.2之外的主機(jī)之間的通信

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

稍微詳細(xì)點(diǎn)的例子

tcpdump tcp -i eth2 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

       (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來(lái)過(guò)濾數(shù)據(jù)報(bào)的類(lèi)型

       (2)-i eth2 : 只抓經(jīng)過(guò)接口eth2的包

       (3)-t : 不顯示時(shí)間戳

       (4)-s 0 : 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包

       (5)-c 100 : 只抓取100個(gè)數(shù)據(jù)包

       (6)dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包

       (7)src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24

       (8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

抓http包

TODO

限制抓包的數(shù)量

如下，抓到1000個(gè)包后，自動(dòng)退出

tcpdump -c 1000

保存到本地

備注：tcpdump默認(rèn)會(huì)將輸出寫(xiě)到緩沖區(qū)，只有緩沖區(qū)內(nèi)容達(dá)到一定的大小，或者tcpdump退出時(shí)，才會(huì)將輸出寫(xiě)到本地磁盤(pán)

tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

也可以加上-U強(qiáng)制立即寫(xiě)到本地磁盤(pán)（一般不建議，性能相對(duì)較差）

實(shí)戰(zhàn)例子

先看下面一個(gè)比較常見(jiàn)的部署方式，在服務(wù)器上部署了nodejs server，監(jiān)聽(tīng)3000端口。nginx反向代理監(jiān)聽(tīng)80端口，并將請(qǐng)求轉(zhuǎn)發(fā)給nodejs server（127.0.0.1:3000）。

瀏覽器 -> nginx反向代理 -> nodejs server

問(wèn)題：假設(shè)用戶(hù)(183.14.132.117)訪問(wèn)瀏覽器，發(fā)現(xiàn)請(qǐng)求沒(méi)有返回，該怎么排查呢？

步驟一：查看請(qǐng)求是否到達(dá)nodejs server -> 可通過(guò)日志查看。

步驟二：查看nginx是否將請(qǐng)求轉(zhuǎn)發(fā)給nodejs server。

tcpdump port 8383

這時(shí)你會(huì)發(fā)現(xiàn)沒(méi)有任何輸出，即使nodejs server已經(jīng)收到了請(qǐng)求。因?yàn)閚ginx轉(zhuǎn)發(fā)到的地址是127.0.0.1，用的不是默認(rèn)的interface，此時(shí)需要顯示指定interface

tcpdump port 8383 -i lo

備注：配置nginx，讓nginx帶上請(qǐng)求側(cè)的host，不然nodejs server無(wú)法獲取 src host，也就是說(shuō)，下面的監(jiān)聽(tīng)是無(wú)效的，因?yàn)榇藭r(shí)對(duì)于nodejs server來(lái)說(shuō)，src host 都是 127.0.0.1

tcpdump port 8383 -i lo and src host 183.14.132.117

步驟三：查看請(qǐng)求是否達(dá)到服務(wù)器

tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

關(guān)于“Linux中如何利用tcpdump抓包”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。