學(xué)習(xí)tcpdump

作者：孔建軍

1 tcpdump介紹

tcpdump是一款開(kāi)源的網(wǎng)絡(luò)數(shù)據(jù)截取分析工具，具有強(qiáng)大的功能和靈活的截取策略，用在網(wǎng)絡(luò)的分析、維護(hù)、統(tǒng)計(jì)、檢測(cè)等方面，例如定位網(wǎng)絡(luò)瓶頸、統(tǒng)計(jì)網(wǎng)絡(luò)流量使用情況等。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，正則表達(dá)式的靈活應(yīng)用能幫你準(zhǔn)確獲取有用信息。
tcpdump具備開(kāi)源軟件的優(yōu)勢(shì)，接口公開(kāi)，具有較強(qiáng)的可擴(kuò)展性。運(yùn)行此命令必須有root權(quán)限，它通過(guò)將網(wǎng)絡(luò)接口設(shè)置為混雜模式，繞過(guò)標(biāo)準(zhǔn)TCP/IP堆棧，進(jìn)行工作。出于安全等問(wèn)題考慮，F(xiàn)reeBSD里通過(guò)內(nèi)核取消對(duì)偽設(shè)備bpfilter的支持，來(lái)屏蔽tcpdump之類的網(wǎng)絡(luò)分析工具，也可使用網(wǎng)橋、交換機(jī)等將不信任網(wǎng)絡(luò)隔開(kāi)，但不能解決內(nèi)網(wǎng)通信安全問(wèn)題。在linux下可采用軟件包或編譯源代碼的方式安裝。
tcpdump官方網(wǎng)站：http://www.tcpdump.org/

2 運(yùn)行效果

	kongove@ubuntu:~$ sudo tcpdump  -i eth0 host ubuntu.localtcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes09:39:10.448284 IP ubuntu.local.2425 > 255.255.255.255.2425: UDP, length 3509:39:15.565249 IP ubuntu.local.2425 > 255.255.255.255.2425: UDP, length 29

3 基本使用

	  tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ][ -i interface ] [ -m module ] [ -M secret ][ -r file ] [ -s snaplen ][ -T type ] [ -w file ] [ -W filecount ][ -E spi@ipaddr algo:secret,...  ][ -y datalinktype ] [ -Z user ] [ expression ]

通過(guò)對(duì) tcpdump 選項(xiàng)、參數(shù)、表達(dá)式的組合應(yīng)用，從大流量的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)中，過(guò)濾出真正有用的信息，從而縮小分析范圍。

3.1 tcpdump選項(xiàng)

3.2 tcpdump的表達(dá)式介紹

tcpdump利用正則表達(dá)式作為過(guò)濾報(bào)文的條件，如果數(shù)據(jù)包滿足表達(dá)式的條件，則會(huì)被捕獲。如果沒(méi)有給出任何條件，則網(wǎng)絡(luò)上所有的數(shù)據(jù)包將會(huì)被截獲。表達(dá)式中常用關(guān)鍵字如下：

• 1) 指定參數(shù)類型的關(guān)鍵字，主要包括host，net，port等，如果沒(méi)有指定類型，缺省的類型是host；
例如：#tcpdump host 222.24.20.86 截獲ip為222.24.20.86的主機(jī)收發(fā)的所有數(shù)據(jù)包

• 2) 指定數(shù)據(jù)報(bào)文傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src，缺省為src or dst；
例如：#tcpdump src net 222.24.20.1 截取源網(wǎng)絡(luò)地址為 222.24.20.1 的所有數(shù)據(jù)包

• 3) 指定協(xié)議的關(guān)鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型，默認(rèn)監(jiān)聽(tīng)所有協(xié)議的數(shù)據(jù)包；
例如：#tucpdump arp 截獲所有arp協(xié)議的數(shù)據(jù)包

• 4) 其他重要的關(guān)鍵字還有，gateway，broadcast，less，greater，三種邏輯運(yùn)算（取非運(yùn)算是 'not ','! '； 與運(yùn)算是 'and ','&& '；或運(yùn)算 是'or ','|| '）等。這些關(guān)鍵字的巧妙組合，能靈活構(gòu)造過(guò)濾條件，從而滿足用戶需要。
例如：#tcpdump host ubuntu and src port \(80 or 8080\) 截取主機(jī)ubuntu上源端口為80或8080的所有數(shù)據(jù)包。

expression一個(gè)或多個(gè)原語(yǔ) (primitive)組成。原語(yǔ)通常由一個(gè)標(biāo)識(shí)(id,名稱或數(shù)字),和標(biāo)識(shí)前面的一個(gè)或多個(gè)修飾子(qualifier)組成。 修飾子 有三種不同的類型:

• type

類型修飾子指出標(biāo)識(shí)名稱或標(biāo)識(shí)數(shù)字代表什么類型的東西. 可以使用的類型有host, net 和 port。例如, `host foo', `net 128.3', `port 20'. 如果不指定類型修飾子, 就使用缺省的 host。

• dir

方向修飾子指出相對(duì)于標(biāo)識(shí)的傳輸方向(數(shù)據(jù)是傳入還是傳出標(biāo)識(shí))。 可以使用的方向有 src, dst, src or dst 和 src and dst。例如, `src foo', `dst net 128.3', `src or dst port ftp-data'。如果不指定方向修飾子, 就使用缺省的src or dst。 對(duì)于`null'鏈路層 (就是說(shuō)象slip之類的點(diǎn)到點(diǎn)協(xié)議), 用inbound和outbound修飾子指定所需的傳輸方向。

• proto

協(xié)議修飾子要求匹配指定的協(xié)議?？梢允褂玫膮f(xié)議有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp。例如, `ether srcfoo', `arp net 128.3', `tcp port 21'。 如果不指定協(xié)議修飾子, 就使用所有符合類型的協(xié)議. 例如, `src foo' 指 `(ip 或 arp 或 rarp) src foo'(注意后者不符合語(yǔ)法), `net bar'指`(ip 或 arp 或 rarp) net bar', `port 53'指 `(tcp 或 udp) port 53'。（`fddi'實(shí)際上是 `ether'的別名; 分析器把它們視為 ``用在指定網(wǎng)絡(luò)接口上的數(shù)據(jù)鏈路層.'' FDDI報(bào)頭包含類似于以太協(xié)議的源目地址, 而且通常包含類似于以太協(xié)議的報(bào)文類型, 因此你可以過(guò)濾FDDI域, 就象分析以太協(xié)議一樣. FDDI報(bào)頭也包含其他域, 但是你不能在過(guò)濾器表達(dá)式里顯式描述。）

作為上述的補(bǔ)充, 有一些特殊的`原語(yǔ)'關(guān)鍵字, 它們不同于上面的模式: gateway, broadcast, less,greater和數(shù)學(xué)表達(dá)式. 這些在后面有敘述。 更復(fù)雜的過(guò)濾器表達(dá)式 可以通過(guò)and, or和not連接原語(yǔ)來(lái)組建。 例如,`hostfoo and notport ftp and not port ftp-data'。為了少敲點(diǎn)鍵, 可以忽略相同的修飾子。 例如, `tcpdst port ftp or ftp-data or domain'實(shí)際上就是`tcp dst port ftp or tcp dstport ftp-data or tcp dst port domain'。

• dst host host

如果報(bào)文中IP的目的地址域是host, 則邏輯為真. host既可以是地址, 也可以是主機(jī)名.

• src host host

如果報(bào)文中IP的源地址域是host, 則邏輯為真.

• host host

如果報(bào)文中IP的源地址域或者目的地址域是host, 則邏輯為真. 上面所有的host表達(dá)式都可以加上ip, arp, 或rarp關(guān)鍵字做前綴, 就象:ip host host 它等價(jià)于: ether proto \ip and host host。

如果host是擁有多個(gè)IP地址的主機(jī)名, 它的每個(gè)地址都會(huì)被查驗(yàn)。

• ether dst ehost

如果報(bào)文的以太目的地址是ehost, 則邏輯為真。Ehost既可以是名字(/etc/ethers里有),也可以是數(shù)字(有關(guān)數(shù)字格式另見(jiàn) ethers(3N) )。

• ether src ehost

如果報(bào)文的以太源地址是ehost, 則邏輯為真。

• ether host ehost

如果報(bào)文的以太源地址或以太目的地址是ehost, 則邏輯為真。

• gateway host

如果報(bào)文把host當(dāng)做網(wǎng)關(guān), 則邏輯為真。也就是說(shuō),報(bào)文的以太源或目的地址是host, 但是IP的源目地址都不是host。 host必須是個(gè)主機(jī)名, 而且必須存在/etc/hosts和/etc/ethers中. (一個(gè)等價(jià)的表達(dá)式是ether host ehost and not host host，對(duì)于 host/ehost, 它既可以是名字, 也可以是數(shù)字。)

• dst net net

如果報(bào)文的IP目的地址屬于網(wǎng)絡(luò)號(hào)net,則邏輯為真.net既可以是名字(存在/etc/networks中),也可以是網(wǎng)絡(luò)號(hào).(詳見(jiàn)networks(4))。

• src net net

如果報(bào)文的IP源地址屬于網(wǎng)絡(luò)號(hào)net,則邏輯為真。

• net net

如果報(bào)文的IP源地址或目的地址屬于網(wǎng)絡(luò)號(hào)net,則邏輯為真.

• net net mask mask

如果IP地址匹配指定網(wǎng)絡(luò)掩碼(netmask)的net,則邏輯為真.本原語(yǔ)可以用src或dst修飾.

• net net/len

如果IP地址匹配指定網(wǎng)絡(luò)掩碼的net,則邏輯為真,掩碼的有效位寬為len.本原語(yǔ)可以用src或dst修飾。

• dst port port

如果報(bào)文是ip/tcp或ip/udp,并且目的端口是port,則邏輯為真.port是一個(gè)數(shù)字,也可以是/etc/services中說(shuō)明過(guò)的名字 (參看tcp(4P)和udp(4P)).如果使用名字,則檢查端口號(hào)和協(xié)議.如果使用數(shù)字,或者有二義的名字,則只檢查端口號(hào)(例 如,dstport513將顯示tcp/login的數(shù)據(jù)和udp/who的數(shù)據(jù),而portdomain將顯示tcp/domain和udp /domain的數(shù)據(jù))。

• src port port

如果報(bào)文的源端口號(hào)是port,則邏輯為真。

• port port

如果報(bào)文的源端口或目的端口是port,則邏輯為真.上述的任意一個(gè)端口表達(dá)式都可以用關(guān)鍵字tcp或udp做前綴,就象:

• tcp src port port

它只匹配源端口是port的TCP報(bào)文。

• less length

如果報(bào)文的長(zhǎng)度小于等于length,則邏輯為真.它等同于:len <= length。

• greater length

如果報(bào)文的長(zhǎng)度大于等于length,則邏輯為真.它等同于:len >= length。

• ip proto protocol

如果報(bào)文是IP數(shù)據(jù)報(bào)(參見(jiàn)ip(4P)),其內(nèi)容的協(xié)議類型是protocol,則邏輯為真.Protocol可以是數(shù)字,也可以是下列名稱中的一 個(gè):icmp,igrp,udp,nd,或tcp.注意這些標(biāo)識(shí)符tcp,udp,和icmp也同樣是關(guān)鍵字,所以必須用反斜杠(\)轉(zhuǎn)義,在C- shell中應(yīng)該是\\.

• ether broadcast

如果報(bào)文是以太廣播報(bào)文,則邏輯為真.關(guān)鍵字ether是可選的.

• ip broadcast

如果報(bào)文是IP廣播報(bào)文,則邏輯為真.Tcpdump檢查全0和全1廣播約定,并且檢查本地的子網(wǎng)掩碼.

• ether multicast

如果報(bào)文是以太多目傳送報(bào)文(multicast),則邏輯為真.關(guān)鍵字ether是可選的.這實(shí)際上是`ether[0]&1!=0'的簡(jiǎn)寫(xiě).

• ip multicast

如果報(bào)文是IP多目傳送報(bào)文,則邏輯為真.

• ether proto protocol

如果報(bào)文協(xié)議屬于以太類型的protocol,則邏輯為真.Protocol可以是數(shù)字,也可以是名字,如ip,arp,或rarp.注意這些標(biāo)識(shí)符也是 關(guān)鍵字,所以必須用反斜杠(\)轉(zhuǎn)義.[如果是FDDI(例如,`fddiprotocolarp'),協(xié)議標(biāo)識(shí)來(lái)自802.2邏輯鏈路控制(LLC)報(bào) 頭,它通常位于FDDI報(bào)頭的頂層.當(dāng)根據(jù)協(xié)議標(biāo)識(shí)過(guò)濾報(bào)文時(shí),Tcpdump假設(shè)所有的FDDI報(bào)文含有LLC報(bào)頭,而且LLC報(bào)頭用的是SNAP格 式.]

• decnet src host

如果DECNET的源地址是host,則邏輯為真,該主機(jī)地址的形式可能是``10.123'',或者是DECNET主機(jī)名.[只有配置成運(yùn)行DECNET的Ultrix系統(tǒng)支持DECNET主機(jī)名.]

• decnet dst host

如果DECNET的目的地址是host,則邏輯為真.

• decnet host host

如果DECNET的源地址或目的地址是host,則邏輯為真.ip, arp, rarp, decnet是:ether proto p的簡(jiǎn)寫(xiě)形式,其中p為上述協(xié)議的一種.lat, moprc, mopdl 是: ether proto p的簡(jiǎn)寫(xiě)形式,其中p為上述協(xié)議的一種.注意tcpdump目前不知道如何分析這些協(xié)議.tcp, udp, icmp 是: ip proto p的簡(jiǎn)寫(xiě)形式,其中p為上述協(xié)議的一種.

• expr relop expr

如果這個(gè)關(guān)系成立,則邏輯為真,其中relop是<,>,<=,>=,=,!=之一,expr是數(shù)學(xué)表達(dá)式,由常整數(shù)(標(biāo)準(zhǔn)C語(yǔ) 法形式),普通的二進(jìn)制運(yùn)算符[+,-,*,/,&,|],一個(gè)長(zhǎng)度運(yùn)算符,和指定的報(bào)文數(shù)據(jù)訪問(wèn)算符組成.要訪問(wèn)報(bào)文內(nèi)的數(shù)據(jù),使用下面的語(yǔ) 法:proto [ expr : size ]
Proto是ether,fddi,ip,arp,rarp,tcp,udp,oricmp之一,同時(shí)也指出了下標(biāo)操作的協(xié)議層.expr給出字節(jié)單位的 偏移量,該偏移量相對(duì)于指定的協(xié)議層.Size是可選項(xiàng),指出感興趣的字節(jié)數(shù);它可以是1,2,4,缺省為1字節(jié).由關(guān)鍵字len給出的長(zhǎng)度運(yùn)算符指明報(bào) 文的長(zhǎng)度.
例如,`ether[0]&1!=0'捕捉所有的多目傳送報(bào)文.表達(dá)式`ip[0]&0xf!=5'捕捉所有帶可選域的IP報(bào)文.表達(dá)式 `ip[6:2]&0x1fff=0'只捕捉未分片和片偏移為0的數(shù)據(jù)報(bào).這種檢查隱含在tcp和udp下標(biāo)操作中.例如,tcp[0]一定是 TCP報(bào)頭的第一個(gè)字節(jié),而不是其中某個(gè)IP片的第一個(gè)字節(jié).

原語(yǔ)可以用下述方法結(jié)合使用:

園括弧括起來(lái)的原語(yǔ)和操作符(園括弧在Shell中有專用,所以必須轉(zhuǎn)義).

取反操作 (`!' or `not').

連結(jié)操作 (`&&' or `and').

或操作 (`||' or `or').

取反操作有最高優(yōu)先級(jí).或操作和連結(jié)操作有相同的優(yōu)先級(jí),運(yùn)算時(shí)從左到右結(jié)合.注意連結(jié)操作需要顯式的and算符,而不是并列放置.

如果給出標(biāo)識(shí)符,但沒(méi)給關(guān)鍵字,那么暗指最近使用的關(guān)鍵字.例如,

not host vs and ace作為not host vs and host ace的簡(jiǎn)寫(xiě)形式, 不應(yīng)該和not( host vs or ace )混淆。

表達(dá)式參數(shù)可以作為單個(gè)參數(shù)傳給tcpdump,也可以作為復(fù)合參數(shù),后者更方便一些.一般說(shuō)來(lái),如果表達(dá)式包含Shell元字符(metacharacter),傳遞單個(gè)括起來(lái)的參數(shù)要容易一些.復(fù)合參數(shù)在被解析前用空格聯(lián)接一起.

3.3 tcpdump的輸出信息

tcpdump命令四種典型的輸出信息：

3.3.1 數(shù)據(jù)鏈路層頭信息

使用命令：tcpdump -e host host1
輸出結(jié)果：
11:15:12.247009 eth0 < 88:0:0:7:2b:26 0:90:27:58:af:1a ip 60: host2.25258 > host1.telnet 0:0(0) ack 22552 win 7890 (DF)
分析：“11:15:12”是顯示的時(shí)間，“247009”是ID號(hào)，“eth0<”表示從網(wǎng)絡(luò)接口eth0接受該數(shù)據(jù)包，“88:0:0:7:2b:26”為發(fā)送數(shù)據(jù)主機(jī)的MAC地址，“ip”是表明該數(shù)據(jù)包是IP類型數(shù)據(jù)包，“60”是數(shù)據(jù)包的長(zhǎng)度，“ host2.25258 > host1.telnet”表明該數(shù)據(jù)包是從主機(jī)host2的25258端口發(fā)往主機(jī)host1的TELNET(23)端口。“ack22552”表明對(duì)序列號(hào)是22552的包進(jìn)行響應(yīng)。“ win 7890”表明發(fā)送窗口的大小是7890。

3.3.2 ARP包的TCPDUMP輸出信息

使用命令：tcpdump arp
輸出結(jié)果：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
分析：“eth0 >”表示從網(wǎng)絡(luò)接口eth0發(fā)送數(shù)據(jù)包。

3.3.3 TCP包的輸出信息

輸出信息：src > dst: flags data-seqno ack window urgent options
分析：“src > dst:”表明從源地址到目的地址,flags是TCP包中的標(biāo)志信息（S是SYN標(biāo)志，F(xiàn)(FIN)，P(PUSH)，R(RST)，"."(沒(méi)有標(biāo)記)）；data-seqno是數(shù)據(jù)包中的數(shù)據(jù)的順序號(hào)，ack是下次期望的順序號(hào)，window是接收緩存的窗口大小，urgent表明數(shù)據(jù)包中是否有緊急指針，Options是選項(xiàng)。

3.3.4 UDP包的輸出信息

輸出信息：host.p1 > linux.p2: udp lenth
分析：從主機(jī)host的p1端口發(fā)出的一個(gè)udp類型數(shù)據(jù)包到主機(jī)linux的p2端口，包的長(zhǎng)度是lenth。

4 功能擴(kuò)展

tcpdump還可以結(jié)合tcpshow、管道、重定向使用，從而擴(kuò)展其功能。

5 范例

5.1 顯示所有進(jìn)出sundown的報(bào)文:

tcpdump host sundown

5.2 顯示helios和主機(jī)hot,ace之間的報(bào)文傳送:

tcpdump host helios and \( hot or ace \)

5.3 顯示ace和除了helios以外的所有主機(jī)的IP報(bào)文

tcpdump ip host ace and not helios

5.4 顯示本地的主機(jī)和Berkeley的主機(jī)之間的網(wǎng)絡(luò)數(shù)據(jù)

tcpdump net ucb-ether

5.5 顯示所有通過(guò)網(wǎng)關(guān)snup的ftp報(bào)文(注意這個(gè)表達(dá)式被單引號(hào)括起,防止shell解釋園括弧)

tcpdump 'gateway snup and (port ftp or ftp-data)'

5.6 顯示既不是來(lái)自本地主機(jī),也不是傳往本地主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)(如果你把網(wǎng)關(guān)通往某個(gè)其他網(wǎng)絡(luò),這個(gè)做法將不會(huì)把數(shù)據(jù)發(fā)往你的本地網(wǎng)絡(luò)).

tcpdump ip and not net localnet

5.7 顯示每個(gè)TCP會(huì)話的起始和結(jié)束報(bào)文(SYN和FIN報(bào)文),而且會(huì)話方中有一個(gè)遠(yuǎn)程主機(jī).

tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'

5.8 顯示經(jīng)過(guò)網(wǎng)關(guān)snup中大于576字節(jié)的IP數(shù)據(jù)報(bào)

tcpdump 'gateway snup and ip[2:2] > 576'

5.9 顯示IP廣播或多目傳送的數(shù)據(jù)報(bào),這些報(bào)文不是通過(guò)以太網(wǎng)的廣播或多目傳送形式傳送的

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

5.10 顯示所有不是回響請(qǐng)求/應(yīng)答的ICMP報(bào)文(也就是說(shuō),不是ping報(bào)文)

tcpdump 'icmp[0] != 8 and icmp[0] != 0'

tcpdump的輸出格式取決于協(xié)議.下面的描述給出大多數(shù)格式的簡(jiǎn)要說(shuō)明和范例.

5.11 鏈路層報(bào)頭 (Link Level Headers)

如果給出'-e'選項(xiàng)就顯示鏈路層報(bào)頭.在以太網(wǎng)上,顯示報(bào)文的源目地址,協(xié)議和報(bào)文長(zhǎng)度.

在FDDI網(wǎng)絡(luò)上,'-e'選項(xiàng)導(dǎo)致tcpdump顯示出`幀控制(framecontrol)'域,源目地址和報(bào)文長(zhǎng)度.(`幀控制'域負(fù)責(zé)解釋其余的報(bào)文.普通報(bào)文(比如說(shuō)載有IP數(shù)據(jù)報(bào))是`異步'報(bào)文,優(yōu)先級(jí)介于0到7;例如,`async4'.這些被認(rèn)為載有802.2邏輯鏈路控制(LLC)報(bào)文;如果它們不是ISO數(shù)據(jù)報(bào)或者所謂的SNAP報(bào)文,就顯示出LLC報(bào)頭.

(注意:以下描述中假設(shè)你熟悉RFC-1144中說(shuō)明的SLIP壓縮算法.)

在SLIP鏈路上,tcpdump顯示出方向指示(``I''指inbound,``O''指outbound),報(bào)文類型和壓縮信息.首先顯示的是報(bào)文類型.有三種類型ip,utcp和ctcp.對(duì)于ip報(bào)文不再顯示更多的鏈路信息.對(duì)于TCP報(bào)文,在類型后面顯示連接標(biāo)識(shí).如果報(bào)文是壓縮過(guò)的,就顯示出編碼的報(bào)頭.特殊情形以*S+n和*SA+n的形式顯示,這里的n是順序號(hào)(或順序號(hào)及其確認(rèn))發(fā)生的改變總和.如果不是特殊情形,就顯示0或多少個(gè)改變.改變由U(urgentpointer),W(window),A(ack),S(sequencenumber)和I(packetID)指明,后跟一個(gè)變化量(+nor-n),或另一個(gè)值(=n).最后顯示報(bào)文中的數(shù)據(jù)總和,以及壓縮報(bào)頭的長(zhǎng)度.

例如,下面一行顯示了一個(gè)傳出的壓縮的TCP報(bào)文,有一個(gè)隱含的連接標(biāo)識(shí);確認(rèn)(ack)的變化量是6,順序號(hào)是49,報(bào)文ID是6;有三個(gè)字節(jié)的數(shù)據(jù)和六個(gè)字節(jié)的壓縮報(bào)頭:

O ctcp * A+6 S+49 I+6 3 (6)

5.12 ARP/RARP 報(bào)文

Arp/rarp報(bào)文的輸出顯示請(qǐng)求類型及其參數(shù).輸出格式傾向于能夠自我解釋.這里是一個(gè)簡(jiǎn)單的例子,來(lái)自主機(jī)rtsg到主機(jī)csam的'rlogin'開(kāi)始部分:

arp who-has csam tell rtsg

arp reply csam is-at CSAM

第一行說(shuō)明rtsg發(fā)出一個(gè)arp報(bào)文詢問(wèn)internet主機(jī)csam的以太網(wǎng)地址.Csam用它的以太地址作應(yīng)答(這個(gè)例子中,以太地址是大寫(xiě)的,internet地址為小寫(xiě)).

如果 用 tcpdump -n 看上去 要 清楚一些:

arp who-has 128.3.254.6 tell 128.3.254.68

arp reply 128.3.254.6 is-at 02:07:01:00:01:c4

如果用tcpdump-e,可以看到實(shí)際上第一個(gè)報(bào)文是廣播,第二個(gè)報(bào)文是點(diǎn)到點(diǎn)的:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg

CSAM RTSG 0806 64: arp reply csam is-at CSAM

這里第一個(gè)報(bào)文指出以太網(wǎng)源地址是RTSG,目的地址是以太網(wǎng)廣播地址,類型域?yàn)?6進(jìn)制數(shù)0806(類型ETHER_ARP),報(bào)文全長(zhǎng)64字節(jié).

5.13 TCP 報(bào)文

(注意:以下的描述中假設(shè)你熟悉RFC-793中說(shuō)明的TCP協(xié)議,如果你不了解這個(gè)協(xié)議,無(wú)論是本文還是tcpdump都對(duì)你用處不大)

一般說(shuō)來(lái)tcp協(xié)議的輸出格式是:

src > dst: flags data-seqno ack window urgent options

Src和dst是源目IP地址和端口.Flags是S(SYN),F(FIN),P(PUSH)或R(RST)或單獨(dú)的`.'(無(wú)標(biāo)志),或者是它們的組合.Data-seqno說(shuō)明了本報(bào)文中的數(shù)據(jù)在流序號(hào)中的位置(見(jiàn)下例).Ack是在這條連接上信源機(jī)希望下一個(gè)接收的字節(jié)的流序號(hào)(sequencenumber).Window是在這條連接上信源機(jī)接收緩沖區(qū)的字節(jié)大小.Urg表明報(bào)文內(nèi)是`緊急(urgent)'數(shù)據(jù).Options是tcp可選報(bào)頭,用尖括號(hào)括起(例如,).

Src, dst 和 flags肯定存在. 其他域依據(jù)報(bào)文的tcp報(bào)頭內(nèi)容, 只輸出有必要的部分.

下面是從主機(jī)rtsgrlogin到主機(jī)csam的開(kāi)始部分.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

第一行是說(shuō)從rtsg的tcp端口1023向csam的login端口發(fā)送報(bào)文.S標(biāo)志表明設(shè)置了SYN標(biāo)志.報(bào)文的流序號(hào)是768512,沒(méi)有數(shù)據(jù).(這個(gè)寫(xiě)成`first:last(nbytes)',意思是`從流序號(hào)first到last,不包括last,有nbytes字節(jié)的用戶數(shù)據(jù)'.)此時(shí)沒(méi)有捎帶確認(rèn)(piggy-backedack),有效的接收窗口是4096字節(jié),有一個(gè)最大段大小(max-segment-size)的選項(xiàng),請(qǐng)求設(shè)置mss為1024字節(jié).

Csam用類似的形式應(yīng)答,只是增加了一個(gè)對(duì)rtsgSYN的捎帶確認(rèn).然后Rtsg確認(rèn)csam的SYN.`.'意味著沒(méi)有設(shè)置標(biāo)志.這個(gè)報(bào)文不包含數(shù)據(jù),因此也就沒(méi)有數(shù)據(jù)的流序號(hào).注意這個(gè)確認(rèn)流序號(hào)是一個(gè)小整數(shù)(1).當(dāng)tcpdump第一次發(fā)現(xiàn)一個(gè)tcp會(huì)話時(shí),它顯示報(bào)文攜帶的流序號(hào).在隨后收到的報(bào)文里,它顯示當(dāng)前報(bào)文和最初那個(gè)報(bào)文的流序號(hào)之差.這意味著從第一個(gè)報(bào)文開(kāi)始,以后的流序號(hào)可以理解成數(shù)據(jù)流中的相對(duì)位移asrelativebytepositionsintheconversation'sdatastream(withthefirstdatabyteeachdirectionbeing`1').`-S'選項(xiàng)能夠改變這個(gè)特性,直接顯示原始的流序號(hào).

在第六行,rtsg傳給csam19個(gè)字節(jié)的數(shù)據(jù)(字節(jié)2到20).報(bào)文中設(shè)置了PUSH標(biāo)志.第七行csam表明它收到了rtsg的數(shù)據(jù),字節(jié)序號(hào)是21,但不包括第21個(gè)字節(jié).顯然大多數(shù)數(shù)據(jù)在socket的緩沖區(qū)內(nèi),因?yàn)閏sam的接收窗口收到的數(shù)據(jù)小于19個(gè)字節(jié).同時(shí)csam向rtsg發(fā)送了一個(gè)字節(jié)的數(shù)據(jù).第八和第九行顯示csam發(fā)送了兩個(gè)字節(jié)的緊急數(shù)據(jù)到rtsg.

如果捕捉區(qū)設(shè)置的過(guò)小,以至于tcpdump不能捕捉到完整的TCP報(bào)頭,tcpdump會(huì)盡可能的翻譯已捕獲的部分,然后顯示``[|tcp]'',表明無(wú)法翻譯其余部分.如果報(bào)頭包含一個(gè)偽造的選項(xiàng)(onewithalengththat'seithertoosmallorbeyondtheendoftheheader),tcpdump顯示``[badopt]''并且不再翻譯其他選項(xiàng)部分(因?yàn)樗豢赡芘袛喑鰪哪膬洪_(kāi)始).如果報(bào)頭長(zhǎng)度表明存在選項(xiàng),但是IP數(shù)據(jù)報(bào)長(zhǎng)度不夠,不可能真的保存選項(xiàng),tcpdump就顯示``[badhdrlength]''.

5.14 UDP 報(bào)文

UDP格式就象這個(gè)rwho報(bào)文顯示的:

actinide.who > broadcast.who: udp 84

就是說(shuō)把一個(gè)udp數(shù)據(jù)報(bào)從主機(jī)actinide的who端口發(fā)送到broadcast,Internet廣播地址的who端口.報(bào)文包含84字節(jié)的用戶數(shù)據(jù).

某些 UDP 服務(wù) 能夠 識(shí)別出來(lái)(從 源目端口號(hào) 上), 因而 顯示出 更高層的 協(xié)議信息. 特別是 域名服務(wù)請(qǐng)求(RFC-1034/1035) 和 NFS 的 RPC 調(diào)用(RFC-1050).

5.15 UDP域名服務(wù)請(qǐng)求(NameServerRequests)

(注意:以下的描述中假設(shè)你熟悉RFC-1035說(shuō)明的域名服務(wù)協(xié)議.如果你不熟悉這個(gè)協(xié)議,下面的內(nèi)容就象是天書(shū).)

域名服務(wù)請(qǐng)求的格式是

src > dst: id op? flags qtype qclass name (len)

h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

主機(jī)h2opolo訪問(wèn)helios上的域名服務(wù),詢問(wèn)和ucbvax.berkeley.edu.關(guān)聯(lián)的地址記錄(qtype=A).查詢號(hào)是`3'.`+'表明設(shè)置了遞歸請(qǐng)求標(biāo)志.查詢長(zhǎng)度是37字節(jié),不包括UDP和IP頭.查詢操作是普通的Query操作,因此op域可以忽略.如果op設(shè)置成其他什么東西,它應(yīng)該顯示在`3'和`+'之間.類似的,qclass是普通的C_IN類型,也被忽略了.其他類型的qclass應(yīng)該在`A'后面顯示.

Tcpdump會(huì)檢查一些不規(guī)則情況,相應(yīng)的結(jié)果作為補(bǔ)充域放在方括號(hào)內(nèi):如果某個(gè)查詢包含回答,名字服務(wù)或管理機(jī)構(gòu)部分,就把a(bǔ)ncount,nscount,或arcount顯示成`[na]',`[nn]'或`[nau]',這里的n代表相應(yīng)的數(shù)量.如果在第二和第三字節(jié)中,任何一個(gè)回答位(AA,RA或rcode)或任何一個(gè)`必須為零'的位被置位,就顯示`[b2&3=x]',這里的x是報(bào)頭第二和第三字節(jié)的16進(jìn)制數(shù).

5.16 UDP名字服務(wù)回答

名字服務(wù)回答的格式是

src > dst: id op rcode flags a/n/au type class data (len)
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)

第一個(gè)例子里,helios回答了h2opolo發(fā)出的標(biāo)識(shí)為3的詢問(wèn),一共是3個(gè)回答記錄,3個(gè)名字服務(wù)記錄和7個(gè)管理結(jié)構(gòu)記錄.第一個(gè)回答紀(jì)錄的類型是A(地址),數(shù)據(jù)是internet地址128.32.137.3.回答的全長(zhǎng)為273字節(jié),不包括UDP和IP報(bào)頭.作為A記錄的class(C_IN)可以忽略op(詢問(wèn))和rcode(NoError).

在第二個(gè)例子里,helios對(duì)標(biāo)識(shí)為2的詢問(wèn)作出域名不存在(NXDomain)的回答,沒(méi)有回答記錄,一個(gè)名字服務(wù)記錄,而且沒(méi)有管理結(jié)構(gòu).

`*'表明設(shè)置了權(quán)威回答(authoritativeanswer).由于沒(méi)有回答記錄,這里就不顯示type,class和data.

其他標(biāo)志字符可以顯示為`-'(沒(méi)有設(shè)置遞歸有效(RA))和`|'(設(shè)置消息截短(TC)).如果`問(wèn)題'部分沒(méi)有有效的內(nèi)容,就顯示`[nq]'.

注意名字服務(wù)的詢問(wèn)和回答一般說(shuō)來(lái)比較大,68字節(jié)的snaplen可能無(wú)法捕捉到足夠的報(bào)文內(nèi)容.如果你的確在研究名字服務(wù)的情況,可以使用-s選項(xiàng)增大捕捉緩沖區(qū).`-s128'應(yīng)該效果不錯(cuò)了.

5.17 NFS請(qǐng)求和響應(yīng)

SunNFS(網(wǎng)絡(luò)文件系統(tǒng))的請(qǐng)求和響應(yīng)顯示格式是:

src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150

在第一行,主機(jī)sushi向wrl發(fā)送號(hào)碼為6709的交易會(huì)話(注意源主機(jī)后面的數(shù)字是交易號(hào),不是端口).這項(xiàng)請(qǐng)求長(zhǎng)112字節(jié),不包括UDP和IP報(bào)頭.在文件句柄(fh)21,24/10.731657119上執(zhí)行readlink(讀取符號(hào)連接)操作.(如果運(yùn)氣不錯(cuò),就象這種情況,文件句柄可以依次翻譯成主次設(shè)備號(hào),i節(jié)點(diǎn)號(hào),和事件號(hào)(generationnumber).)Wrl回答`ok'和連接的內(nèi)容.

在第三行,sushi請(qǐng)求wrl在目錄文件9,74/4096.6878中查找`xcolors'.注意數(shù)據(jù)的打印格式取決于操作類型.格式應(yīng)該是可以自我說(shuō)明的.

給出-v(verbose)選項(xiàng)可以顯示附加信息.例如:

sushi.1372a > wrl.nfs:

148 read fh 21,11/12.195 8192 bytes @ 24576

wrl.nfs > sushi.1372a:

reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v同時(shí)使它顯示IP報(bào)頭的TTL,ID,和分片域,在這個(gè)例子里把它們省略了.)在第一行,sushi請(qǐng)求wrl從文件21,11/12.195的偏移位置24576開(kāi)始,讀取8192字節(jié).Wrl回答`ok';第二行顯示的報(bào)文是應(yīng)答的第一個(gè)分片,因此只有1472字節(jié)(其余數(shù)據(jù)在后續(xù)的分片中傳過(guò)來(lái),但由于這些分片里沒(méi)有NFS甚至UDP報(bào)頭,因此根據(jù)所使用的過(guò)濾器表達(dá)式,有可能不顯示).-v選項(xiàng)還會(huì)顯示一些文件屬性(它們作為文件數(shù)據(jù)的附帶部分傳回來(lái)):文件類型(普通文件``REG''),存取模式(八進(jìn)制數(shù)),uid和gid,以及文件大小.

如果再給一個(gè)-v選項(xiàng)(-vv),還能顯示更多的細(xì)節(jié).

注意NFS請(qǐng)求的數(shù)據(jù)量非常大,除非增加snaplen,否則很多細(xì)節(jié)無(wú)法顯示.試一試`-s192'選項(xiàng).

NFS應(yīng)答報(bào)文沒(méi)有明確標(biāo)明RPC操作.因此tcpdump保留有``近來(lái)的''請(qǐng)求記錄,根據(jù)交易號(hào)匹配應(yīng)答報(bào)文.如果應(yīng)答報(bào)文沒(méi)有相應(yīng)的請(qǐng)求報(bào)文,它就無(wú)法分析.

5.18 KIPAppletalk(UDP上的DDP)

AppletalkDDP報(bào)文封裝在UDP數(shù)據(jù)報(bào)中,解包后按DDP報(bào)文轉(zhuǎn)儲(chǔ)(也就是說(shuō),忽略所有的UDP報(bào)頭信息).文件/etc/atalk.names用來(lái)把a(bǔ)ppletalk網(wǎng)絡(luò)和節(jié)點(diǎn)號(hào)翻譯成名字.這個(gè)文件的行格式是

number name
1.254 ether
16.1 icsd-net
1.254.110 ace

前兩行給出了appletalk的網(wǎng)絡(luò)名稱.第三行給出某個(gè)主機(jī)的名字(主機(jī)和網(wǎng)絡(luò)依據(jù)第三組數(shù)字區(qū)分-網(wǎng)絡(luò)號(hào)一定是兩組數(shù)字,主機(jī)號(hào)一定是三組數(shù)字.)號(hào)碼和名字用空白符(空格或tab)隔開(kāi)./etc/atalk.names文件可以包含空行或注釋行(以`#'開(kāi)始的行).

Appletalk地址按這個(gè)格式顯示

net.host.port

144.1.209.2 > icsd-net.112.220

office.2 > icsd-net.112.220

jssmag.149.235 > icsd-net.2

(如果不存在/etc/atalk.names,或者里面缺少有效項(xiàng)目,就以數(shù)字形式顯示地址.)第一個(gè)例子里,網(wǎng)絡(luò)144.1的209節(jié)點(diǎn)的NBP(DDP端口2)向網(wǎng)絡(luò)icsd的112節(jié)點(diǎn)的220端口發(fā)送數(shù)據(jù).第二行和上面一樣,只是知道了源節(jié)點(diǎn)的全稱(`office').第三行是從網(wǎng)絡(luò)jssmag的149節(jié)點(diǎn)的235端口向icsd-net的NBP端口廣播(注意廣播地址(255)隱含在無(wú)主機(jī)號(hào)的網(wǎng)絡(luò)名字中-所以在/etc/atalk.names中區(qū)分節(jié)點(diǎn)名和網(wǎng)絡(luò)名是個(gè)好主意).

Tcpdump可以翻譯NBP(名字聯(lián)結(jié)協(xié)議)和ATP(Appletalk交互協(xié)議)的報(bào)文內(nèi)容.其他協(xié)議只轉(zhuǎn)儲(chǔ)協(xié)議名稱(或號(hào)碼,如果還沒(méi)給這個(gè)協(xié)議注冊(cè)名稱)和報(bào)文大小.

NBP報(bào)文的輸出格式就象下面的例子:

icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186

第一行是網(wǎng)絡(luò)icsd的112主機(jī)在網(wǎng)絡(luò)jssmag上的廣播,對(duì)名字laserwriter做名字查詢請(qǐng)求.名字查詢請(qǐng)求的nbp標(biāo)識(shí)號(hào)是190.第二行顯示的是對(duì)這個(gè)請(qǐng)求的回答(注意它們有同樣的標(biāo)識(shí)號(hào)),主機(jī)jssmag.209表示在它的250端口注冊(cè)了一個(gè)laserwriter的資源,名字是"RM1140".第三行是這個(gè)請(qǐng)求的其他回答,主機(jī)techpit的186端口有l(wèi)aserwriter注冊(cè)的"techpit".

ATP報(bào)文格式如下例所示:

jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002

Jssmag.209向主機(jī)helios發(fā)起12266號(hào)交易,請(qǐng)求8個(gè)報(bào)文(`<0-7>').行尾的十六進(jìn)制數(shù)是請(qǐng)求中`userdata'域的值.
Helios用8個(gè)512字節(jié)的報(bào)文應(yīng)答.跟在交易號(hào)后面的`:digit'給籌

實(shí)例：
#tcpdump -i eth0 -X src host 10.1.2.1

6 實(shí)踐經(jīng)驗(yàn)

6.1 診斷arp風(fēng)暴

arp攻擊包括arp掃描和arp欺騙兩類。arp風(fēng)暴屬于前者，它是指由于病毒作用，導(dǎo)致主機(jī)向整個(gè)網(wǎng)絡(luò)內(nèi)廣播大量arp請(qǐng)求，耗盡帶寬資源，使網(wǎng)絡(luò)癱瘓的現(xiàn)象，它往往是arp欺騙的前兆，用于破壞網(wǎng)絡(luò)連接、盜取他人網(wǎng)絡(luò)賬號(hào)。
tcpdump -e arp可以用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)內(nèi)部廣播的所有數(shù)據(jù)包，監(jiān)聽(tīng)結(jié)果中包含數(shù)據(jù)發(fā)送方Mac地址、arp請(qǐng)求方法IP地址等其他信息，如果某個(gè)或多個(gè)固定MAC地址的主機(jī)連續(xù)發(fā)送大量請(qǐng)求廣播，并得到回應(yīng)，則其有可能為arp風(fēng)暴源。可以對(duì)此主機(jī)進(jìn)行物理隔離，進(jìn)行再判斷。

kongove@ubuntu:~$ sudo tcpdump -e arp09:43:48.630521 00:15:c5:6d:0e:80 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.2.1 tell 192.168.8.23709:43:48.734420 00:e0:4d:1a:c9:24 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.44.138 tell 192.168.44.15609:43:48.842663 00:e0:e4:02:32:59 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.21.1 tell 192.168.21.251

7 總結(jié)

8 參考資料

• man手冊(cè)
• tcpdump官方網(wǎng)站幫助文檔