当前位置:首页 > 运维 > 正文内容

linux中tcpdump的详细用法

phpmianshi5年前 (2016-04-19)运维142

在调试网络通信程序是tcpdump是必备工具。tcpdump很强大,可以看到网络通信的每个细节。如TCP,可以看到3次握手,PUSH/ACK数据推送,close4次挥手,全部细节。包括每一次网络收包的字节数,时间等。

tcpdump的选项

  • -a —— 将网络地址和广播地址转变成名字

  • -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出

  • -dd —— 将匹配信息包的代码以c语言程序段的格式给出

  • -ddd —— 将匹配信息包的代码以十进制的形式给出

  • -e —— 在输出行打印出数据链路层的头部信息

  • -f —— 将外部的Internet地址以数字的形式打印出来

  • -l —— 使标准输出变为缓冲行形式

  • -n —— 不把网络地址转换成名字

  • -nn:   指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

  • -s     从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。 -s0 防止包截断

  • -t —— 在输出的每一行不打印时间戳

  • -v —— 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息

  • -vv —— 输出详细的报文信息

  • -c —— 在收到指定的包的数目后,tcpdump就会停止

  • -F —— 从指定的文件中读取表达式,忽略其它的表达式

  • -i —— 指定监听的网络接口,如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0

  • -r —— 从指定的文件中读取包(这些包一般通过-w选项产生)

  • -w —— 直接将包写入cap文件中,并不分析和打印出来,一般配合wireshark分析

  • -T —— 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议)

  • -X    告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。


就是:dump the traffic on a network

tcpdump的表达式


类型的关键字要包括host,net,port

例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向

例如 src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光 纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作 ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

其他重要的关键字:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,'&&’;或运算 是’or’ ,’││’;这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。


A)跟10.66.151.82:6379(redis服务器)交互的所有tcp数据包(双向):
tcpdump tcp port 6379 and host 10.66.151.82 -X


16:53:01.883032  phpmianshi.com.36822 > 10.66.151.82.6379: Flags
[S], seq 1943657014, win 29200, options [mss 1460,sackOK,TS val 814732894 ecr 0
,nop,wscale 7], length 0
16:53:01.883220 IP 10.66.151.82.6379 > phpmianshi.com.36822: Flags
 [S.], seq 453036003, ack 1943657015, win 14480, options [mss 1424,sackOK,TS val
 4119054316 ecr 814732894,nop,wscale 7], length 0
16:53:01.883234 IP phpmianshi.com.36822 > 10.66.151.82.6379: Flags
 [.], ack 1, win 229, options [nop,nop,TS val 814732894 ecr 4119054316], length
0
16:53:01.883358 IP phpmianshi.com.36822 > 10.66.151.82.6379: Flags
 [P.], seq 1:47, ack 1, win 229, options [nop,nop,TS val 814732894 ecr 411905431
6], length 29: RESP "AUTH" "password"


tcpdump的输出结果 总的的输出格式为:系统时间 来源主机.端口 > 目标主机.端口 数据包参数

16:53:01.883358   时间带有精确到微妙
IP  表示这个包在网路层,是IP包
phpmianshi.com.36822 > 10.66.151.82.6379 表示通信的流向,36822 是客户端,6379是服务器端
flags 标志由S(SYN), F(FIN), P(PUSH, R(RST),W(ECN CWT(nt | rep:未知, 需补充))或者 E(ECN-Echo(nt | rep:未知, 需补充))组成
[S] 表示这是一个SYN请求
[S.] 表示这是一个SYN+ACK确认包
[.] 表示这是一个ACK确认包
[P] 表示这个是一个数据推送,可以是从服务器端向客户端推送,也可以从客户端向服务器端推
[F] 表示这是一个FIN包,是关闭连接操作,client/server都有可能发起
[R] 表示这是一个RST包,与F包作用相同,但RST表示连接关闭时,仍然有数据未被处理。可以理解为是强制切断连接
win 29200是指滑动窗口大小
length 29指数据包的大小, 因为 SYN 包不带 TCP payload,所有信息都在 TCP header,所以length 为 0


截获主机hostname发送的所有数据

tcpdump src host hostname

 

监视所有送到主机hostname的数据包

tcpdump dst host hostname


监视指定协议的数据包

打印TCP会话中的的开始和结束数据包,

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin)!=0'

想获取115.159.122.65.3306之间建立TCP三次握手中带有SYN标记位的网络包.

tcpdump -n -nn 'host 115.159.122.65 and port 3306 and tcp[tcpflags] & tcp-syn!=0'

语法:  proto [ expr : size]

Proto即protocol的缩写,它表示这里要指定的是某种协议名称,如ip,tcp,udp等,链路层协议 ether,fddi,tr,wlan,ppp,slip,link,网络层协议ip,ip6,arp,rarp,icmp,传输层协议tcp,udp等。

expr用来指定数据报字节单位的偏移量,该偏移量相对于指定的协议层,默认的起始位置是0;而size表示从偏移量的位置开始提取多少个字节,可以设置为

1、2、4,默认为1字节。如果只设置了expr,而没有设置size,则默认提取1个字节。比如ip[2:2],就表示提取出第3、4个字节;而ip[0]则表示提取ip协议头的

第一个字节。在我们提取了特定内容之后,我们就需要设置我们的过滤条件了,我们可用的“比较操作符”包括:>,<,>=,<=,=,!=,总共有6个。

举例:想截取每个TCP会话的起始和结束报文(SYN 和 FIN 报文), 而且会话中有一个远程主机.

tcpdump 'tcp[13] & 3 != 0 and not(src and dst net 172.16.0.0)' -nn

如果熟悉tcp首部报文格式可以比较容易理解这句话,因为tcp偏移13字节的位置为2位保留位和6位标志位(URG,ACK,PSH,RST,SYN,FIN), 所以与3相与就可以得出

SYN,FIN其中是否一个置位1. 

从上面可以看到在写过滤表达式时,需要我们对协议格式比较理解才能把表达式写对。为了让tcpdump工具更人性化一些,有一些常用的偏移量,

可以通过一些名称来代替,比如icmptype表示ICMP协议的类型域、icmpcode表示ICMP的code域,tcpflags 则表示TCP协议的标志字段域。

更进一步的,对于ICMP的类型域,可以用这些名称具体指代:

icmp-echoreply,icmp-unreach, icmp-sourcequench, icmp-redirect,icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob,icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq,icmp-maskreply。

而对于TCP协议的标志字段域,则可以细分为tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-ack, tcp-urg。

对于tcpdump 只能通过经常操作来熟练这些语句了。

tcpdump 与wireshark

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后在Windows 里分析包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析

tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump截获数据并保存到文件中,然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。


对于复杂的 pcap,例如,其中包含了上百个 IP 地址、上千个端口、上万个连接的 pcap, 通过 tcpdump 看输出可能就比较低效了。

这时,wireshark 这样带图形用户界面,且功能强大的网 络流分析工具就派上了用场。

wireshark 支持强大的过滤功能,支持按 IP、端口、协议、连接、TCP flag 以及它们的各 种组合进行过滤,然后进行分析,大大节省网络排障的时间。

wireshark 官方维护了一个 sample pcap列表


使用技巧:

wireshark导入pcap文件,我们可以看到有TCP Retransmission的情况,右键=>跟踪流=>TCP流  就可以只看跟这个链接相关的流

图片.png








从结果我们看到,由于没有ack包回复,触发客户端 TCP 超时重传

TCP 重传的机制:指数后退,比如第一次等待 1s,第二次等 待 2s,第三次等待 4s,第四次 8s,5次重传后链接超时

从这个抓包文件看,这次连接没有建立起来,client 没有收到 server 的应答包。要跟进这个问题,就需要在 server 端一起抓包,看应答包是否有发出来 。


TCPDUMP技巧

[技巧一]

使用-A选项,则tcpdump只会显示ASCII形式的数据包内容,不会再以十六进制形式显示;

[技巧二]

使用-XX选项,则tcpdump会从以太网部分就开始显示网络包内容,而不是仅从网络层协议开始显示。

[技巧三]

使用tcpdump -D 则tcpdump会列出所有可以选择的抓包对象。

[技巧四]

如果想查看哪些ICMP包中“目标不可达、主机不可达”的包,请使用这样的过滤表达式:

icmp[0:2]==0x0301

[技巧五]

要提取TCP协议的SYN、ACK、FIN标识字段,语法是:

tcp[tcpflags] & tcp-syn
tcp[tcpflags] & tcp-ack
tcp[tcpflags] & tcp-fin

[技巧六]

要提取TCP协议里的SYN-ACK数据包,不但可以使用上面的方法,也可以直接使用最本质的方法:

tcp[13]==18

[技巧七]

如果要抓取一个区间内的端口,可以使用portrange语法:

tcpdump -i eth0 -nn 'portrange 52-55' -c 1  -XX


版权声明:本文由PHP面试资料网发布,如需转载请注明出处。
分享给朋友:

相关文章


1、应用程序中调用read() 方法,这里会涉及到一次上下文切换(用户态->内核态),底层采用DMA(direct memory access)读取磁盘的文件,并把内容存储到内核地址空间的读取缓存区。

2、由于应用程序无法读取内核地址空间的数据,如果应用程序要操作这些数据,必须把这些内容从读取缓冲区拷贝到用户缓冲区。这个时候,read() 调用返回,且引发一次上下文切换(内核态->用户态),现在数据已经被拷贝到了用户地址空间缓冲区,这时,如果有需要,应用程序可以操作修改这些内容。

3、我们最终目的是把这个文件内容通过Socket传到另一个服务中,调用Socket的send()方法,这里又涉及到一次上下文切换(用户态->内核态),同时,文件内容被进行第三次拷贝,被再次拷贝到内核地址空间缓冲区,但是这次的缓冲区与目标套接字相关联,与读取缓冲区没有半点关系。

4、send()调用返回,引发第四次的上下文切换,同时进行第四次的数据拷贝,通过DMA把数据从目标套接字相关的缓存区传到协议引擎进行发送。

"在整个过程中,过程1和4是由DMA负责,并不会消耗CPU,只有过程2和3的拷贝需要CPU参与


如果在应用程序中,不需要操作内容,过程2和3就是多余的,如果可以直接把内核态读取缓存冲区数据直接拷贝到套接字相关的缓存区,是不是可以达到优化的目的?

Linux中nio的实现原理

我们上一篇文章 《linux中netstat和ss命令详解》中提到了nio 原文:https://phpmianshi.com/?id=105有一些小伙伴私信想了解什么是nio,我们这篇详细介绍下什么...






TCP(Transmission Control Protocol) 传输控制协议

三次握手

TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接:

位码即tcp标志位,有6种标示:

SYN(synchronous建立联机) 同步报文段

ACK(acknowledgement 确认)

PSH(push传送)

FIN(finish结束) 结束报文段

RST(reset重置) 复位报文段

URG(urgent紧急) 紧急指针

Sequence number(顺序号码)

Acknowledge number(确认号码)

客户端TCP状态迁移:

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

服务器TCP状态迁移:

CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED


各个状态的意义如下: 

LISTEN - 侦听来自远方TCP端口的连接请求; 

SYN-SENT -在发送连接请求后等待匹配的连接请求; 

SYN-RECEIVED - 在收到和发送一个连接请求后等待对连接请求的确认; 

ESTABLISHED- 代表一个打开的连接,数据可以传送给用户; 

FIN-WAIT-1 - 等待远程TCP的连接中断请求,或先前的连接中断请求的确认;

FIN-WAIT-2 - 从远程TCP等待连接中断请求; 

CLOSE-WAIT - 等待从本地用户发来的连接中断请求; 

CLOSING -等待远程TCP对连接中断的确认; 

LAST-ACK - 等待原来发向远程TCP的连接中断请求的确认; 

TIME-WAIT -等待足够的时间以确保远程TCP接收到连接中断请求的确认; 

CLOSED - 没有任何连接状态;


TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接,如图1所示。

(1)第一次握手:建立连接时,客户端A发送SYN包(SYN=j)到服务器B,并进入SYN_SEND状态,等待服务器B确认。

(2)第二次握手:服务器B收到SYN包,必须确认客户A的SYN(ACK=j+1),同时自己也发送一个SYN包(SYN=k),即SYN+ACK包,此时服务器B进入SYN_RECV状态。

(3)第三次握手:客户端A收到服务器B的SYN+ACK包,向服务器B发送确认包ACK(ACK=k+1),此包发送完毕,客户端A和服务器B进入ESTABLISHED状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据。

确认号:其数值等于发送方的发送序号 +1(即接收方期望接收的下一个序列号)。

图1 TCP三次握手建立连接  


TCP协议中的三次握手和四次挥手

理解:窗口和滑动窗口TCP的流量控制TCP使用窗口机制进行流量控制什么是窗口?连接建立时,各端分配一块缓冲区用来存储接收的数据,并将缓冲区的尺寸发送给另一端接收方发送的确认信息中包含了自己剩余的缓冲区...

sentry磁盘占用过大如何清理历史数据

1、SENTRY数据软清理 (清理完不会释放磁盘,如果很长时间没有运行,清理时间会很长)#登录worker容器 docker exec -it sentry_onpre...

Nginx中对同一IP限速限流DDOS预防

作用:Nginx通过limit_conn_zone和limit_req_zone对同一个IP地址进行限速限流,可防止DDOS/CC和flood攻击limit_conn_zone是限制同一个IP的连接数...

进程间通信的方式

进程间通信的方式

1.管道    管道,通常指无名管道,是 UNIX 系统IPC最古老的形式。    1.匿名管道:  ...

linux中cpu占用过高排查方法

CPU使用率查看top通过top -d 0.1可以缩短采样时间。-d:指定每两次屏幕信息刷新之间的时间间隔。当然用户可以使用s交互命令来改变之。load average后面的三个数分别是1分钟、5分钟...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。