转自:浩道Linux
今天跟大家分享2款IT运维生涯中必不可少的神器Wireshark及Tcpdump,掌握这2个神器的使用,运维排查故障基本就是如鱼得水。可以这么说,一名合格的IT运维,不仅要懂Wireshark抓包,还要会Tcpdump抓一、wireshark是什么?
wireshark是非常流行的网络封包分析软件,简称小鲨鱼,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
二、Wireshark常用应用场景
1. 网络管理员会使用wireshark来检查网络问题2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件3. 从事socket编程的工程师会用wireshark来调试总之跟网络相关的东西,都可能会用到wireshark
三、Wireshark抓包原理
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。「单机情况」下,Wireshark直接抓取本机网卡的网络流量;「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。
四、Wireshark软件安装
https://www.wireshark.org/按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。先介绍一个使用wireshark工具抓取ping命令操作的示例,可以上手操作感受一下抓包的具体过程。2、选择菜单栏上 捕获 -> 选项,勾选WLAN网卡。这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡。点击Start,启动抓包。3、wireshark启动后,wireshark处于抓包状态中。4、执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com。5、操作完成后相关数据包就抓取到了,可以点击 停止捕获分组 按钮。
6、为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 183.232.231.172 and icmp 表示只显示ICPM协议且主机IP为183.232.231.172的数据包。说明:协议名称icmp要小写。
7、wireshark抓包完成,并把本次抓包或者分析的结果进行保存,就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。
六、Wireshakr抓包界面介绍
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏 视图 --> 着色规则。如下所示1. Display Filter(显示过滤器)
用于设置过滤条件进行数据包列表过滤。菜单路径:分析 --> Display Filters。2. Packet List Pane(数据包列表)
显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。3. Packet Details Pane(数据包详细信息)
在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为(2)Ethernet II: 数据链路层以太网帧头部信息(3)Internet Protocol Version 4: 互联网层IP包头部信息(4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP(5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议从下图可以看到wireshark捕获到的TCP包中的每个字段。4. Dissector Pane(数据包字节区)
七、Wireshark过滤器设置
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。1.抓包过滤器
捕获过滤器的菜单栏路径为 捕获 --> 捕获过滤器。用于在抓取数据包前设置。ip host 183.232.231.172表示只捕获主机IP为183.232.231.172的数据包。获取结果如下:2. 显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。同样上述场景,在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包。执行ping www.baidu.com获取的数据包列表如下观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.172,并进行过滤。上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。
八、wireshark过滤器表达式的规则
1. 抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&与、|| 或、!非)src host 192.168.1.104 &&dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包2. 显示过滤器语法和实例
== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。ip.src ==112.53.42.42 显示源地址为112.53.42.42的数据包列表ip.dst==112.53.42.42, 显示目标地址为112.53.42.42的数据包列表ip.addr == 112.53.42.42 显示源IP地址或目标IP地址为112.53.42.42的数据包列表tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。http.request.method=='GET', 只显示HTTP GET方法的。过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.0.104的ICMP数据包表达式为ip.addr == 192.168.0.104 and icmp假设我要以ICMP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含'abcd'内容的数据流。关键词是contains,完整条件表达式为data contains 'abcd'3. 常见用显示过滤需求及其对应表达式
筛选mac地址为04:f9:38:ad:13:26的数据包eth.src == 04:f9:38:ad:13:26筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26tcp.port == 12345 &&tcp.port == 80tcp.srcport == 12345 &&tcp.dstport == 80特别说明: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。http.request.uri contains '.php'九、Wireshark抓包分析TCP三次握手
1. TCP三次握手连接建立过程
Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。2. Wireshark抓包获取访问指定服务端数据包
Step1:启动wireshark抓包,打开浏览器输入www.baidu.com。Step2:使用ping www.baidu.com获取IP。Step3:输入过滤条件获取待分析数据包列表 ip.addr == 183.232.231.172图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTPS的, 这说明HTTPS的确是使用TCP建立连接的。客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据服务器发回确认包, 标志位为 SYN,ACK。将确认序号(Acknowledgement Number)字段+1,即0+1=1。[SYN + ACK]: 标志位,同意建立连接,并回送SYN+ACKSeq = 0 :初始建立值为0,表示当前还没有发送数据Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1。并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,并且在Flag段写ACK的+1:Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。就这样通过了TCP三次握手,建立了连接。开始进行数据交互
十、Wireshark分析常用操作
调整数据包列表中时间戳显示格式。调整方法为 视图 -->时间显示格式 --> 日期和时间。调整后格式如下:一般Wireshark软件也可以与各主流厂家的模拟器一起使用,更适合于项目准确配置。tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统 中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。说白了tcpdump就是linux下的一款抓包工具。通常用于故障诊断、网络分析,功能十分的强大。了解了tcpdump是何物之后,让我们通过实战去一一掀开它神秘的面纱。tcpdump作为一个命令使用,其具有多样的参数选项。tcpdump [option] [proto] [dir] [type]
1、option:即可选参数,可以指定相关参数,输出特定信息。-A 以ASCII格式打印出所有分组,并将链路层的头最小化。-c 在收到指定的数量的分组后,tcpdump就会停止。-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。-d 将匹配信息包的代码以人们能够理解的汇编格式给出。-dd 将匹配信息包的代码以c语言程序段的格式给出。-ddd 将匹配信息包的代码以十进制的形式给出。-D 打印出系统中所有可以用tcpdump截包的网络接口。-e 在输出行打印出数据链路层的头部信息。-E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。-f 将外部的Internet地址以数字的形式打印出来。-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。-i 指定监听的网络接口。-l 使标准输出变为缓冲行形式,可以把数据导出到文件。-L 列出网络接口的已知数据链路。-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。-M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。-b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。-n 不把网络地址转换成名字。-nn 不进行端口名称的转换。-N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。-t 在输出的每一行不打印时间戳。-O 不运行分组分组匹配(packet-matching)代码优化程序。-P 不将网络接口设置成混杂模式。-q 快速输出。只输出较少的协议信息。-r 从指定的文件中读取包(这些包一般通过-w选项产生)。-S 将tcp的序列号以绝对值形式输出,而不是相对值。-s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。-t 不在每一行中输出时间戳。-tt 在每一行中输出非格式化的时间戳。-ttt 输出本行和前面一行之间的时间差。-tttt 在每一行中输出由date处理的默认格式的时间戳。-u 输出未解码的NFS句柄。-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。-vv 输出详细的报文信息。-w 直接将分组写入文件中,而不是不分析并打印出来。
2、proto:即类过滤器,指定过滤某种协议的数据包。如tcp、udp、ip、arp、icmp等。
3、dir:即类过滤器,根据数据流向进行过滤,可识别的关键字有src、dst、 src or dst等。4、type:即类过滤器,可识别的关键字有:host, net, port, port range等,这些关键字后边需要再接具体参数。1、linux系统默认没有安装tcpdump工具的,所以需要我们自己安装,这里我通过yum进行安装。2、安装完成,通过tcpdump -h查看它相关版本信息。[root@haodaolinux1 ~]# tcpdump -htcpdump version 4.9.2libpcap version 1.5.3OpenSSL 1.0.2k-fips 26 Jan 2017Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ] [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ expression ][root@haodaolinux1 ~]#
该命令参数表示抓取网口eno16777736上所有的数据包。
tcpdump -i eno16777736 -s 0 -w hao1.cap
该命令参数大概意思是针对网口eno16777736抓取不限制大小的报文,保存为文件hao1.captcpdump -ni eno16777736 -c 10 dst host 192.168.3.165
该命令参数表示抓取网口eno16777736发往目的主机192.168.3.165的数据包,并且抓取10个包后,自动停止抓包。[root@haodaolinux1 ~]# tcpdump -r hao1.cap reading from file hao1.cap, link-type EN10MB (Ethernet)15:22:42.826813 IP 192.168.3.199.ssh > 192.168.3.165.8162: Flags [P.], seq 211541184:211541316, ack 3983093332, win 255, length 13215:22:42.862614 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 546175073, win 16293, length 015:22:43.026135 IP 192.168.3.165.8162 > 192.168.3.199.ssh: Flags [.], ack 132, win 16425, length 015:22:43.609384 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 7, length 6415:22:43.621431 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 7, length 6415:22:43.621610 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 1:133, ack 0, win 255, length 13215:22:43.821278 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 133, win 16260, length 015:22:44.610696 IP 192.168.3.199 > 183.232.231.172: ICMP echo request, id 9275, seq 8, length 6415:22:44.624632 IP 183.232.231.172 > 192.168.3.199: ICMP echo reply, id 9275, seq 8, length 6415:22:44.624842 IP 192.168.3.199.ssh > 192.168.3.165.armtechdaemon: Flags [P.], seq 133:265, ack 0, win 255, length 13215:22:44.824397 IP 192.168.3.165.armtechdaemon > 192.168.3.199.ssh: Flags [.], ack 265, win 16227, length 0
tcpdump -i eno16777736 host 183.232.231.172 and tcp port 80
即表示抓取主机183.232.231.172所有在TCP 80端口的数据包。tcpdump -i eno16777736 host 183.232.231.172 and dst port 80
即表示抓取HTTP主机183.232.231.172在80端口接收到的数据包。tcpdump -i eno16777736 port 80
即表示抓取所有经过eno16777736,目的或源端口是80的网络数据。tcpdump -i eno16777736 icmp
tcpdump host 192.168.20.110
即表示监听本机跟主机192.168.20.110之间往来的通信包。tcpdump tcp port 22 and src host 192.168.20.110
即表示监听来自主机 192.168.20.110 在端口 22 上的TCP数据包。tcpdump ip host 192.168.20.110 and 192.168.20.120
即表示监听来自主机 192.168.20.110 和主机192.168.20.120之间的数据包。tcpdump ip host 192.168.20.110 and ! 192.168.20.120
即表示监听来自主机 192.168.20.110 除了和主机192.168.20.120之外的主机之间的数据包。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型;(2)-i eth1 : 只抓经过接口eth1的包;(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包;(6)dst port ! 22 : 不抓取目标端口是22的数据包;(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析。tcpdump -s 1024 -l -A -n host 192.168.9.56tcpdump -s 1024 -l -A src 192.168.9.56 or dst 192.168.9.56sudo tcpdump -A -s 1492 dst port 80
tcpdump -i eth0 port httptcpdump -i eth0 port http or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|userna me:|password:|login:|pass |user '
即表示监听查看网卡eth0的http请求的tcp包。tcpdump -n -v tcp or udp or icmp and not port 22
即表示监听查看tcp,upd,icmp非ssh的包。sudo tcpdump -i eth0 port 80 -w -
sudo tcpdump -i en1 -n -s 0 -w - | grep -a -o -E 'GET \/.*|Host\: .*'
即表示过滤http响应的get host头信息包。sudo tcpdump -i en0 'udp port 53'
tcpdump tcp port 22 and host 192.168.20.110
即表示监听主机 192.168.20.110 接收和发出的 tcp 协议的 ssh 的数据包。tcpdump icmp and src 192.168.20.110 -i ens33 -n
即表示过滤 icmp 报文并且源 IP 是 192.168.20.110。tcpdump src host 192.168.20.110 -i ens33 -n -c 5
即表示过滤源 IP 地址是 192.168.20.110 的包。tcpdump dst host 192.168.20.110 -i ens33 -n -c 5
即表示过滤目的 IP 地址是 192.168.20.110 的包。tcpdump port 22 -i ens33 -n -c 5
即表示过滤端口号为 22, 即 ssh 协议的 的包。tcpdump portrange 22-433 -i ens33 -n -c 8
官方站点:www.linuxprobe.com
Linux命令大全:www.linuxcool.com
刘遄老师QQ:5604215
Linux技术交流群:2636170
(新群,火热加群中……)
想要学习Linux系统的读者可以点击"阅读原文"按钮来了解书籍《Linux就该这么学》,同时也非常适合专业的运维人员阅读,成为辅助您工作的高价值工具书!
