用Tcpdump过滤数据包

更新：2006-11-18 编辑：Jacky 来源：网络采集 作者：未知 浏览： 55 次 字体：小大
Tcpdump的安装及使用例子
 
对 于网络管理人员来说，使用嗅探器可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过嗅探器来分析原因，找出造成网络阻塞的根源。 Tcpdump就是Linux平台下一个以命令行方式运行的网络流量监测工具。它能截获网卡上收到的数据包，并能够协助网络管理员对其中的内容进行相应的 分析。
嗅探器能够截获指定接口或所有接口的数据包，这取决于如何对嗅探器进行配置。缺省情况下嗅探器一般会显示所有从网络上截获的数 据包，但通常会因为数据量过大而使网络管理员理不清头绪。因此，嗅探器一般都提供有相应的机制来对截获的数据包进行过滤，从而只显示符合特定要求的数据 包。Tcpdump提供了一整套完善的规则来对截获的数据包进行过滤，由于大多数图形化的嗅探器都使用类似的过滤机制，因此对Linux网络管理员来说， 了解如何使用Tcpdump来捕获感兴趣的数据包是一项必须掌握的基本功。
Tcpdump的安装
在一些Linux 发行版中，Tcpdump通常作为标准的软件包被默认安装，执行“tcpdump”命令可以确定是否已经安装了Tcpdump。如果系统中还没有安装 Tcpdump，可以去“http://www.tcpdump.org”下载最新的Tcpdump源码包。下面以Tcpdump 3.7.1为例，讲述如何安装Tcpdump，此处使用的操作系统是Red Hat 8.0。
首先下载最新的源码包，并将其解压缩，命令如下：
# cp tcpdump-3.7.1.tar.gz /usr/local/src/
# cd /usr/local/src/
# tar xzvf tcpdump-3.7.1.tar.gz
在编译Tcpdump之前，应先确定pcap库(libpcap)已经安装完毕。这个库是编译Tcpdump时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Tcpdump：
# cd tcpdump-3.7.1
# ./configure
# make
# make install
Tcpdump的命令行选项
Tcpdump是一个命令行方式的网络嗅探器。它通过使用命令选项来过滤网卡截获的数据包，如果不进行过滤，过多数量的包会使网络管理员很难理清头绪。Tcpdump的命令格式如下：
tcpdump [ -adeflnNOpqRStuvxX ] [ -c 数量 ] [ -C 文件尺寸 ] [ -F 文件名 ] [ -i 网络接口 ] [ -m 文件名 ] [ -r 文件名 ] [ -s 长度 ] [ -T 类型 ] [ -w 文件名 ] [ -E algo:secret ] [ 表达式 ]
表1 Tcpdump常用命令行选项 -a 将网络地址和广播地址转变成容易识别的名字
-d 将已截获的数据包的代码以人容易理解的格式输出；
-dd 将已截获的数据包的代码以C程序的格式输出；
-ddd 将已截获的数据包的代码以十进制格式输出；
-e 输出数据链路层的头部信息；
-f 将internet地址以数字形式输出；
-l 将标准输出变为行缓冲方式；
-n 不将网络地址转换成易识别的主机名，只以数字形式列出主机地址(如IP地址)，这样可以避免DNS查询；
-t 不输出时间戳；
-v 输出较详细的信息，例如IP包中的TTL和服务类型信息；
-vv 输出详尽的报文信息；
-c 在捕获指定个数的数据包后退出；
-F 从指定的文件中读取过滤规则，忽略命令行中指定的其它过滤规则；
-i 指定监听的网络接口；
-r 从指定的文件中读取数据包(该文件一般通过-w选项产生)；
-w 将截获的数据包直接写入指定的文件中，不对其进行分析和输出；
-T 将截获的数据包直接解释为指定类型的报文，目前支持的类型有cnfp、rpc、rtp、snmp、vat和wb。
表1给出了一些常用的Tcpdump命令行选项，使用这些选项可以过滤出真正感兴趣的数据包。
使 用Tcpdump的命令行选项可以很方便地过滤出需要的数据包。例如，要过滤掉所有除ARP请求和应答的通信数据，可以输入“tcpdump arp”命令。该命令只对ARP的请求和应答信息进行截获，在Tcpdump的输出信息中，请求是“arp who-has”这样的条目，而应答则是“arp reply”这样的条目，如图1所示。
图1 ARP过滤
如果要做更多的处理，比如从指定的网络接口截获5个ARP数据包，并且不将网络地址转换成主机名，则可以用命令“tcpdump arp -i eth0 -c 5 -n”。
Tcpdump的过滤表达式
Tcpdump 的过滤表达式是一个正则表达式，Tcpdump利用其作为过滤数据包的条件。如果一个数据包满足表达式的条件，则这个数据据包将会被捕获；如果不指定表达 式，则在网络上任何两台主机间的所有数据包都将被截获。过滤表达式的作用就是使Tcpdump只输出网络管理员所需要的数据，如一个指定的网络接口和特定 主机间的IP数据包。
Tcpdump的过滤表达式中一般有如下几种类型的关键字：
◆ 类型关键字
这 类关键字用于指定主机、网络或端口，包括host、net和port三个关键字。例如，可以用“host 9.185.10.57”来标明监听的主机；用“net 9.185.0.0”来标明监听的网络；用“port 23”来标明监听的端口。如果没有在表达式中指明类型，则缺省的类型为host。
◆ 方向关键字
这类关键字用于指 定截获的方向，包括dst、src、dst or src、dst and src四个关键字。例如，可以用src 9.185.10.57来指明截获的数据包中的源主机地址；用“dst net 9.185.0.0”来指明截获的数据包中的目标网络地址。如果没有在表达式中指明方向，则缺省的方向为“dst or src”，即两个方向的数据包都将被捕获。对于数据链路层协议(如SLIP和PPP)，使用inbound和outbound来定义方向。
◆ 协议关键字
这 类关键字用于指定要截获的数据包所属的协议，包括ether、fddi、tr、ip、ip6、arp、rarp、decnet、tcp和udp等关键字。 关键字fddi指明在FDDI(分布式光纤数据接口网络)上的特定网络协议。实际上它是ether的别名。fddi和ether具有类似的源地址和目标地 址，所以可以将fddi协议包当作ether的包进行分析和处理。其它几个关键字只是指定了所要截获的协议数据包。如果没有在表达式中指明协议，则 Tcpdump会截获所有协议的数据包。
除了上述三种类型的关键字外，Tcpdump的过滤表达式中还可以指定的一些重要关键字包括 gateway、broadcast、multicast、less、greater。这些关键字对于监听网络中的广播和多播很有帮助。关于这些关键字的 更多信息和用法请参考Tcpdump的man手册。
在Tcpdump的过滤表达式中，各类关键字之间还可以通过布尔运算符来构成组合 表达式，以满足实际运用时的需要。布尔运算符包括取非运算符(not或!)、与运算符(and或&&)、或运算符(or或||)，使用布 尔运算符可以将表达式组合起来构成强大的组合条件，从而能够对Tcpdump的过滤器做进一步细化。
下面给出几个使用Tcpdump过滤数据包的例子，嗅探器提供的过滤表达式对于管理员监测网络运行状况非常重要：
1. 如果想要截获主机“9.185.10.57”所有收到和发出的数据包，可以使用如下命令：
# tcpdump host 9.185.10.57
2. 如果想要截获在主机“9.185.10.57”和主机“9.185.10.58”或“9.185.10.59”之间传递的数据包，可以使用如下命令：
# tcpdump host 9.185.10.57 and \
>\(9.185.10.58 or 9.185.10.59\)
需要注意的是，在使用布尔运算符构成组合表达式时，有时需要使用括号来表达复杂的逻辑关系。如果要在命令行中使用括号，一定要用转义字符(“\”)对括号进行转义，否则命令行解释器将给出语法错误的提示。
3. 如果想要截获主机“9.185.10.57”和除主机“9.186.10.58”外所有其它主机之间通信的IP数据包，可以使用如下命令：
# tcpdump ip host 9.185.10.57 and ! 9.185.10.58
4. 如果想要截获主机“9.185.10.57”接收或发出的FTP(端口号为21)数据包，可以使用如下命令：
# tcpdump tcp port 21 host 9.185.10.57
5. 如果怀疑系统正受到拒绝服务(DoS)攻击，网络管理员可以通过截获发往本机的所有ICMP包，来确定目前是否有大量的ping指令流向服务器，此时就可以使用下面的命令：
# tcpdump icmp -n -i eth0
Tcpdump的输出结果
在对网络中的数据包进行过滤后，Tcpdump的输出结果中包含网络管理员关心的网络状态信息。由于Tcpdump只是一个命令行方式的嗅探器，因而其输出结果不是很直观，下面以几种典型的输出信息为例，介绍如何对Tcpdump的输出结果进行分析。
1. 数据链路层头信息
使用“tcpdump -e host tiger”命令截获主机“tiger”所有发出和收到的数据包，并在输出结果中包含数据链路层的头部信息。
“tiger”是一台装有Linux的主机，其MAC地址是00:D0:59:BF:DA:06；“mag”是一台装有SCO Unix的工作站，其MAC地址是08:90:B0:2F:AF:46，上述命令的输出结果如下：
20:15:20.735429 eth0
< 08:90:b0:2f:af:46 00:d0:59:bf:da:06 ip 60: mag.36579 >
tiger.ftp 0:0(0) ack 25565 win 8970 (DF)
在 输出的信息中，“20:15:20”为截获数据包的时间，“735429”是毫秒数，“eth0 <”表示从网络接口eth0接收该数据包(若为“eth0 >”，则表示从网络接口eth0发送数据包)。“08:90:b0:2f:af:46”是主机mag的MAC地址，指明发送该数据包的源主机为 “mag”，“00:d0:59:bf:da:06”是主机tiger的MAC地址，指明该数据包发送的目标主机为“tiger”。“ip”表明该数据包 是IP数据包，“60”是数据包的长度，“mag.36579 > tiger.ftp”表明该数据包是从主机“mag”的36579端口发往主机“tiger”的FTP(21)端口。“ack 25565”表示对序列号为25565的包进行确认，“win 8970”则指明发送窗口的大小为8760。
2. ARP包的输出信息
若使用“tcpdump arp -c 2”命令截获ARP数据包，得到的输出结果可能是：
20:42:22.713502 eth0
> arp who-has mag tell tiger
(00:d0:59:bf:da:06)
20:42:22.713907 eth0
< arp reply mag is-at 08:90:b0:2f:af:46
(00:d0:59:bf:da:06)
在 输出的信息中，“20:42:22”为截获数据包的时间；“713502”和“713907”为毫秒数；“eth0 >”表明从主机发出该数据包；“eth0 <”表明从主机接收该数据包。“arp”表明该数据包是ARP请求，“who-has mag tell tiger”表明是主机“tiger”请求主机“mag”的MAC地址，“00:d0:59:bf:da:06”是主机“tiger”的MAC地址。 “reply mag is-at”表明主机“mag”响应“tiger”的ARP请求，“08:90:b0:2f:af:46”是主机“mag”的MAC地址。
3. TCP包的输出信息
用Tcpdump截获的TCP包的一般输出格式如下：
src > dst: flags data-sequno ack window urgent options
“src > dst:”标明从源地址到目的地址；flags是TCP包中的标志信息，包括S(SYN)标志、F(FIN)标志、P(PUSH)标志、R(RST)标志 和“.”(没有标志)；data-sequno是数据包中的数据序列号；ack是下次期望的数据序列号；window是接收缓存的窗口大小；urgent 标明数据包中是否有紧急指针；options是可能的选项值。
4. UDP包的输出信息
用Tcpdump截获的UDP包的一般输出格式如下：
src.port1 > dst.port2: udp lenth
UDP中包含的信息很简单。上面的输出结果表明从主机“src”的“port1”端口发出的一个UDP数据包被送到主机“dst”的“port2”端口，数据包的类型是UDP，其长度为“lenth”。
通 过上面的介绍可以知道，Tcpdump是一个命令行方式的嗅探器。它可以根据需要显示出经过一个网络接口的所有数据包，供网络管理员对网络进行检测。但由 于采用的是命令行方式，对这些数据包的分析可能会比较困难。利用Tcpdump提供的表达式过滤一些截获的数据包，可以从截获的大量数据包中提取出有用的 信息，从而能够有针对性地对网络进行监测。
由于所有网络嗅探器的原理都大体相似，因而Tcpdump的基本知识可以应用于几乎所有的 嗅探器。Tcpdump是基于命令行方式的嗅探器，其输出结果比较难于分析，因此很多网络管理员都使用图形化的嗅探器来检测网络故障，并处理可能存在的安 全问题。下次将介绍两个图形化的网络嗅探器—Ethereal和EhterApe。同Tcpdump相比，使用这两个嗅探器的分析过程要简单许多。(转)