Linux 网络分析必备技能:tcpdump 实战详解

编程修养 等级 454 0 0

大家好,我是肖邦,这是我的第 11 篇原创文章。

Linux 网络分析必备技能:tcpdump 实战详解

今天要分享的是 tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强大。

相对于其它 Linux 工具而言,tcpdump 是复杂的。当然我也不推荐你去学习它的全部,学以致用,能够解决工作中的问题才是关键。

本文会从应用场景基础原理出发,提供丰富的实践案例,让你快速的掌握 tcpdump 的核心使用方法,足以应对日常工作的需求。

应用场景

在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决:

1. 相信大多数同学都遇到过 SSH 连接服务器缓慢,通过 tcpdump 抓包,可以快速定位到具体原因,一般都是因为 DNS 解析速度太慢。

2. 当我们工程师与用户面对网络问题争执不下时,通过 tcpdump 抓包,可以快速定位故障原因,轻松甩锅,毫无压力。

3. 当我们新开发的网络程序,没有按照预期工作时,通过 tcpdump 收集相关数据包,从包层面分析具体原因,让问题迎刃而解。

4. 当我们的网络程序性能比较低时,通过 tcpdump 分析数据流特征,结合相关协议来进行网络参数优化,提高系统网络性能。

5. 当我们学习网络协议时,通过 tcpdump 抓包,分析协议格式,帮助我们更直观、有效、快速的学习网络协议。

上述只是简单罗列几种常见的应用场景,而 tcpdump 在网络诊断、网络优化、协议学习方面,确实是一款非常强大的网络工具,只要存在网络问题的地方,总能看到它的身影。

熟练的运用 tcpdump,可以帮助我们解决工作中各种网络问题,下边我们先简单学习下它的工作原理。

工作原理

tcpdump 是 Linux 系统中非常有用的网络工具,运行在用户态,本质上是通过调用 libpcap 库的各种 api 来实现数据包的抓取功能。

Linux 网络分析必备技能:tcpdump 实战详解

通过上图,我们可以很直观的看到,数据包到达网卡后,经过数据包过滤器(BPF)筛选后,拷贝至用户态的 tcpdump 程序,以供 tcpdump 工具进行后续的处理工作,输出或保存到 pcap 文件。

数据包过滤器(BPF)主要作用,就是根据用户输入的过滤规则,只将用户关心的数据包拷贝至 tcpdump,这样能够减少不必要的数据包拷贝,降低抓包带来的性能损耗。

思考:这里分享一个真实的面试题

面试官:如果某些数据包被 iptables 封禁,是否可以通过 tcpdump 抓到包?

通过上图,我们可以很轻易的回答此问题。

因为 Linux 系统中 netfilter 是工作在协议栈阶段的,tcpdump 的过滤器(BPF)工作位置在协议栈之前,所以当然是可以抓到包了!

我们理解了 tcpdump 基本原理之后,下边直接进入实战!

实战:基础用法

我们先通过几个简单的示例来介绍 tcpdump 基本用法。

1. 不加任何参数,默认情况下将抓取第一个非 lo 网卡上所有的数据包

$ tcpdump 

2. 抓取 eth0 网卡上的所有数据包

$ tcpdump -i eth0

3. 抓包时指定 -n 选项,不解析主机和端口名。这个参数很关键,会影响抓包的性能,一般抓包时都需要指定该选项。

$ tcpdump -n -i eth0

4. 抓取指定主机 192.168.1.100 的所有数据包

$ tcpdump -ni eth0 host 192.168.1.100

5. 抓取指定主机 10.1.1.2 发送的数据包

$ tcpdump -ni eth0 src host 10.1.1.2

6. 抓取发送给 10.1.1.2 的所有数据包

$ tcpdump -ni eth0 dst host 10.1.1.2

7. 抓取 eth0 网卡上发往指定主机的数据包,抓到 10 个包就停止,这个参数也比较常用

$ tcpdump -ni eth0 -c 10 dst host 192.168.1.200

8. 抓取 eth0 网卡上所有 SSH 请求数据包,SSH 默认端口是 22

$ tcpdump -ni eth0 dst port 22

9. 抓取 eth0 网卡上 5 个 ping 数据包

$ tcpdump -ni eth0 -c 5 icmp

10. 抓取 eth0 网卡上所有的 arp 数据包

$ tcpdump -ni eth0 arp

11. 使用十六进制输出,当你想检查数据包内容是否有问题时,十六进制输出会很有帮助。

$ tcpdump -ni eth0 -c 1 arp -X
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:13:31.602995 ARP, Request who-has 172.17.92.133 tell 172.17.95.253, length 28
    0x0000:  0001 0800 0604 0001 eeff ffff ffff ac11  ................
    0x0010:  5ffd 0000 0000 0000 ac11 5c85            _.........\.

12. 只抓取 eth0 网卡上 IPv6 的流量

$ tcpdump -ni eth0 ip6

13. 抓取指定端口范围的流量

$ tcpdump -ni eth0 portrange 80-9000

14. 抓取指定网段的流量

$ tcpdump -ni eth0 net 192.168.1.0/24

实战:高级进阶

tcpdump 强大的功能和灵活的策略,主要体现在过滤器(BPF)强大的表达式组合能力。

本节主要分享一些常见的所谓高级用法,希望读者能够举一反三,根据自己实际需求,来灵活使用它。

1. 抓取指定客户端访问 ssh 的数据包

$ tcpdump -ni eth0 src 192.168.1.100 and dst port 22

2. 抓取从某个网段来,到某个网段去的流量

$ tcpdump -ni eth0 src net 192.168.1.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

3. 抓取来自某个主机,发往非 ssh 端口的流量

$ tcpdump -ni eth0 src 10.0.2.4 and not dst port 22

4. 当构建复杂查询的时候,你可能需要使用引号,单引号告诉 tcpdump 忽略特定的特殊字符,这里的 () 就是特殊符号,如果不用引号的话,就需要使用转义字符

$ tcpdump -ni eth0 'src 10.0.2.4 and (dst port 3389 or 22)'

5. 基于包大小进行筛选,如果你正在查看特定的包大小,可以使用这个参数

小于等于 64 字节:

$ tcpdump -ni less 64

大于等于 64 字节:

$ tcpdump -ni eth0 greater 64

等于 64 字节:

$ tcpdump -ni eth0 length == 64

6. 过滤 TCP 特殊标记的数据包

抓取某主机发送的 RST 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-rst) != 0'

抓取某主机发送的 SYN 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-syn) != 0'

抓取某主机发送的 FIN 数据包:

$ tcpdump -ni eth0 src host 192.168.1.100 and 'tcp[tcpflags] & (tcp-fin) != 0'

抓取 TCP 连接中的 SYNFIN

$ tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0'

7. 抓取所有非 ping 类型的 ICMP

$ tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

8. 抓取端口是 80,网络层协议为 IPv4, 并且含有数据,而不是 SYN、FIN 以及 ACK 等不含数据的数据包

$ tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

解释一下这个复杂的表达式,具体含义就是,整个 IP 数据包长度减去 IP 头长度,再减去 TCP 头的长度,结果不为 0,就表示数据包有 data,如果还不是很理解,需要自行补一下 tcp/ip 协议

9. 抓取 HTTP 报文,0x4754GET 前两字符的值,0x4854HTTP 前两个字符的值

$ tcpdump  -ni eth0 'tcp[20:2]=0x4745 or tcp[20:2]=0x4854'

常用选项

通过上述的实战案例,相信大家已经掌握的 tcpdump 基本用法,在这里来详细总结一下常用的选项参数。

(一)基础选项

  • -i:指定接口
  • -D:列出可用于抓包的接口
  • -s:指定数据包抓取的长度
  • -c:指定要抓取的数据包的数量
  • -w:将抓包数据保存在文件中
  • -r:从文件中读取数据
  • -C:指定文件大小,与 -w 配合使用
  • -F:从文件中读取抓包的表达式
  • -n:不解析主机和端口号,这个参数很重要,一般都需要加上
  • -P:指定要抓取的包是流入还是流出的包,可以指定的值 inoutinout

(二)输出选项

  • -e:输出信息中包含数据链路层头部信息
  • -t:显示时间戳,tttt 显示更详细的时间
  • -X:显示十六进制格式
  • -v:显示详细的报文信息,尝试 -vvvv 越多显示越详细

过滤表达式

tcpdump 强大的功能和灵活的策略,主要体现在过滤器(BPF)强大的表达式组合能力。

(一)操作对象

表达式中可以操作的对象有如下几种:

  • type,表示对象的类型,比如:hostnetportportrange,如果不指定 type 的话,默认是 host
  • dir:表示传输的方向,可取的方式为:srcdst
  • proto:表示协议,可选的协议有:etheripip6arpicmptcpudp

(二)条件组合

表达对象之间还可以通过关键字 andornot 进行连接,组成功能更强大的表达式。

  • or:表示或操作
  • and:表示与操作
  • not:表示非操作

建议看到这里后,再回头去看实战篇章的示例,相信必定会有更深的理解。如果是这样,那就达到了我预期的效果了!

经验

到这里就不再加新知识点了,分享一些工作中总结的经验:

1. 我们要知道 tcpdump 不是万能药,并不能解决所有的网络问题。

2. 在高流量场景下,抓包可能会影响系统性能,如果是在生产环境,请谨慎使用!

3. 在高流量场景下,tcpdump 并不适合做流量统计,如果需要,可以使用交换机镜像的方式去分析统计。

4. 在 Linux 上使用 tcpdump 抓包,结合 wireshark 工具进行数据分析,能事半功倍。

5. 抓包时,尽可能不要使用 any 接口来抓包。

6. 抓包时,尽可能指定详细的数据包过滤表达式,减少无用数据包的拷贝。

7. 抓包时,尽量指定 -n 选项,减少解析主机和端口带来的性能开销。

最后

通过上述内容,我们知道 tcpdump 是一款功能强大的故障诊断、网络分析工具。在我们的日常工作中,遇到的网络问题总是能够通过 tcpdump 来解决。

不过 tcpdump 相对于其它 Linux 命令来说,会复杂很多,但鉴于它强大功能的诱惑力,我们多花一些时间是值得的。要想很好地掌握 tcpdump,需要对网络报文(TCP/IP协议)有一定的了解。

当然,对于简单的使用来说,只要有网络基础概念就行,掌握了 tcpdump 常用方法,就足以应付工作中大部分网络相关的疑难杂症了。

本次分享就到这里了,谢谢大家的阅读,我是肖邦。关注我的公众号「编程修养」,大量的干货文章等你来!

公众号后台回复「1024」有惊喜!

Linux 网络分析必备技能:tcpdump 实战详解

欢迎各位老铁,加肖邦的个人微信,技术交流!!

Linux 网络分析必备技能:tcpdump 实战详解

推荐阅读

收藏
评论区

相关推荐

GitHub 上的优质 Linux 开源项目,真滴牛逼!
作者:JackTian 来源:公众号「杰哥的IT之旅」 ID:Jake_Internet 作为一名互联网人,提起 Linux 大家都不陌生,尤其是日常跟 Linux 操作系统打交道最多的,最熟悉不过了。互联网上关于 Linux 相关的教程和资料也非常的多,但是当你从中筛选出真正对自己有帮助的资料是需要花费很大精力与时间的。 GitHub 是我非常喜欢的一
写给 Linux 初学者的一封信
大家好,我是肖邦。 这篇文章是写给 Linux 初学者的,我会分享一些作为初学者应该知道的一些东西,这些内容都是本人从事 Linux 开发工作多年的心得体会,相信会对初学者有所帮助。如果你是 Linux 老鸟,那可能就不需要再往下看了 linux(https://imghelloworld.osscnbeijing.aliyuncs.com
Linux 网络分析必备技能:tcpdump 实战详解
大家好,我是肖邦,这是我的第 11 篇原创文章。 今天要分享的是 tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强
redhat linux 中用锐捷客服端实现上网
开学了我们学校用的是锐捷的客服端连接外网,window下安装锐捷客服端实现上网很随意,但linux下却不是那么如鱼得水。我们校的很多同学都想用linux系统,但都因为安装锐捷客服端问题,不能上网,望而却步。       如今linux系统越来越火,为了攻破以上问题,结合网络上和自身的知识,总结出下方法: 1.刚开始一直用xrgsu1.1.1.i386.
Linux主机安全加固
Linux主机安全加固 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 本文针对系统的账户安全,最小化服务,访问
ssh安全加固
(https://blog.csdn.net/qq_40907977/article/details/104198790)Linux SSH 安全加固,这里使用CentOS7.5 做演示
Jenkins安装部署
(https://blog.csdn.net/cc_park/article/details/113917687?utm_mediumdistribute.pc_relevant.nonetaskblogbaidujs_title0&spm1001.2101.3001.4242)Linux系统安装 虚拟机部署参考虚拟机部署Linux(h
linux系统查看版本命令大全
目录前言正文方法一方法二方法三方法四 前言查看linux系统版本的命令都有哪些?今天我们就来看一看。​​ 正文方法一命令: cat /proc/versionCentOS系统运行结果: Linux version 3.10.01062.el7.x86_64 (mockbuild@kbuilder.bsys.centos.org) (gc
Ubuntu 20.04下载 QQ
linux 版本下载QQ 网址:https://im.qq.com/linuxqq
Linux使用 常见经验和技巧总结
1.XShell连接远程Linux服务器并运行程序后关闭XShell继续执行XShell是用来连接远程Linux很好的工具,在连接之后并运行好需要运行的程序后,往往需要关闭XShell,但是直接运行比如运行python crawler.py运行一个Python爬虫程序后,并直接关闭XShell往往会同时杀掉正在运行的爬虫程序,因此需要使用sudo
源码解读Linux等待队列
从源码角度来解读Linux等待队列机制,了解休眠与唤醒的运转原理kernel/include/linux/wait.hkernel/kernel/sched/wait.ckernel/include/linux/sched.hkernel/kernel/sched/core.c 一、概述Linux内核的等待队列是非常重要的数据结构,在内核驱动中广为使用,它是
Linux shell(1)
1. 免交互处理在免交互输出处理中可以使用重定向将输出内容输入到黑洞文件/dev/null中。[root@localhost ] echo password | passwd stdin user & /dev/null使用重定向输入将/root/testmail中的内容以Test mail为右键名发送给root@localhost: [root@local
Linux shell(2)
1.变量以固定名称存放的可能变化的值,可以提高脚本的适应能力,方便脚本执行中重复使用某个值。定义/赋值变量格式为:变量名变量值注意事项:若指定变量已存在,则相当于重新给变量赋值;等号两边无空格;变量名区分大小写;变量名不能以数字开头,不使用关键字和特殊字符。[root@localhost ] X1 //定义变量
肝了三天,万字长文教你玩转 tcpdump,从此抓包不用愁
系列导读 本文是 【网络知识扫盲】专栏的第三篇。今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具 \ Tcpdump,也就是我们常说的抓包工具。与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。由于我本人更习惯使用命令行的方式进行抓包,因此今天先跳过
linux
Linux