网络|Linux网络抓包分析工具


文章目录

    • Linux中的网络抓包分析工具
        • 一、Tcpdump
          • 1.1 tcpdump语法
          • 1.2 tcpdump输出内容解析
          • 1.3 常用的过滤条件
        • 二、wireshark
          • 2.1 什么是wireshark
          • 2.2 安装wireshark
          • 2.3 tshark 命令
          • 2.4 wireshark 数据包分析
          • 2.5 图形化界面
        • 三、Tcpdump和wireshark合用
          • 3.1 通过命令行读取文件
          • 3.2 通过图形化界面读取
        • 总结

Linux中的网络抓包分析工具 一、Tcpdump Linux tcpdump命令用于倾倒网络传输数据。执行tcpdump指令可列出经过指定网络界面的数据包文件头,可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你摘取有用信息。
由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。
为什么要抓包?
有时候在做网络测试,网络会突然出现故障,提示不能继续提供服务。出现这些问题的时候,都可以用抓包软件来详细分析,解决网络数据问题。
其他抓包工具?
wireshark,具有图形化和命令行两种版本,可以对tcpdump抓的包进行分析,其主要功能就是分析数据包。
ngrep,它将抓到的包数据以文本形式直接显示出来,适用于包数据包含文本的抓包分析(如HTTP、MySQL),
1.1 tcpdump语法
tcpdump [选项] [协议] [数据流方向] [范围] 选项: -n:不把IP转换为域名,直接显示IP -nn:指定将每个数据包中的域名转换成IP、端口,即以IP和端口显示 -w:后接文件名,将抓包的结果输出到.pcap文件中,可以借助其他网络分析工具进行分析 -r:读取.pcap文件 -v:输出更详细信息,如ttl,包类型,标签等 -t:每行输出不显示时间 -tt:在每行的输出中会输出时间戳 -ttt:输出每两行打印的时间间隔 -tttt:每行的时间戳之前添加日期 -i:指定要抓包的网络接口 -c 数字:捕获指定数量的包后退出 -D:显示所有可用的网络接口的列表 -Z:指定用户,抓包时会收权限限制,root用户不会受限制 -X:查看数据包内容 -s:表示一个包中截取的字节数,0表示不截断,抓完整的数据包,默认的话tcpdump只显示部分数据包,默认大小为64字节。 协议: tcp、udp、icmp、ip、ipv6、arp等 数据流方向(): src:源地址/端口 dst:目的地址端口 范围: host:后接IP指定IP地址过滤 net:后接网段地址,过滤指定的网段 port:后接端口号,过滤指定端口号 portrange:后接接端口号范围,过滤指定端口号

1.2 tcpdump输出内容解析 网络|Linux网络抓包分析工具
文章图片

第一列:报文的时间 第二列:网络协议 IP 第三列:发送方的ip地址、端口号、域名,上图显示的是本机的域名,可通过/etc/hosts查看本机域名 第四列:箭头 >, 表示数据流向 第五列:接收方的ip地址、端口号、域名,上图中的112.80.248.75是百度的公网IP 第六列:冒号 第七列:数据包内容,报文头的摘要信息,有ttl、报文类型、标识值、序列等信息

1.3 常用的过滤条件 过滤规则组合
tcpdump可以支持逻辑运算符
and:与运算,所有的条件都需要满足,可用 “and”和“&&”表示 or:或运行,只要有一个条件满足就可以,可用“or”和“|”表示 not:取反,即取反条件,可以用“not”和“!”表示

tcpdump icmp and src 192.168.10.10 -i ens33 -n
【网络|Linux网络抓包分析工具】过滤icmp报文并且源IP是192.168.10.10
网络|Linux网络抓包分析工具
文章图片

条件表达式的拓展
多条件格式 在使用多个过滤条件进行组合时,有可能需要用到括号,而括号在shell中是特殊符号,又需要使用引号将其包含。用括号的主要作用是逻辑运算符之间存在优先级,!>and > or,为例条件能够精确所以需要对一些必要的组合括号括起来,而括号的意思相当于加减运算一样,括起来的内容作为一个整体进行逻辑运算。

过滤源地址是192.168.100.1并且目的地址是192.168.20.20的数据包或者ARP协议的包
网络|Linux网络抓包分析工具
文章图片

过滤目的地址是192.168.20.20并且源地址是192.168.10.1或192.168.100.1的数据包
网络|Linux网络抓包分析工具
文章图片

基于IP地址过滤
tcpdump host 192.168.10.10 -i ens33 -n -c 5
过滤关于192.168.10.10的包
网络|Linux网络抓包分析工具
文章图片

tcpdump src host 192.168.10.10 -i ens33 -n -c 5
过滤源IP地址是192.168.10.10的包
网络|Linux网络抓包分析工具
文章图片

tcpdump dst host 192.168.10.10 -i ens33 -n -c 5
过滤目的IP地址是192.168.10.10的包
网络|Linux网络抓包分析工具
文章图片

基于端口进行过滤
tcpdump port 22 -i ens33 -n -c 5
过滤端口号为22即ssh协议的包
网络|Linux网络抓包分析工具
文章图片

tcpdump portrange 22-433 -i ens33 -n -c 10
过滤端口号22-433内的数据包
网络|Linux网络抓包分析工具
文章图片

基于协议的过滤
tcpdump icmp -i ens33 -n -c 10
过滤icmp的数据包
网络|Linux网络抓包分析工具
文章图片

二、wireshark 2.1 什么是wireshark Wireshark是一个网络封包分析软件。网络封包分析软件的功能是捕获网络数据包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
2.2 安装wireshark Linux中有两个版本的wireshark,一个是 wireshark,这个版本是无图形化界面,基本命令是”tshark“。
一个是 wireshark-gnome(界面版本),这个版本只能安装在支持GUI功能的Linux的版本中。
yum -y install wireshark // 安装无图形化版本 yum -y install wireshark-gnome // 安装图形化版本

网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

注:这里的通过yum进行安装,需要提前做好epel源(即红帽操作系统额外拓展包),装上了 EPEL之后,就相当于添加了一个第三方源。官方的rpm repository提供的rpm包也不够丰富,很多时候需要自己编译那太辛苦了,而EPEL可以解决官方yum源数据包不够丰富的情况。
安装epel源 yum -y install epel-release

2.3 tshark 命令
tshark是wireshark的命令行工具 tshark 选项 参数 -i:指定捕获的网卡接口,不设置默认第一个非环回口接口 -D:显示所有可用的网络接口列表 -f:指定条件表达式,与tcpdump相同 -s:设置每个抓包的大小,默认65535,多于这个大小的数据将不会不会被截取。 -c:捕获指定数量的数据包后退出 -w:后接文件名,将抓包的结果输出到.pcap文件中,可以借助其他网络分析工具进行分析,也可以使用重定向>把解码后的输出结果以txt的格式输出。 -p:设置网络接口以非混合模式工作,即只关心和本机有关的流量 -r:后接文件路径,用于分析保持好的网络包文件,比如tcpdump的输出文件 -n:禁止所有地址名字解析,即禁止域名解析,默认是允许所有 -N:指定对某一层的地址名字解析,如果-n和-N同时存在,则-n将被忽略,如果两者都不写,则会默认打开所有地址名字解析 m:代表数据链路层 n:代表网络层 t:代表传输层 -V:设置将解码结果的细节输出,否则解码结果仅显示一个packet一行的summary -t:设置结果的时间格式 ad:表示带日期的绝对时间 a:表示不带日期的绝对时间 r:表示从第一个包到现在的相对时间 d:表示两个相邻包之间的增量时间

2.4 wireshark 数据包分析 tshark -f " icmp " -i ens33 -V -c 1
过滤icmp报文,并展开详细信息
网络|Linux网络抓包分析工具
文章图片

tshark -f " arp " -i ens33
过滤arp报文
网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

tshark -f " udp and ( port 67 or port 68 ) " -i ens33
捕获DHCP报文
网络|Linux网络抓包分析工具
文章图片

tshark -f " udp and ( port 67 or port 68 ) " -i ens33 -V
捕获DHCP报文并进行展开分析
网络|Linux网络抓包分析工具
文章图片

2.5 图形化界面 选择捕获的网卡接口
网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

三、Tcpdump和wireshark合用 3.1 通过命令行读取文件 Tcpdump解析报文信息没有wireshark详细,所以可以通过Tcpdump捕获数据并输出,再通过wireshark进行解析,输出文件格式为.pcap。
网络|Linux网络抓包分析工具
文章图片

通过tcpdump和wireshark捕获结果输出到/test/icmp.pcap和icmp2.pcap中
网络|Linux网络抓包分析工具
文章图片

通过wireshark 读取捕获文件。
网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

3.2 通过图形化界面读取 网络|Linux网络抓包分析工具
文章图片

网络|Linux网络抓包分析工具
文章图片

总结 tcpdump和wireshark两种单以抓包的功能来看,是相似的,两者的命令行的选项也是有相同,但是tcpdump对数据包分析的能力不是很好,同时目前很多Linux内置安装了tcpdump这个工具,所以我们可以通过tcpdump把数据包抓出并存放到我们自定义的文件(.pcap)中,再通过把文件取出用wireshark进行分析排障。

    推荐阅读