使用“tcpdump”查看原始数据包

使用"tcpdump"查看原始数据包

尽管像 Snort 这样的工具可以出色地筛选通过我们网络的所有内容,但有时需要查看原始数据。为此,我们最好的工具是"tcpdump"。

使用 tcpdump 的最基本方法是简单地发出以下命令:

tcpdump

使用 -v 选项可以获得更详细的信息,使用 -vv 选项可以获得更多的信息。

有用的选项

假设您已登录到您管理的远程计算机。通常,您会使用 SSH。如果您运行"tcpdump"时不带任何选项,则输出将充斥着来自 SSH 连接的数据包。要避免这种情况,只需从输出中删除端口 22:

tcpdump not port 22

您可以使用多个不同的端口来实现此目的:

tcpdump not port 143 and not port 25 and not port 22

如果您想要执行相反的操作,即仅监视某个端口(这有利于调试网络应用程序),您可以执行以下操作:

tcpdump port 143

您还可以从网络上的特定主机获取数据:

tcpdump host hal9000

如果你的机器有多个网络接口,你也可以指定你想要监听的网络接口:

tcpdump -i eth1

您还可以指定协议:

tcpdump udp

您可以在 /etc/protocols 中找到协议列表。

保存输出以供以后使用

在某些情况下,您可能希望将输出重定向到文件,以便以后详细研究它或使用其他程序来解析输出。在下面的示例中,您仍然可以在将输出保存到文件的同时查看输出:

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`

在上面的例子中,我们可以通过日期和时间来识别每个转储。这在处理一天中某些时间出现的问题时可能会派上用场。tcpdump

还有一个选项可以将其输出转储为二进制格式,以便以后读取。要创建二进制文件:

tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M`

稍后,你可以让 tcpdump 读取该文件

tcpdump -r tcpdump_raw_YYYMMDD-H.M

您还可以使用程序 ethereal 打开原始转储并对其进行解释。我们将在下一节中详细讨论 ethereal。

需要注意的事项

tcpdump 为我们提供了有关往返于我们网络的所有数据包的信息。但这一切意味着什么?

将 Ethereal 与 tcpdump 结合使用

Ethereal 是一种也可用于捕获网络数据包的工具。安装后,您可以打开您制作的原始转储文件。它看起来像这样:

这样就更容易看到发生了什么。您可以看到源 IP 和目标 IP 是什么,以及数据包的类型。然后,您可以轻松排除可能遇到的网络问题并分析可疑行为。再补充一个轶事,当我在写这节课并解释我自己的转储时,我看到我的个人工作站上有一些奇怪的活动。我几乎定期查询世界各地不同 IP 的机器上的端口 32772。我为端口 32772 运行了一个特定的转储,如下所示:

tcpdump port 32772 -w dump_32772

我得到的结果确实很奇怪。即使在 Google 搜索之后,我也没有找到任何相关信息,所以我怀疑我可能感染了木马。我运行了"rootkit hunter"(下一节将详细介绍),但什么也没找到。最后,通过逐个关闭,我发现是 Skype,我一直都打开它。尽管这最终被证明是无害的,但我很高兴有 tcpdump 向我指出了这一点。

阅读原始输出

正如您所见,即使阅读 tcpdump 中所谓的"人类可读"输出也有点难以理解。请看以下示例,这是我刚从转储中抓取的一个随机数据包:

17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272>

我们有一个对www.linux.org 的网络服务器请求。在时间戳之后,您会注意到主机名末尾有 .www(表示端口 80)。此信息将发送到请求主机 test.linux.org 的端口 34365。"P"代表 TCP"oush"功能。这意味着数据应立即发送。后面的数字 2845:3739(894) 中,2845 标记第一个数据包的八位字节数。数字 3739 是数据包发送的最后一个字节数加 1。数字 894 是发送的数据包的长度。其中"ack 1624"是 TCP 术语"确认"------即数据包已被接受,下一个预期的数据包编号是 1624。之后,我们看到"win 9648",表示发送主机正在等待窗口大小为 9648 个八位字节的数据包。接下来是时间戳。

现在,如果您认为这有点难以解释,如果您使用 -x 选项,它将以十六进制输出包含数据包内容。这里您需要一位埃及古物学家来解释输出:

18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448) 
ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>
        0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;....
        0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3..
        0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw
        0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200
        0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,.
        0x0050:  3135

我们可以从输出中得知,这是一个 HTTP 请求。至于其余部分,它不是人类可读的,但我们放心,因为我们知道这是一个合法的数据包。使用这种格式的另一个优点是,即使我们无法准确解释这个数据包发生了什么,我们也可以将其发送给可能能够解释的人。最终,这是未经任何过滤就通过网络传输的原始数据。

相关推荐
007php0072 小时前
Go语言zero项目部署后启动失败问题分析与解决
java·服务器·网络·python·golang·php·ai编程
美团测试工程师4 小时前
Postman接口测试工具使用详解
测试工具·postman
卜及中6 小时前
【Linux】资源隔离机制 — 命名空间(Namespace)详解
linux·服务器·php
测试杂货铺6 小时前
如何用postman做接口自动化测试及完美的可视化报告?
自动化测试·软件测试·测试工具·职场和发展·jenkins·压力测试·postman
一二小选手7 小时前
Postman接口测试工具
java·测试工具·postman
m0_548514777 小时前
2024.12.10——攻防世界Web_php_include
android·前端·php
网络安全King8 小时前
网络安全 - SQL Injection
sql·web安全·php
图图爱上壮壮妈8 小时前
PHP中实现拓扑算法
开发语言·算法·php
测试老哥11 小时前
Jmeter测试脚本编写技巧
自动化测试·软件测试·功能测试·测试工具·jmeter·职场和发展·性能测试
爱学测试的李木子12 小时前
从0到1搭建 Android 自动化 python+appium 环境
android·软件测试·python·测试工具·自动化