[Tcpdump] 网络抓包工具使用教程

往期回顾 

前言

上一节，我们已经讲解了在海思平台如何基于静态库生成 tcpdump 工具，本节将作为上一节的拓展内容。

一、tcpdump 简介

「 tcpdump 」是一款强大的网络抓包工具，它基于 libpcap 库来抓取网络数据包。对于研究网络数据包的人来说应该不陌生，它的优点就是易安装、易使用、灵活轻便，只要简单的几个指令、参数就可以指定网卡来抓取网络包了。这是一个非常实用的工具，在本文中，将会通过示例结合原理来让大家了解这个工具。 

二、tcpdump 安装

1. 交叉编译、移植安装，请参考《海思 tcpdump 移植开发详解》；

2. ubuntu 虚拟机安装，直接使用 apt 或 apt-get 进行安裝：

sudo apt-get install -y tcpdump

三、参数与过滤条件说明 

在讲解示例之前，我们先来了解一下基本的参数与过滤条件。 

src host 192.168.1.100
dst port 80

四、常用参数示例

在学习的过程，如果有疑惑建议读一下官方的「Tcpdump Man Page」，里边有很多实用的示例可以参考。 

 示例1   

抓取特定主机的数据。使用过滤器 HOST 可以抓取特定目的地址和源 IP 地址的流量。 

tcpdump -i eth0 host 172.168.3.88

也可以使用 src 或 dst 只抓取源或目的地址： 

tcpdump -i eth0 src 172.168.3.200或
tcpdump -i eth0 dst 172.168.3.88

 示例2 

监听网卡名称 eth0 的流量，抓取 HOST IP = 172.168.3.88 且 PORT = 80 的数据包 (HOST、IP不指定来源或目的) 

tcpdump -i eth0 host 172.168.3.88 and port 80

 示例3 

监听网卡名称 eth0 的流量，抓取 HOST IP = 172.168.3.88 或 HOST IP = 172.168.3.100 的数据包 (HOST不指定来源或目的) 

tcpdump -i eth0 host 172.168.3.88 or host 172.168.3.100或 
tcpdump -i eth0 host 172.168.3.88 or 172.168.3.100

 示例4  

监听网卡名称 eth0 的流量，抓取来源 IP = 172.16.3.88 且目的 IP = 172.16.3.100 的数据包 

tcpdump -i eth0 src host 172.168.3.88 and dst host 172.168.3.100

 示例5

监听网卡名称 eth0 的流量，抓取 TCP 协议的数据包，且 HOST = 172.168.3.88 以及端口号的范围为 21 ~ 23 (HOST不指定来源或目的) 

tcpdump -i eth0 tcp and host 172.168.3.88 and portrange 21-23

 示例6

监听网卡名称 eth0 的流量，其来源主机 MAC Address = 16:69:44:e3:01:57 的数据包，并输出详细信息

tcpdump -i eth0 ether src host 16:69:44:e3:01:57 -vv

 示例7 

监听网卡名称 eth0 的流量，將其流量内容输出到文件 demo.pcap，文件以 1M 大小为上限，如果写满 1M 则另外产生新的文件来保存网络数据包，新文件名的命名会变成 demo.pcap、demo.pcap1、demo.pcap2… 以此类推

tcpdump -i eth0 -C 1 -w demo.pcap

 示例8  

监听网卡名称 eth0 的流量，將其流量内容输出到文件 demo.pcap，文件以 1M 大小为上限且最多产生 3 个文件，若流量太多导致 3 个文件不够存放，则会以轮替的方式将旧文件覆盖，以保持指定的文件数

tcpdump -i eth0 -C 1 -W 3 -w demo.pcap

 示例9 

监听网卡名称 eth0 的流量，每抓取 5 秒中的数据包信息便存成一个文件。因此在数据包数不多的情況下，-G 的参数并不会依秒数自动停止，有时要利用 timeout seconds 的方式来使之停止抓包

tcpdump -i eth0 -G 5 -w demo.pcap#利用 timeout 来停止抓包：
timeout 5 tcpdump -i eth0 -w demo.pcap

 示例10

监听网卡名称 eth0 的流量，且目的 IP 为 192.168.1.0/24 这个网段 

tcpdump -i eth0 dst net 192.168.1.0/24

 示例11 

监听网卡名称 eth0 的流量，其来源主机为 192.168.1.5，且目的端口号为 443 或 22 

tcpdump -i eth0 src host 192.168.1.5 and \(dst port 443 or 22\)或 
tcpdump -i eth0 src host 192.168.1.5 and '(dst port 443 or 22)'或 
tcpdump -i eth0 'src host 192.168.1.5 and (dst port 443 or 22)'

示例12

监听网卡名称 eth0 的流量，不解析域名和端口，截取报文全部内容，显示更多的详细信息，仅抓取 80 端口上的流量（通常是 HTTP）

tcpdump -i eth0 -nn -s0 -v port 80

 示例13

捕获显示 5 个 IPv4 数据包，并显示每个数据包的源和目的IP地址、源和目的端口号，以及以太网头部的详细信息（包括源和目的MAC地址）

tcpdump -n -e -c 5 not ip6

 示例14 

显示 ASCII 字符串。以 ASCII 字符串形式，显示端口为 80 的数据包的详细信息

tcpdump -A -s0 port 80

 示例15 

抓取特定协议的数据。后面可以跟上协议名称来过滤特定协议的流量，以 UDP 为例，可以加上参数 udp 或 protocol 17，这两个命令等效。

tcpdump -i eth0 udp或
tcpdump -i eth0 proto 17

同理，tcp 与 protocol 6 意思相同。 

 示例16 

行缓冲模式 。如果想实时将抓取到的数据通过管道传递给其他工具来处理，需要使用 -l 选项来开启行缓冲模式（或使用 -c 选项来开启数据包缓冲模式）。使用 -l 选项可以将输出通过立即发送给其他命令，其他命令会立即响应。

tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

五、常用过滤器示例 

 示例1 

组合过滤器。过滤的真正强大之处在于你可以随意组合它们，而连接它们的逻辑就是常用的 与/AND/&& 、 或/OR/|| 和 非/not/! 。 

and 或 &&
or  或 ||
not 或 !

 示例2 

Host 过滤器。Host 过滤器用来过滤某个主机的数据报文。例如：

tcpdump host 172.168.3.88

该命令会抓取所有发往主机 172.168.3.88 或者从主机 172.168.3.88 发出的流量。如果想只抓取从该主机发出的流量，可以使用下面的命令：

tcpdump src host 172.168.3.88

 示例3 

Network 过滤器。Network 过滤器用来过滤某个网段的数据，使用的是 CIDR 模式。可以使用四元组（x.x.x.x）、三元组（x.x.x）、二元组（x.x）和一元组（x）。四元组就是指定某个主机，三元组表示子网掩码为 255.255.255.0，二元组表示子网掩码为 255.255.0.0，一元组表示子网掩码为 255.0.0.0。例如，

抓取所有发往网段 192.168.1.x 或从网段 192.168.1.x 发出的流量：

tcpdump net 192.168.1

抓取所有发往网段 10.x.x.x 或从网段 10.x.x.x 发出的流量：

tcpdump net 10

和 Host 过滤器一样，这里也可以指定源和目的：

tcpdump src net 10

也可以使用 CIDR 格式：

tcpdump src net 172.168.3.0/12

 示例4 

Proto 过滤器。Proto 过滤器用来过滤某个协议的数据，关键字为 proto，可省略。proto 后面可以跟上协议号或协议名称，支持 icmp, igmp, igrp, pim, ah, esp, carp, vrrp, udp 和 tcp。因为通常的协议名称是保留字段，所以在于 proto 指令一起使用时，必须根据 shell 类型使用一个或两个反斜杠（/）来转义。Linux 中的 shell 需要使用两个反斜杠来转义，MacOS 只需要一个。

例如，抓取 icmp 协议的报文：

tcpdump -n proto \\icmp或
tcpdump -n icmp

 示例5

Port 过滤器。Port 过滤器用来过滤通过某个端口的数据报文，关键字为 port。例如：

tcpdump port 389

六、tcpdump 输出的理解

截取数据只是第一步，第二步就是理解这些数据，下面就解释一下 tcpdump 命令输出各部分的意义。

21:27:06.995846 IP (tos 0x0, ttl 64, id 45646, offset 0, flags [DF], proto TCP (6), length 64)192.168.1.106.56166 > 124.192.132.54.80: Flags [S], cksum 0xa730 (correct), seq 992042666, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 663433143 ecr 0,sackOK,eol], length 021:27:07.030487 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto TCP (6), length 44)124.192.132.54.80 > 192.168.1.106.56166: Flags [S.], cksum 0xedc0 (correct), seq 2147006684, ack 992042667, win 14600, options [mss 1440], length 021:27:07.030527 IP (tos 0x0, ttl 64, id 59119, offset 0, flags [DF], proto TCP (6), length 40)192.168.1.106.56166 > 124.192.132.54.80: Flags [.], cksum 0x3e72 (correct), ack 2147006685, win 65535, length 0

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是 192.168.1.106，源端口是 56166，目的地址是 124.192.132.54，目的端口是 80。 > 符号代表数据的方向。

此外，上面的三条数据还是 TCP 协议的三次握手过程，第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

• [S] : SYN（开始连接）
• [.]  : 没有 Flag
• [P] : PSH（推送数据）
• [F] : FIN （结束连接）
• [R] : RST（重置连接）

其中，第二条数据的 [S.] 表示 SYN-ACK，即 SYN 报文的应答报文。

七、综合实例 

下面给出一些具体的例子，每个例子都可以使用多种方法来获得相同的输出，你使用的方法取决于所需的输出和网络上的流量。我们在排障时，通常只想获取自己想要的内容，可以通过过滤器和 ASCII 输出并结合管道与 grep、cut、awk 等工具来实现此目的。

例如，在抓取 HTTP 请求和响应数据包时，可以通过删除标志 SYN/ACK/FIN 来过滤噪声，但还有更简单的方法，那就是通过管道传递给 grep。在达到目的的同时，我们要选择最简单最高效的方法。下面来看例子。

1. 提取 HTTP 用户代理

从 HTTP 请求头中提取 HTTP 用户代理：

tcpdump -nn -A -s1500 -l | grep "User-Agent:"

通过 egrep 可以同时提取用户代理和主机名（或其他头文件）：

tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

2. 只抓取 HTTP GET 和 POST 流量

抓取 HTTP GET 流量：

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

也可以抓取 HTTP POST 请求流量：

tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

注意：该方法不能保证抓取到 HTTP POST 有效数据流量，因为一个 POST 请求会被分割为多个 TCP 数据包。

上述两个表达式中的十六进制将会与 GET 和 POST 请求的 ASCII 字符串匹配。例如，tcp[((tcp[12:1] & 0xf0) >> 2):4] 首先会确定我们感兴趣的字节的位置（在 TCP header 之后），然后选择我们希望匹配的 4 个字节。

3. 提取 HTTP 请求的 URL

提取 HTTP 请求的主机名和路径：

tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

4. 提取 HTTP POST 请求中的密码

从 HTTP POST 请求中提取密码和主机名：

tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

5. 提取 Cookies

提取 Set-Cookie（服务端的 Cookie）和 Cookie（客户端的 Cookie）：

tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

6. 抓取 ICMP 数据包

查看网络上的所有 ICMP 数据包：

tcpdump -n icmp

7. 抓取非 ECHO/REPLY 类型的 ICMP 数据包

通过排除 echo 和 reply 类型的数据包使抓取到的数据包不包括标准的 ping 包：

tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

8. 抓取 SMTP/POP3 协议的邮件

可以提取电子邮件的正文和其他数据。例如，只提取电子邮件的收件人：

tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'

9. 抓取 NTP 服务的查询和响应

tcpdump dst port 123

10. 抓取 SNMP 服务的查询和响应

通过 SNMP 服务，渗透测试人员可以获取大量的设备和系统信息。在这些信息中，系统信息最为关键，如操作系统版本、内核版本等。使用 SNMP 协议快速扫描程序 onesixtyone，可以看到目标系统的信息：

onesixtyone 10.10.1.10 public

可以通过 tcpdump 抓取 GetRequest 和 GetResponse：

tcpdump -n -s0  port 161 and udp

11. 切割 pcap 文件

当抓取大量数据并写入文件时，可以自动切割为多个大小相同的文件。例如，下面的命令表示每 3600 秒创建一个新文件 capture-(hour).pcap，每个文件大小不超过 200 * 1000000 字节：

tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200

这些文件的命名为 capture-{1-24}.pcap，24 小时之后，之前的文件就会被覆盖。

12. 抓取 IPv6 流量

可以通过过滤器 ip6 来抓取 IPv6 流量，同时可以指定协议如 TCP：

tcpdump -nn ip6 proto 6

从之前保存的文件中读取 IPv6 UDP 数据报文：

tcpdump -nr ipv6-test.pcap ip6 proto 17

13. 检测端口扫描

在下面的例子中，你会发现抓取到的报文的源和目的一直不变，且带有标志位 [S] 和 [R]，它们与一系列看似随机的目标端口进行匹配。当发送 SYN 之后，如果目标主机的端口没有打开，就会返回一个 RESET。这是 Nmap 等端口扫描工具的标准做法。

tcpdump -nn

14. 过滤 Nmap NSE 脚本测试结果

本例中 Nmap NSE 测试脚本 http-enum.nse 用来检测 HTTP 服务的合法 URL。

在执行脚本测试的主机上：

nmap -p 80 --script=http-enum.nse targetip

在目标主机上：

tcpdump -nn port 80 | grep "GET /"

15. 抓取 DNS 请求和响应

向 Google 公共 DNS 发起的出站 DNS 请求和 A 记录响应可以通过 tcpdump 抓取到：

tcpdump -i wlp58s0 -s0 port 53

16. 抓取 HTTP 有效数据包

抓取 80 端口的 HTTP 有效数据包，排除 TCP 连接建立过程的数据包（SYN / FIN / ACK）：

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

17. 将输出内容重定向到 Wireshark

通常 Wireshark 比 tcpdump 更容易分析应用层协议。一般的做法是在远程服务器上先使用 tcpdump 抓取数据并写入文件，然后再将文件拷贝到本地工作站上用 Wireshark 分析。

不过还有一种更高效的方法，可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。

1) 以 Linux 系统为例，可以通过 sudo apt-get install wireshark 来安装。

例如，如果想分析 DNS 协议，可以使用下面的命令（如果没有 root 权限，则使用 sudo）：

ssh <username>@<remote_ip> 'tcpdump -s0 -c 1000 -nn -w - port 53' | wireshark -k -i -

2) 以 MacOS 系统为例，可以通过 brew cask install wireshark 来安装。

例如，如果想分析 DNS 协议，可以使用下面的命令：

ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - port 53' | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

重要参数：

-s0        : 表示抓取报文全部数据包内容。
-c 1000 : 仅抓取 1000 个数据包后停止抓取。
-nn        : 禁用名称解析，以便在输出中显示 IP 地址而不是主机名。
-w -       : 表示将抓取的数据包写到标准输出（stdout），而不是文件；
port 53  : 仅抓取目标端口为53（DNS）的数据包。

-k          : 表示 Wireshark 保持抓取会话打开，而不是在抓取到一定数量的数据后自动停止；

-i -         : 表示 Wireshark 从标准输入读取数据，以接收通过管道传递过来的数据包流量。 

抓取到的数据重定向到 Wireshark 显示：

-c 选项用来限制抓取数据的大小。如果不限制大小，就只能通过 ctrl-c 来停止抓取，这样一来不仅关闭了 tcpdump，也关闭了 wireshark。

18. 找出发包最多的 IP

找出一段时间内发包最多的 IP，或者从一堆报文中找出发包最多的 IP，可以使用下面的命令：

tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

• cut -f 1,2,3,4 -d ‘.’ : 以 . 为分隔符，打印出每行的前四列 (即 IP 地址)。
• sort | uniq -c         : 排序并计数
• sort -nr                 : 按照数值大小逆向排序

19. 抓取用户名和密码

使用标准纯文本协议，过滤出于用户名和密码相关的报文：

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

20. 抓取 DHCP 报文

抓取 DHCP 服务的请求和响应报文，67 为 DHCP 端口，68 为客户机端口。

tcpdump -v -n port 67 or 68

八、参考文献 

1. Tcpdump 网络包指令示例教学 

2. Tcpdump Examples 

3. tcpdump 命令 

4. Tcpdump 使用教程 

5. Tcpdump 官网