苏苏的博客

简约至极

使用tcpdump与ngrep

各版本 http://www.tcpdump.org/release/

安装依赖 yum install -y flex gcc make byacc or apt-get install flex gcc make byacc wget bzip2

cd /tmp
wget http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz
tar zxf libpcap-1.7.4.tar.gz
cd libpcap-1.7.4
./configure --prefix=/tmp/lib
make -j4 && make install
cd ../
wget http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz
tar zxf tcpdump-4.7.4.tar.gz
cd tcpdump-4.7.4
./configure --prefix=/tmp  --disable-ipv6 CFLAGS='-O3 -I/tmp/lib/include' LDFLAGS='-L/tmp/lib/lib/libpcap.a'
make -j4
make install

安装成功后,位于ls -lh /tmp/sbin/tcpdump ldd查看此文件依赖较少,可直接复制到其他Linux上使用.

采用CFLAGS="-O3"编译后为1.2MB

tcpdump -h 查看版本号以及用法

我编译好的tcpdump version 4.7.4

64位 http://share.suconghou.cn/files/bin/tcpdump.xz

也可以直接yum install tcpdump

使用tcpdump

-a    将网络地址和广播地址转变成名字;

-d    将匹配信息包的代码以人们能够理解的汇编格式给出;

-dd    将匹配信息包的代码以c语言程序段的格式给出;

-ddd   将匹配信息包的代码以十进制的形式给出;

-e    在输出行打印出数据链路层的头部信息;

-f    将外部的Internet地址以数字的形式打印出来;

-l    使标准输出变为缓冲行形式;

-n    不把网络地址转换成名字;

-t    在输出的每一行不打印时间戳;

-v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

-vv    输出详细的报文信息;

-c    在收到指定的包的数目后,tcpdump就会停止;

-F    从指定的文件中读取表达式,忽略其它的表达式;

-i    指定监听的网络接口;

-r    从指定的文件中读取包(这些包一般通过-w选项产生);

-w    直接将包写入文件中,并不分析和打印出来;

-T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;

tcpdump host 210.27.48.1

sudo tcpdump host media.suconghou.cn -v -X -X 能查看每个TCP报文的十六进制对照

sudo tcpdump host media.suconghou.cn -v -A -A 能查看每个TCP报文的数据

tcpdump -i venet0:0 port not 22 and port not 53 and port not 27897 and port not 111

tcpdump tcp -n -c 90 -v -X -i venet0:0 port not 22 and port not 53 and port not 27897 and port not 111

-A-X有助于你查看详细的报文数据

tcpdump 对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。

ngrep 对于http数据解析更加清晰.

ngrep

ngrep 编译总是出问题,建议直接安装:apt-get install ngrep yum install ngrep

如果更关注于TCP流量内容,可以使用ngrep,他是grep命令的网络版,同样需要libpcap库,能识别TCP、UDP和ICMP包,理解bpf的过滤机制

ngrep -W byline -d eno1 port 80

用-d指定网卡,使用ifconfig可以查看网卡信息

-e :显示空数据包
-i :忽略大小写
-v :反转匹配
-R :don't do privilege revocation logic
-x :以16进制格式显示
-X :以16进制格式匹配
-w :整字匹配
-p :不使用混杂模式
-l :make stdout line buffered
-D :replay pcap_dumps with their recorded time intervals
-t :在每个匹配的包之前显示时间戳
-T :显示上一个匹配的数据包之间的时间间隔
-M :仅进行单行匹配
-I :从文件中读取数据进行匹配
-O :将匹配的数据保存到文件
-n :仅捕获指定数目的数据包进行查看
-A :匹配到数据包后dump随后的指定数目的数据包
-s :set the bpf caplen
-S :set the limitlen on matched packets
-W :设置显示格式byline将解析包中的换行符
-c :强制显示列的宽度
-q :is be quiet (don’t print packet reception hash marks)静默模式,如果没有此开关,未匹配的数据包都以"#"显示
-P :set the non-printable display char to what is specified
-F :使用文件中定义的bpf(Berkeley Packet Filter)
-N :显示由IANA定义的子协议号
-d :使用哪个网卡,可以用-L选项查询
-L :查询网卡接口

如果需要匹配关键字可以在-d参数之后, port 参数之前添加字符串匹配

同时可以使用-i忽略大小写,-w整字匹配等

sudo ngrep -W byline -d en0 -iw "easy" port 80

还可以使用这种过滤 host www.google.com and port 80

抓本机eth0 与192.168.1.9的通信信息,并且以行来打印出来

ngrep -q -d eth0 -W byline host 192.168.1.9

抓本机与192.168.1.8的通信端口为80(本机)的信息

ngrep -q -W byline host 192.168.1.8 and port 80

抓本机与192.168.1.8和192.168.1.9的通信,并且本地端口为80

ngrep -q -W byline host 192.168.1.8 or host 192.168.1.9 port 80

ngrep 不仅可以抓包TCP,还可以抓包UDP

抓包udp的137端口

sudo ngrep -W byline  ''  udp

sudo ngrep -W byline  ''  tcp

sudo ngrep -W byline -qd any '' udp port 137

sudo ngrep -W byline  '' udp src port 137
sudo ngrep -W byline  '' udp dst port 137

抓包TCP端口8080 , 并包含关键字http sudo ngrep -W byline -qd any 'http' tcp port 8080

sudo ngrep -W byline -qd any '' host 127.0.0.1 and tcp port 8080

具体使用见 http://man.linuxde.net/ngrep

注意:要捕获127.0.0.1的流量,需要设定 -d any 检查所有网卡

tcpflow

tcpflow -ci eth0

其中 -c 表示将报文直接打印在 terminal 中。不指定 -c 参数会将抓取的 TCP 报文保存在文件中。 -i 表示你要监听的网络端口。 假如你不指定 -c 参数, tcpflow 会将每个 TCP 流的数据存储在他自己的文件中

读取已有的 pcap 文件

tcpflow -cr test.pcap

可以将 pcap 包打印到 terminal 中。当然你也可以将 TCP 流保存在文件中

tcpflow -r test.pcap


# 过滤经过 192.168.1.202 的流量:
tcpflow -i any host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量:
tcpflow -i any src host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量并且端口号为 80:
tcpflow -i any src host 192.168.1.202 and port 80

# 过滤固定端口的流量:
tcpflow -i en0 any port 443 or port 80

# 过滤主机 192.168.1.202 端口为 80 或 443 的流量:
tcpflow -i en0 'host 192.168.1.202 and (port 80 or port 443)'

sudo tcpflow -i docker0 port not 443

tcpflow -i eth0 ‘( host live.ourwill.cn or host v1.tuwenzhibo.com )’

tcpflow -i eth0 ‘( host v1.tuwenzhibo.com )’

find . -type f -size +1k | xargs rm -f

find . -type f -size 157b