使用tcpdump与ngrep

2016/05/16 18:21 Mon

各版本 http://www.tcpdump.org/release/

安装依赖 yum install -y flex gcc make byacc or apt-get install flex gcc make byacc wget bzip2

cd /tmp
wget http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz
tar zxf libpcap-1.7.4.tar.gz
cd libpcap-1.7.4
./configure --prefix=/tmp/lib
make -j4 && make install
cd ../
wget http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz
tar zxf tcpdump-4.7.4.tar.gz
cd tcpdump-4.7.4
./configure --prefix=/tmp  --disable-ipv6 CFLAGS='-O3 -I/tmp/lib/include' LDFLAGS='-L/tmp/lib/lib/libpcap.a'
make -j4
make install

安装成功后,位于ls -lh /tmp/sbin/tcpdump ldd查看此文件依赖较少,可直接复制到其他Linux上使用.

采用CFLAGS="-O3"编译后为1.2MB

tcpdump -h 查看版本号以及用法

我编译好的tcpdump version 4.7.4

64位 http://share.suconghou.cn/files/bin/tcpdump.xz

也可以直接yum install tcpdump

使用tcpdump

-a 　　　将网络地址和广播地址转变成名字；

-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd 　　将匹配信息包的代码以c语言程序段的格式给出；

-ddd 　　将匹配信息包的代码以十进制的形式给出；

-e 　　　在输出行打印出数据链路层的头部信息；

-f 　　　将外部的Internet地址以数字的形式打印出来；

-l 　　　使标准输出变为缓冲行形式；

-n 　　　不把网络地址转换成名字；

-t 　　　在输出的每一行不打印时间戳；

-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv 　　输出详细的报文信息；

-c 　　　在收到指定的包的数目后，tcpdump就会停止；

-F 　　　从指定的文件中读取表达式,忽略其它的表达式；

-i 　　　指定监听的网络接口；

-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；

-w 　　　直接将包写入文件中，并不分析和打印出来；

-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；

tcpdump host 210.27.48.1

sudo tcpdump host media.suconghou.cn -v -X -X 能查看每个TCP报文的十六进制对照

sudo tcpdump host media.suconghou.cn -v -A -A 能查看每个TCP报文的数据

tcpdump -i venet0:0 port not 22 and port not 53 and port not 27897 and port not 111

tcpdump tcp -n -c 90 -v -X -i venet0:0 port not 22 and port not 53 and port not 27897 and port not 111

-A和-X有助于你查看详细的报文数据

tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。

ngrep 对于http数据解析更加清晰.

ngrep

ngrep 编译总是出问题,建议直接安装:apt-get install ngrep yum install ngrep

如果更关注于TCP流量内容,可以使用ngrep,他是grep命令的网络版,同样需要libpcap库,能识别TCP、UDP和ICMP包，理解bpf的过滤机制

ngrep -W byline -d eno1 port 80

用-d指定网卡,使用ifconfig可以查看网卡信息

-e ：显示空数据包
-i ：忽略大小写
-v ：反转匹配
-R ：don't do privilege revocation logic
-x ：以16进制格式显示
-X ：以16进制格式匹配
-w ：整字匹配
-p ：不使用混杂模式
-l ：make stdout line buffered
-D ：replay pcap_dumps with their recorded time intervals
-t ：在每个匹配的包之前显示时间戳
-T ：显示上一个匹配的数据包之间的时间间隔
-M ：仅进行单行匹配
-I ：从文件中读取数据进行匹配
-O ：将匹配的数据保存到文件
-n ：仅捕获指定数目的数据包进行查看
-A ：匹配到数据包后dump随后的指定数目的数据包
-s ：set the bpf caplen
-S ：set the limitlen on matched packets
-W ：设置显示格式byline将解析包中的换行符
-c ：强制显示列的宽度
-q ：is be quiet (don’t print packet reception hash marks)静默模式，如果没有此开关，未匹配的数据包都以"#"显示
-P ：set the non-printable display char to what is specified
-F ：使用文件中定义的bpf(Berkeley Packet Filter)
-N ：显示由IANA定义的子协议号
-d ：使用哪个网卡，可以用-L选项查询
-L ：查询网卡接口

如果需要匹配关键字可以在-d参数之后, port 参数之前添加字符串匹配

同时可以使用-i忽略大小写,-w整字匹配等

sudo ngrep -W byline -d en0 -iw "easy" port 80

还可以使用这种过滤 host www.google.com and port 80

抓本机eth0 与192.168.1.9的通信信息，并且以行来打印出来

ngrep -q -d eth0 -W byline host 192.168.1.9

抓本机与192.168.1.8的通信端口为80（本机）的信息

ngrep -q -W byline host 192.168.1.8 and port 80

抓本机与192.168.1.8和192.168.1.9的通信，并且本地端口为80

ngrep -q -W byline host 192.168.1.8 or host 192.168.1.9 port 80

ngrep 不仅可以抓包TCP,还可以抓包UDP

抓包udp的137端口

sudo ngrep -W byline  ''  udp

sudo ngrep -W byline  ''  tcp

sudo ngrep -W byline -qd any '' udp port 137

sudo ngrep -W byline  '' udp src port 137
sudo ngrep -W byline  '' udp dst port 137

抓包TCP端口8080 , 并包含关键字http sudo ngrep -W byline -qd any 'http' tcp port 8080

sudo ngrep -W byline -qd any '' host 127.0.0.1 and tcp port 8080

具体使用见 http://man.linuxde.net/ngrep

注意：要捕获127.0.0.1的流量，需要设定 -d any 检查所有网卡

tcpflow

tcpflow -ci docker0

其中 -c 表示将报文直接打印在 terminal 中。不指定 -c 参数会将抓取的 TCP 报文保存在文件中。 -i 表示你要监听的网络端口。假如你不指定 -c 参数， tcpflow 会将每个 TCP 流的数据存储在他自己的文件中

在docker0 网卡, 172.17.0.4:6060 端口接受和响应的数据

tcpflow -i docker0 host 172.17.0.4 and port 6060

读取已有的 pcap 文件

tcpflow -cr test.pcap

可以将 pcap 包打印到 terminal 中。当然你也可以将 TCP 流保存在文件中

tcpflow -r test.pcap


# 过滤经过 192.168.1.202 的流量：
tcpflow -i any host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量：
tcpflow -i any src host 192.168.1.202

# 过滤从主机 192.168.1.202 发出的流量并且端口号为 80：
tcpflow -i any src host 192.168.1.202 and port 80

# 过滤固定端口的流量：
tcpflow -i en0 any port 443 or port 80

# 过滤主机 192.168.1.202 端口为 80 或 443 的流量：
tcpflow -i en0 'host 192.168.1.202 and (port 80 or port 443)'

sudo tcpflow -i docker0 port not 443

tcpflow -i eth0 ‘( host live.xx.cn or host v1.tuwenzhibo.com )’

tcpflow -i eth0 ‘( host v1.tuwenzhibo.com )’

find . -type f -size +1k | xargs rm -f

find . -type f -size 157b