当前位置:   article > 正文

tcpdump、wireshark 抓包分析(小白快速上手)_tcpdumpwireshark分析包数据

tcpdumpwireshark分析包数据

什么是抓包


网络世界中的数据包一般都是不可见的,导致在学习计算机网络的时候会觉得其非常抽象,加大了学习的难度。

自从有了网络包分析工具:tcpdump 和 Wireshark,使不可见的数据包得以可视化。

问题:tcpdump 和 wireshark 有什么区别?

tcpdump 和 wireshark 是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。

1)tcpdump 仅支持命令行格式使用,常在 Linux 服务器中抓取和分析网络包;

2)wireshark 除了可以抓包外,还提供了可视化分析网络包的图形页面(更加直观);

所以,这两者往往是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件 copy 到 windows 电脑后,用 wireshark 进行可视化分析。

当然,如果你是在 windows 上抓包,只需要用 wireshark 工具就可以了。

问题:tcpdump 在 Linux 下如何抓包?

tcpdump 提供了大量的选项以及各式各样的过滤表达式,来帮助你抓取指定的数据包,不过不要担心,只需要掌握一些常用选项和过滤表达式,就可以满足大部分场景的需要了。

tcpdump 如何使用


tcpdump 是一款用于截取网络分组,并输出分组内容的工具,可以用于网络故障排查、分析以及实现网络安全监控。它能够捕获网络上传输的数据包,并提供了强大的过滤功能,允许用户根据特定的需求进行定制化过滤,从而只捕获需要的网络流量。tcpdump 提供了灵活的截取策略,支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助用户去掉无用的信息。由于其强大的功能和灵活的截取策略,tcpdump 成为类 UNIX 系统下用于网络分析和问题排查的首选工具。

tcpdump 语法


tcpdump [-adeflnNOpqStvx] [-c <数据包数目>] [-dd] [-ddd] [-F <表达文件>] [-i <网络界面>] [-r <数据包文件>] [-s <数据包大小>] [-tt] [-T <数据包类型>] [-vv] [-w <数据包文件>] [输出数据栏位]

参数说明:

1)[-adeflnNOpqStvx]

  • -a 尝试将网络和广播地址转换成名称;
  • -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
  • -e 在每列倾倒资料上显示连接层级的文件头;
  • -f 用数字显示网际网络地址;
  • -l 使用标准输出列的缓冲区;
  • -n 不把主机的网络地址转换成名字;
  • -N 不列出域名;
  • -O 不将数据包编码最佳化;
  • -p 不让网络界面进入混杂模式;
  • -q 快速输出,仅列出少数的传输协议信息;
  • -S 用绝对而非相对数值列出TCP关联数;
  • -t 在每列倾倒资料上不显示时间戳记;
  • -v 详细显示指令执行过程;
  • -x 用十六进制字码列出数据包资料;

2)[-c ]:-c 收到指定的数据包数目后,就停止进行倾倒操作;

3)[-dd]:-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;

4)[-ddd]:-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;

5)[-F ]:-F 指定内含表达方式的文件;

6)[-i ]:-i 使用指定的网络截面送出数据包;

7)[-r ]:-r 从指定的文件读取数据包数据;

8)[-s ]:-s 设置每个数据包的大小;

9)[-tt]:-tt 在每列倾倒资料上显示未经格式化的时间戳记;

10)[-T ]:-T 强制将表达方式所指定的数据包转译成设置的数据包类型;

11)[-vv]:-vv 更详细显示指令执行过程;

12)[-w ]:-w 把数据包数据写入指定的文件;

tcpdump 如何抓包


假设我们要抓取下面 ping 的数据包:

  1. root@BZD25521:~# ping -I eth0 -c 3 baidu.com
  2. PING baidu.com (110.242.68.66) from 172.27.142.199 eth0: 56(84) bytes of data.
  3. 64 bytes from 110.242.68.66 (110.242.68.66): icmp_seq=1 ttl=52 time=30.0 ms
  4. 64 bytes from 110.242.68.66 (110.242.68.66): icmp_seq=2 ttl=52 time=29.5 ms
  5. 64 bytes from 110.242.68.66 (110.242.68.66): icmp_seq=3 ttl=52 time=101 ms
  6. --- baidu.com ping statistics ---
  7. 3 packets transmitted, 3 received, 0% packet loss, time 2003ms
  8. rtt min/avg/max/mdev = 29.545/53.613/101.329/33.740 ms

要抓取上面 ping 命令的数据包,首先我们要知道 ping 的数据包是 icmp 协议,接着在使用 tcpdump 抓包的时候,就可以指定只抓 icmp 协议的数据包,具体命令如下:

tcpdump -i eth0 icmp and host 172.27.142.199 -nn

问题:上述抓包命令参数含义是什么?

1)-i eth0 表示抓取 eth0 网口的数据包;

2)icmp 表示抓取 icmp 协议的数据包;

3)host 表示主机过滤,抓取对应 IP 的数据包;

4)-nn 表示不解释 IP 地址和端口号名称;

抓包具体操作流程如下:

1)在终端一中执行 tcpdump 抓包命令,等待抓包

tcpdump -i eth0 icmp and host 172.27.142.199 -nn

执行结果如下:

2)在终端二中执行 ping 命令

 ping -I eth0 -c 3 baidu.com

执行结果如下:

3)在终端一中停止抓包

Ctrl + C

执行结果如下:

从 tcpdump 抓取的 icmp 数据包,可以清楚的看到 icmp echo 的交互过程,首先发送方发起了 ICMP echo request 请求报文,接收方收到后回了一个 ICMP echo reply 响应报文,之后 seq 是递增的。

数据包格式


当 tcpdump 抓取到 icmp 数据包后,其输出格式如下:

时间戳 协议 源地址.源端口 > 目的地址.目的端口 网络包详细信息

tcpdump 常见用法


tcpdump 抓包常用命令参数如下表所示:

tcpdump 使用 —— 选项类

选项

示例

说明

-i

tcpdump -i eth0

指定网络接口,默认是 0 号接口(如 eth0),any 表示所有接口

-c

tcpdump -c 5

限制要抓取的网络包个数

-nn

tcpdump -nn

不解析 IP地址和端口号名称

-w

tcpdump -w file.pcap

把 tcpdump 抓取到的数据包保存到 file.pcap 文件中

接下来,我们再来看看常用的过滤包用法,在上面的 ping 例子中,我们用的是 icmp and host 172.27.142.199,表示抓取 icmp 协议的数据包,以及源地址或目标地址为 172.27.142.199 的包。其他常用的过滤选项如下表所示:

tcpdump 使用 —— 过滤表达式类

选项

示例

说明

host、src host、dst host

tcpdump -nn host 172.27.142.199

主机过滤

port、src port、dst port

tcpdump -nn port 80

端口过滤

ip、ip6、arp、tcp、udp、icmp

tcpdump -nn tcp

协议过滤

and、or、not

tcpdump -nn host 172.27.142.199 and port 80

逻辑表达式过滤

tcp[tcoflages]

tcpdump -nn "tcp[tcoflages] & tcp-syn != 0"

特定状态的 tcp 包

从上面的介绍可以发现,虽然 tcpdump 功能强大,但其输出格式并不直观。所以,在工作中 tcpdump 只是用来抓取数据包,不用来分析数据包,而是把 tcpdump 抓取的数据包保存成 .pcap 格式的文件,接着用 wireshark 工具进行数据包可视化分析。

wireshark 如何使用


wireshark 除了可以抓包外,还提供了可视化分析网络包的图形页面,同时,还内置了一系列的汇总分析工具。拿上面的 ping 例子来说,我们可以使用下面的命令,把抓取的数据包保存到 ping.pcap 文件,然后使用 wireshark 工具进行可视化分析。

具体操作流程如下:

1)在终端一中执行 tcpdump 抓包命令,等待抓包

tcpdump -i eth0 icmp and host 172.27.142.199 -w /root/ping.pcap

执行结果如下:

2)在终端二中执行 ping 命令

 ping -I eth0 -c 3 baidu.com

执行结果如下:

3)在终端一中停止抓包

Ctrl + C

执行结果如下:

把 ping.pcap 文件 copy 到 windows 下,然后用 wireshark 打开它,将看到如下界面:

在 Wireshark 页面里,可以更加直观的分析数据包,不仅展示各个网络包的头部信息,还会用不同的颜色来区分不同的协议,由于这次抓包只有 ICMP 协议,所以只有紫色的条目。

接着,在网络包列表中选择某一个网络包后,在其下面的网络包详情中,可以更清楚的看到,这个网络包在协议栈各层的详细信息。以编号 1 的网络包为例:

1)在数据链路层,可以看到 MAC 包头信息,如:源 MAC 地址和目标 MAC 地址等字段;

2)在 IP 层,可以看到 IP 包头信息,如:源 IP 地址和目标 IP 地址、TTL、IP 包长度、协议等 IP 协议各个字段的数值和含义;

3)在 ICMP 层,可以看到 ICMP 包头信息,比如 Type、Code 等 ICMP 协议各个字段的数值和含义;

wireshark 用了分层的方式,展示了各个层的包头信息,把“不可见”的数据包进行了可视化。

从 ping 的例子中,我们可以看到网络分层就像有序的分工,每一层都有自己的责任范围和信息,上层协议完成工作后就交给下一层,最终形成一个完整的网络包。

MySQL 协议抓包分析


注:使用 tcpdump 抓取 MySQL 协议包之前需要关闭 SSL 连接;否则因为 SSL 加密机制,无法抓取 MySQL 协议包!

tcpdump 抓包


1)在终端一启动抓包命令

tcpdump -i any tcp and host 127.0.0.1 and port 3306 -w /root/test.pcap

执行结果如下:

2)在终端二中执行如下命令

  1. 1) 启动 MySQL
  2. 2) 登陆 MySQL
  3. 3) 进行一些简单操作
  4. 4) 退出并关闭 MySQL

执行结果如下:

3)在终端一中停止 tcpdump 抓包

Ctrl + C

执行结果如下:

wireshark 分析数据包


使用 wireshark 打开 test.pacp 文件,界面如下:

MySQL 是基于 TCP 协议进行传输的,MySQL 客户端与服务器端交互过程如下:

由 wireshark 抓包分析和 MySQL 客户端与服务器端交互过程可知:

1)最开始的 3 个包是 TCP 三次握手建立连接的包;

2)4~20 是 MySQL 握手认证阶段建立的包;

上述 4~20 数据包分别对应:

  • 服务器 ===> 客户端:握手初始化消息;由 MySQL 服务器主动发送一个认证的握手数据包;
  • 客户端 ===> 服务端:登陆认证消息;客户端收到握手数据包后,将用户的信息(用户名、密码、数据库等信息)打包发送给 MySQL 服务器;
  • 服务端 ===> 客户端:认证结果消息;MySQL 服务端认证,返回认证结果给客户端;
    • 认证成功:如果服务器通过认证,则发送一个 Ok_pack 包给客户端;
    • 认证失败:如果服务器没有通过认证,,则发送一个 error_pack 包;

问题:握手认证阶段数据包各参数含义是什么?

1)Server Greeting proto=10 version=5.7.39-debug

  • proto=10 是指协议版本号;
  • version=5.7.39-debug 是指服务器版本号;

2)50156 → 3306 [ACK] Seq=1 Ack=85 Win=65536 Len=0 TSval=3380584881 TSecr=3380584881

  • 50156 是 TCP 序列号,每个 TCP 段都有一个序列号,用于标识该段数据在字节流中的位置;
  • → 表示数据是从哪个方向发送的;
  • 3306 是 MySQL 端口号,表示接收该数据的应用程序端口;
  • Ack 表示是一个确认段;
  • Seq 序列号的缩写,表示该段数据的起始序列号,Seq=1 意味着这是从序列号为 0 的数据段之后发送的第一个数据段;
  • Ack=85 表示接收端期望接收的下一个数据段的序列号,在这个例子中,它是 85,意味着接收端期望接收序列号为 85 的数据段;
  • Win=65536 Win 是窗口大小的缩写,这个字段表示接收端为该连接分配的 TCP 接收窗口的大小;窗口大小是动态变化的,用于流量控制和拥塞控制。65536通常表示一个较大的窗口大小;
  • 表示该段数据的长度(以字节为单位),在这个例子中,它是 0,意味着该段没有携带任何应用层数据;
  • TSval=3380584881 是发送时间戳;
  • TSecr=3380584881 是接收时间戳;这两个时间戳用于计算往返时间和重复数据包;

3)Login Request user=:当客户端与服务器尝试进行连接时,它会发送一个 Login Request 数据包,包中,user= 通常表示客户端正在尝试使用一个用户名进行身份验证;服务器会检查这个用户名,并与存储在服务器上的用户数据库进行比较,以确定客户端是否有权访问服务器上的资源;

4)Client Hello:客户端向服务器发送的第一条消息,用于握手认证,数据包中包含了客户端权能标志、最大消息长度、字符编码等(即登陆认证报文);

3)20~20021 是 MySQL 命令执行阶段建立的包;

4)20021~20024 是 TCP 四次挥手建立的包;

问题:为什么 tcpdump 抓包抓到的 TCP 挥手是三次,而不是四次?

当被动关闭方在 TCP 挥手过程中,「没有数据要发送」并且「开启了 TCP 延迟确认机制」,那么第二和第三次挥手就会合并传输,这样就出现了三次挥手

而通常情况下,服务器端收到客户端的 FIN 后,很可能还没发送完数据,所以就会先回复客户端一个 ACK 包,稍等一会儿,完成所有数据包的发送后,才会发送 FIN 包,这也就是四次挥手了。

此外,Wireshark 可以用时序图的方式显示数据包交互的过程,从菜单栏中,点击 统计 (Statistics) -> 流量图 (Flow Graph),然后,在弹出界面中的「流量类型」选择「TCP Flows」,你可以更清晰的看到,整个过程中 TCP 流的执行过程:

问题:为什么 TCP 三次握手过程中 Seq 是 0?

实际上是因为 Wireshark 工具帮我们做了优化,它默认显示的是序列号 Seq 是相对值,而不是真实值。

如果你想看到实际的序列号的值,可以右键菜单, 然后找到「协议首选项」、「Transmission Control Protocol」,接着找到「Relative Seq」后,把它给取消勾选(取消 Seq 相对值的显示方式),操作如下:

取消后,Seq 显示的就是真实值了,具体如下图所示:

可见,客户端和服务端的序列号实际上是不同的,序列号是一个随机值。

这其实跟我们书上看到的 TCP 三次握手和四次挥手很类似,作为对比,你通常看到的 TCP 三次握手和四次挥手的流程,基本是这样的:

说明:client_isn 是客户端初始化的序列号、server_isn 是服务端初始化的序列号;

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/396146
推荐阅读
相关标签
  

闽ICP备14008679号