---

前言

当遇到网络疑难问题的时候，抓包是最基本的技能，通过抓包才能看到网络底层的问题

---

一、tcpdump基础

tcpdump是一个常用的网络分析工具。它基于libpcap，利用内核中的AF_PACKET套接字，抓取网络接口中传输的网络包。

我们对网卡进行抓包的时候，会使得网卡进入“混杂模式”，所谓混杂模式就是让网卡接收所有到达网卡的报文，因为默认情况下，不是给自己的报文网卡是不要的，要么丢弃要么转发，反正不读取内容，而进入混杂模式后，就可以看一眼报文内容了。

使用tcpdump命令可以使网卡自动进入混杂模式，这一点可以从dmesg系统日志中看到：
[311135.760098] device eth0 entered promiscuous mode
[311142.852087] device eth0 left promiscuous mode

官网链接

https://www.tcpdump.org/manpages/tcpdump.1.html

命令选项详解

• -i 指定网络接口（如 eth0 bond0）any表示所有接口

• -n 不对IP地址进行域名解析，直接显示IP，避免执行dns lookup

• -nn 不对IP地址和端口号进行名称解析。

• -c xx捕获包的数量

• -A 以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据

• -l 基于行的输出，便于你保存查看，或者交给其它工具分析,例如 管道符 tcpdump -l | tee dat

• -s tcpdump 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。
  控制时间显示

• -t 在每行的输出中不输出时间

• -tt 在每行的输出中会输出时间戳

• -ttt 输出每两行打印的时间间隔(以毫秒为单位)

• -tttt 在每行打印的时间戳之前添加日期的打印（此种选项，输出的时间最直观）
  控制详细内容输出

• -v：产生详细的输出. 比如包的TTL，id标识，数据包长度，以及IP包的一些选项。同时它还会打开一些附加的包完整性检测，比如对IP或ICMP包头部的校验和。

• -vv：产生比-v更详细的输出. 比如NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码。（摘自网络，目前我还未使用过）

• -vvv：产生比-vv更详细的输出。比如 telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面，其相应的图形选项将会以16进制的方式打印出来（摘自网络，目前我还未使用过）

• -w 写入数据到文件

• -r 读取文件

• -Q 选择是入方向还是出方向的数据包，可选项有：in, out, inout，也可以使用 --direction=[direction] 这种写法

• -S 使用绝对序列号，而不是相对序列号

• -D 显示主机所有可用网络接口的列表

• -e 每行的打印输出中将包括数据包的数据链路层头部信息

常规过滤规则

由于tcpdump是把经过网卡的报文全部都抓出来，所以数量是非常大的，各种乱七八糟的报文都有，是没办法定位问题的，所以tcpdump一定要配合过滤条件使用。这里只讲平时用得到的几个关键参数，再详细的自己谷歌百度，反正我一般情况下用用是够了的。

tcpdump输出

时间戳 协议 源地址，源端口 > 目的地址， 目的端口 网络包详细信息

TCP Packets
TCP报头的控制部分有8位：
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
[S] SYN(开始连接）
[.] ACK
[P] PSH(推送数据)
[F] FIN（结束连接）
[R] RST(重置连接)
[S.] 也表示[SYN-ACK], SYN的应答报文
[U] URG
[W] CWR
[E] ECE

一、tcpdump实践

HTTP协议

抓取HTTP GET 流量：

$ tcpdump -s 0 -A -vv ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420’

抓取HTTP POST流量：

$ tcpdump -s 0 -A -vv ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354’

从HTTP请求头中提取HTTP用户代理：

$ tcpdump -nn -A -s1500 -l | grep “User-Agent:”

提取HTTP 请求的主机名和路径：

tcpdump -i docker0 -nn -tttt -v -s0 -l | grep -Ei “POST /|GET /|HOST:”

提取HTTP请求的信息【密码，Cookie, Token等】：
先用POST请求，然后找到登录的URI，使用grep 找到上下20行，找到Post参数。

tcpdump -s 0 -A -vv ‘tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354’ | grep -i ‘POST /api/auth/login’ -C20

抓取eth0接口42050端口的请求，request和respones

tcpdump -i eth0 -A -s 0 ‘tcp port 42050 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’

ICMP

抓取ICMP报文

tcpdump -n icmp

非 ECHO/REPLY 类型的 ICMP
通过排除 echo 和 reply 类型的数据包使抓取到的数据包不包括标准的 ping 包：

tcpdump ‘icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply’

状态抓包

RST状态的包

tcpdump -i eth0 -nn port 34997 and ‘tcp[tcpflags]&tcp-rst != 0’

---