• tcpdump抓包与tcp握手


    tcpdump -i eht0  -w file.cap host 192.168.168.18 and tcp port 8081

    tcpdump -i wlo1 -A -s0 -w 111.pcap

    1、语法中的关键字

    host(缺省类型): 指明一台主机,如:host 210.27.48.2

    net: 指明一个网络地址,如:net 202.0.0.0

    port: 指明端口号,如:port 23

    确定方向的关键字

    src: src 210.27.48.2, IP包源地址是210.27.48.2

    dst: dst net 202.0.0.0, 目标网络地址是202.0.0.0

    dst or src(缺省值)

    dst and src

    协议的关键字:缺省值是监听所有协议的信息包

    fddi、ip、arp、rarp、tcp、udp

    其他关键字

    gateway、broadcast、less、greater

    常用表达式:多条件时可以用括号,但是要用转义

    非 : ! or “not” (去掉双引号)

    且 : && or “and”

    或 : || or “or”

    语法中的选项

    -A  # 以ASCII编码打印每个报文(不包括链路层的头)

    -a  # 将网络地址和广播地址转变成名字

    -c  # 在收到指定的包的数目后,命令停止

    -C  # 用于判断用 -w 选项将报文写入的文件的大小是否超过这个值,如果超过了就新建文件(文件名后缀是1、2、3依次增加)

    -d  # 将匹配信息包的代码以人们能够理解的汇编格式给出

    -dd  # 将匹配信息包的代码以c语言程序段的格式给出

    -ddd  # 将匹配信息包以十进制的形式给出

    -D  # 列出当前主机的所有网卡编号和名称,可以用于选项 -i

    -e  # 在输出行打印出数据链路层的头部信息

    -f  # 将外部的intetnet地址以数字形式打印出来

    -F  # 从指定的文件中读取表达式,忽略其他的表达式

    -i  # 监听主机该网卡上的数据流,如果没有指定,就会使用最小网卡编号的网卡(在选项-D可知道,但是不包括环路接口),any用于指代任意网卡

    -l  # 如果没有使用-w选项,就可以将报文打印到标准输出终端

    -n  # 显示ip,而不是主机名

    -N  # 不列出域名

    -O  # 不将数据包编码最佳化

    -p  # 不让网络界面进入混杂模式

    -q  # 快速输出,仅列出少数的传输协议信息

    -r  # 从指定的文件中读取信包(这些包一般通过-w产生,即抓包写入到文件)

    -s  # 指定抓包显示一行的宽度,-s0表示可安包长显示完整的包,经常和-A一起用,默认截取长度为60个字节,但一般ethernet的MTU都是1500字节,所以要抓取大于60字节的包时,使用默认参数就会导致数据包丢失

    -S  # 用绝对而非相对值列出TCP关联数

    -t  # 在输出的每一行不打印时间戳

    -tt  # 在输出的每一行显示未经格式化的时间戳记

    -T  # 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议)

    -v  # 输出一个稍微详细的信息,列如在ip包中可以包括ttl和服务类型信息

    -vv  # 输出详细的报文信息

    -x/-xx/-X/-XX  # 以十六进制显示包内容,四个选项差别不大

    -w  # 直接将抓取的包写入文件中,不分析和显示

    expression  # 用于筛选的逻辑表达式

    命令实践

    1、tcpdump  # 直接启动tcpdump并将抓取所有经过第一个网络接口上的数据包

    2、tcpdump -i eth0  # 抓取经过指定网卡上的包

    3、tcpdump -i eth0 host 192.168.1.1 # 抓取所有经过 eth0,目的或源地址是 192.168.1.1的网络数据

    4、tcpdump host192.168.1.1 and (192.168.1.2 or 192.168.1.3)  # 抓取主机192.168.1.1和主机192.168.1.2或192.168.1.3的通信

    5、tcpdump -n host 192.168.1.1 and  ! 192.168.1.2     # 抓取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

    6、tcpdump ip -n host 192.168.1.1 and  ! 192.168.1.2  #  抓取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的ip包

    7、tcpdump -i eth0 src host 192.168.1.1 #  抓取主机192.168.1.1发送的所有数据

    8、tcpdump -i eth0 dst host 192.168.1.1  #  抓取主机192.168.1.1接收的所有数据

    9、tcpdump -i eth0 host 192.168.1.1 and tcp port 80  #  抓取主机192.168.1.1所有在TCP 80端口的数据包

    10、tcpdump -i eth0 host 192.168.1.1 and dst port 80   #  抓取HTTP主机192.168.1.1在80端口接收到的数据包

    11、tcpdump -i eth0 port 25  #  抓取所有经过 eth0,目的或源端口是 25 的网络数据

    12、tcpdump -i eth0 src port 25  #  抓取所有经过 eth0,源端口是 25 的网络数据

    13、tcpdump -i eth0 dst port 25  #  抓取所有经过 eth0,目的端口是 25 的网络数据

    14、tcpdump -i eth0 net 192.168  #  抓取所有经过 eth0,网络是 192.168上的数据包

    15、tcpdump -i eth0 src net 192.168  #  抓取所有经过 eth0,源网络是 192.168上的数据包

    16、tcpdump -i eth0 dst net 192.168  #  抓取所有经过 eth0,目的网络是 192.168上的数据包

    17、tcpdump -i eth0 net 192.168.1  #  抓取所有经过 eth0,网络是 192.168.1上的数据包

    18、tcpdump -i eth0 net 192.168.1/24  #  抓取所有经过 eth0,网络是 192.168.1掩码是24上的数据包

    19、tcpdump -i eth0 arp  #  抓取eth0网口arp协议的包

    20、tcpdump -i eth0 ip  #  抓取eth0网口ip协议的包

    21、tcpdump -i eth0 tcp  #  抓取eth0网口tcp协议的包

    22、tcpdump -i eth0 udp  #  抓取eth0网口udp协议的包

    23、tcpdump -i eth0 icmp  #  抓取eth0网口icmp协议的包

    24、tcpdump -i eth0 ‘((tcp) and (port 80) and ((dst host 192.168.1.1) or (dst host 192.168.1.2)))’  #  抓取所有经过 en0,目的地址是 192.168.1.1 或 192.168.1.2 端口是 80 的 TCP 数据

    25、tcpdump -i eth0 '((icmp)  and (ether dst host 00:01:02:03:04:05))'  #  抓取所有经过 en0,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

    26、tcpdump -i eth0 '((tcp)  and (dst net 192.168) and (not dst host 192.168.1.2))'  #  抓取所有经过 eth0,目的网络是 192.168,但目的主机不是 192.168.1.2 的 TCP 数据

    27、time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /xxx   #  计算抓取10000个SYN包花费多少市检,可以判断访问量

    28、tcpdump -i eth0 host www.baidu.com  #  通过tcpdump截获主机www.baidu.com发送与接收所有的数据包

    分析抓取到的报文

    TCP 三次握手示意

    TCP 四次挥手(即断开请求四次请求)

    step1. 主机A向主机B发起断开连接请求,之后主机A进入FIN-WAIT-1状态;

    step2. 主机B收到主机A的请求后,向主机A发回确认,然后进入CLOSE-WAIT状态;

    step3. 主机A收到B的确认之后,进入FIN-WAIT-2状态,此时便是半关闭状态,即主机A失去发送能力,但是主机B却还能向A发送数据,并且A可以接收数据。此时主机B占主导位置了,如果需要继续关闭则需要主机B来操作了;

    step4. 主机B向A发出断开连接请求,然后进入LAST-ACK状态;

    step5. 主机A接收到请求后发送确认,进入TIME-WAIT状态,等待2MSL之后进入CLOSED状态,而主机B则在接受到确认后进入CLOSED状态;

    为何主机A在发送了最后的确认后没有进入CLOSED状态,反而进入了一个等待2MSL的TIME-WAIT主要作用有两个:

    第一,确保主机A最后发送的确认能够到达主机B。如果处于LAST-ACK状态的主机B一直收不到来自主机A的确认,它会重传断开连接请求,然后主机A就可以有足够的时间去再次发送确认。但是这也只能尽最大力量来确保能够正常断开,如果主机A的确认总是在网络中滞留失效,从而超过了2MSL,最后也无法正常断开;

    第二,如果主机A在发送了确认之后立即进入CLOSED状态。假设之后主机A再次向主机B发送一条连接请求,而这条连接请求比之前的确认报文更早地到达主机B,则会使得主机B以为这条连接请求是在旧的连接中A发出的报文,并不看成是一条新的连接请求了,即使得这个连接请求失效了,增加2MSL的时间可以使得这个失效的连接请求报文作废,这样才不影响下次新的连接请求中出现失效的连接请求。

    为什么断开连接请求报文只有三个,而不是四个因为在TCP连接过程中,确认的发送有一个延时(即经受延时的确认),一端在发送确认的时候将等待一段时间,如果自己在这段事件内也有数据要发送,就跟确认一起发送,如果没有,则确认单独发送。而我们的抓包实验中,由服务器端先断开连接,之后客户端在确认的延迟时间内,也有请求断开连接需要发送,于是就与上次确认一起发送,因此就只有三个数据报了。

  • 相关阅读:
    微软职位内部推荐-Senior Software Engineer
    微软职位内部推荐-Senior Software Engineer
    微软职位内部推荐-Software Development Engineer
    微软职位内部推荐-Senior Dev Lead
    微软职位内部推荐-Software Engineer II_HPC
    微软职位内部推荐-Senior Software Engineer
    微软职位内部推荐-Senior SW Engineer for Application Ecosystem
    微软职位内部推荐-Senior Software Engineer-Eco
    微软职位内部推荐-Software Development Engineer II
    微软职位内部推荐-Senior Software Lead-Index Gen
  • 原文地址:https://www.cnblogs.com/shizhengquan/p/13182107.html
Copyright © 2020-2023  润新知