巧妙的使用 tcpdump 查看原始数据包

使用 'tcpdump' 查看原始数据包

虽然像 Snort 这样的工具在筛选通过我们网络的所有内容方面做得非常出色，但有时需要查看原始数据。为此，我们最好的工具是“tcpdump”。

使用 tcpdump 最基本的方法是简单地发出命令：

您可以使用 -v 选项获得更多详细信息，使用 -vv 可以获得更多信息。

有用的选项

假设您已登录到您管理的远程计算机。通常，您将使用 SSH。如果您在没有任何选项的情况下运行“tcpdump”，则输出将被来自您的 SSH 连接的数据包淹没。为避免这种情况，只需从输出中删除端口 22：

您可以使用许多不同的端口来执行此操作：

代码：

tcpdump not port 143 and not port 25 and not port 22

如果你想做相反的事情，即只监视某个端口——这对调试网络应用程序很有好处——你可以执行以下操作：

您还可以从网络上的特定主机获取数据：

如果您的机器有多个网络接口，您还可以指定要收听的一个：

您还可以指定协议：

您将在 /etc/protocols 中找到协议列表。

为以后保存输出

在某些情况下，您可能希望将输出重定向到一个文件，以便以后可以详细研究它或使用其他程序来解析输出。在以下示例中，您仍然可以在将输出保存到文件时查看输出：

代码：

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M`

在上面的示例中，我们可以使用日期和时间来识别每个转储。在处理一天中某些时间出现的问题时，这可能会派上用场。

tcpdump 还可以选择将其输出转储为二进制格式，以便以后读取。创建二进制文件：

代码：

tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M`

稍后，您可以使用 tcpdump 读取文件

代码：

tcpdump -r tcpdump_raw_YYYMMDD-H.M

您还可以使用 ethereal 程序打开原始转储并对其进行解释。我们将在下一节中更多地讨论空灵。

要查找的内容

tcpdump 为我们提供了有关进出我们网络的所有数据包的信息。但这一切意味着什么？

将 Ethereal 与 tcpdump 结合使用 Ethereal

是一个也可用于捕获网络数据包的工具。安装后，您可以打开您制作的原始转储文件。它看起来像这样：

这使得查看正在发生的事情变得相当容易。您可以看到源 IP 和目标 IP 是什么以及它是什么类型的数据包。然后很容易解决您可能遇到的网络问题并分析可疑行为。顺便说一句，当我在写这节课并解释我自己的转储时，我在我的个人工作站上看到了一些奇怪的活动。几乎每隔一段时间，我就会在世界上不同 IP 的机器上查询端口 32772。我为端口 32772 运行了一个特定的转储，如下所示：

代码：

tcpdump port 32772 -w dump_32772

我得到的确实看起来很奇怪。即使在谷歌搜索之后，我也找不到任何相关信息，所以我怀疑我可能有木马。我运行了“rootkit hunter”（下一节将详细介绍），但结果却一无所获。最后，一一关机，原来是我一直打开的Skype。尽管这被证明是无害的，但我很高兴我有 tcpdump 向我指出这一点。

读取原始输出

如您所见，即使从 tcpdump 读取所谓的“人类可读”输出也可能有点神秘。看看下面的例子，一个我刚刚从转储中捞出的随机数据包：

代码：

17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272>

我们拥有的是对www.linux.org的网络服务器请求. 在时间戳之后，您会注意到主机名末尾的 .www（表示端口 80）。这将被发送到请求主机 test.linux.org 的端口 34365。'P' 代表 TCP “oush” 功能。这意味着应该立即发送数据。在后面的数字中，2845:3739(894)，2845 标记了第一个数据包的八位字节数。数字 3739 是数据包发送的最后一个字节的编号加 1。数字 894 是发送的数据包的长度。上面写着：“ack 1624”的部分是“acknowledge”的 TCP 术语——即数据包已被接受，接下来预期的数据包号是 1624。之后，我们看到“win 9648”发送主机等待窗口大小为 9648 个八位字节的数据包。这后面是时间戳。

现在，如果您认为这有点难以解释，如果您使用 -x 选项，它将在十六进制输出中包含数据包内容。在这里，您需要埃及学家来解释输出：

代码：

18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448) 
ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>
        0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;....
        0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3..
        0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw
        0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200
        0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,.
        0x0050:  3135

我们可以从输出中收集到，这是一个 HTTP 请求。至于其余的，它不是人类可读的，但我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是，即使我们不能准确地解释这个数据包发生了什么，我们也可以将它发送给可能能够理解的人。最后，这是未经任何过滤就通过网络传输的原始数据。