Linux tcpdump+Wireshark抓包分析

背景介绍:

通过一个issue引出:waf在向业务服务器转发流量的时候,可以自定义添加http请求头部字段;在向客户端转发流量时,可以自定义添加http响应头部字段。

如何去验证???

感觉tcpdump+Wireshark这种搭配,就目前看来,非常完美。

所有的网络传输在这两个工具搭配下,都无处遁形。

正文:

1、tcpdump与Wireshark介绍

在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。

默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内核,并且完成了路由选择。【比如本机的TCP通信,也必须要socket通信的基本要素:src ip port dst ip port】

如果要使用tcpdump抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。一般而言,Unix不会让普通用户设置混杂模式,因为这样可以看到别人的信息,比如telnet的用户名和密码,这样会引起一些安全上的问题,所以只有root用户可以开启混杂模式,开启混杂模式的命令是:ifconfig en0 promisc, en0是你要打开混杂模式的网卡。

Linux抓包原理:

Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点和一些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。

当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。

Wireshark介绍:

Wireshark是一个网络协议检测工具,支持Windows平台、Unix平台、Mac平台,一般只在图形界面平台下使用Wireshark,如果是Linux的话,直接使用tcpdump了,因为一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。在Mac平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓包过滤器或者显示过滤器。

综上所述:tcpdump是用来抓取数据非常方便,Wireshark则是用于分析抓取到的数据比较方便。

语法

tcpdump(选项)

选项

-a:尝试将网络和广播地址转换成名称;
-c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;
-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
-dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;
-ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;
-e:在每列倾倒资料上显示连接层级的文件头;
-f:用数字显示网际网络地址;
-F<表达文件>:指定内含表达方式的文件;
-i<网络界面>:使用指定的网络截面送出数据包;
-l:使用标准输出列的缓冲区;
-n:不把主机的网络地址转换成名字;
-N:不列出域名;
-O:不将数据包编码最佳化;
-p:不让网络界面进入混杂模式;
-q :快速输出,仅列出少数的传输协议信息;
-r<数据包文件>:从指定的文件读取数据包数据;
-s<数据包大小>:设置每个数据包的大小;
-S:用绝对而非相对数值列出TCP关联数;
-t:在每列倾倒资料上不显示时间戳记;
-tt: 在每列倾倒资料上显示未经格式化的时间戳记;
-T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型;
-v:详细显示指令执行过程;
-vv:更详细显示指令执行过程;
-x:用十六进制字码列出数据包资料;
-w<数据包文件>:把数据包数据写入指定的文件。

实例

1、直接启动tcpdump将监视第一个网络接口上所有流过的数据包

tcpdump

2、监视指定网络接口的数据包

tcpdump -i eth0

如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。

3、监视指定主机的数据包

# 打印所有进入或离开sundown的数据包。

tcpdump host sundown

# 也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包

tcpdump host 210.27.48.1

# 打印helios 与 hot 或者与 ace 之间通信的数据包

tcpdump host helios and \( hot or ace \)

# 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

# 打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.

tcpdump ip host ace and not helios

# 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

# 抓取eth0网卡上的包,使用:

sudo tcpdump -i eth0

# 截获主机hostname发送的所有数据

tcpdump -i eth0 src host hostname

# 监视所有送到主机hostname的数据包

tcpdump -i eth0 dst host hostname

4、监视指定主机和端口的数据包

# 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令

tcpdump tcp port 23 and host 210.27.48.1

# 对本机的udp 123 端口进行监视 123 为ntp的服务端口

tcpdump udp port 123

5、监视指定网络的数据包

# 打印本地主机与Berkeley网络上的主机之间的所有通信数据包

tcpdump net ucb-ether

# ucb-ether此处可理解为“Berkeley网络”的网络地址,此表达式最原始的含义可表达为:打印网络地址为ucb-ether的所有数据包
-----------------------------------------------------------
#打印所有通过网关snup的ftp数据包

tcpdump 'gateway snup and (port ftp or ftp-data)'

# 注意:表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析
-----------------------------------------------------------
# 打印所有源地址或目标地址是本地主机的IP数据包

tcpdump ip and not net localnet

# 如果本地网络通过网关连到了另一网络,则另一网络并不能算作本地网络。

# 抓取80端口的HTTP报文,以文本形式展示:

sudo tcpdump -i any port 80 -A

暂时就介绍上面这几种常用的,更多的使用方法,自己去google。

----------------------------------------华-丽-分-割-线----------------------------------------

下面就issue中的需求,来举个实际工作中抓包分析的例子。

首先通过tcpdump抓取未添加http请求头前的报文

tcpdump -i eth2 -X -e -w test.cap

我习惯性把抓包结果(当然tcpdump搭配一定参数,直接在服务器上看http报文,也是可以的)保存成cap或者pcap文件,然后通过Wireshark分析查看.

 将test.cap通过Wireshark打开,查看http报文部分的具体内容。

 由上可知,未篡改http请求头部内容时,默认是没有Content-Type这行参数的。

接下来我通过waf在向业务服务器转发流量的时候,自定义添加http请求头部字段(这里拿Content-Type举例)。

篡改http请求头部内容后,再次抓包分析:

 由上图可知,验证成功。 

 

作者:Nobita Chen

-----------------------------------------------

慢慢的,你总会发现,你的努力没有白费。

posted @ 2020-10-21 00:53  charseki  阅读(583)  评论(0编辑  收藏  举报