tcpdump命令（用tcpdump命令查看原始数据包）

尽管Snort在筛选通过我们的网络内容方面做得非常不错，但有时候需要查看查看原始数据，可以使用tcpdump工具。

可以直接使用tcpdump命令，也可以使用-v选项获得更多详细信息，而使用-vv可以获得更多信息。

# tcpdump

1 命令参数

使用SSH登录到远程计算机。如果不带任何选项运行tcpdump，则输出来自SSH连接的大量数据包。为避免这种情况，只需从输出中消除端口22：

# tcpdump not port 22

添加不同的端口示例：

# tcpdump not port 143 and not port 25 and not port 22

如果只监视某个端口（这对于调试网络应用程序非常有用），则可以执行以下操作：

# tcpdump port 143

从网络上的特定主机获取数据：

# tcpdump host hal9000

如果计算机具有多个网络接口，则还可以指定要收听的网络接口：

# tcpdump -i eth1

可以指定协议：

# tcpdump udp

如果有不了解的协议，可以在/etc/protocols中找到协议列表。

2 保存输出

在某些情况下，可能希望将输出内容重定向到文件中，方便后面对数据其进行详细分析。

# tcpdump -l | tee tcpdump_`date %Y%m%e-%k.%M`

在上面的示例中，我们可以使用日期和时间来标识每个转储。tcpdump还可以选择输出为转储的二进制格式，以便以后读取。示例：

# tcpdump -w tcpdump_raw_`date %Y%m%e-%k.%M`

可以让tcpdump使用以下命令读取文件

# tcpdump -r tcpdump_raw_YYYMMDD-H.M

可以使用ethereal程序打开原始转储并解释它。

3 ethereal与tcpdump一起使用

ethereal也是一种可以用来捕获网络数据包的工具。安装后，可以打开制作的原始转储文件。可以查看源IP和目标IP以及它是什么类型的数据包。然后对遇到的网络问题进行故障排除并分析可疑行为。

如下面命令，每隔一段时间就查询不同IP的机器上的端口32772。为端口32772运行了一个特定的转储，如下所示：

# tcpdump port 32772 -w dump_32772

4 读取原始输出

从tcpdump读取名称为“human readable”的输出。看下面的示例，从转储中查看一个随机数据包：

17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272>

这是www.linux.org的Web服务器请求。开始几位为时间戳，在主机名www.linux.org末尾的.www表示是80端口。被发送到发出请求的主机test.linux.org的34365端口。 “P”代表TCP“oush”功能。这意味着应该立即发送数据。在2845:3739（894）的数字中，2845表示第一个数据包的八位位组的编号。数字3739是数据包发送的最后一个字节的数字加1。数字894是发送的数据包的长度。“ack”表示数据包已被接受，1624表示接下来的数据包号为1624。win 9648”，发送主机正在等待窗口大小为9648个八位位组的数据包。这之后是时间戳。

如果觉得难以解释，则可以使用-x选项，它将以十六进制输出数据内容：

18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448) ack 487 win 6432 <nop,nop,timestamp 329284215 27156244> 0x0000: 4500 05dc 6a81 4000 4006 493b c0a8 0006 E...j.@.@.I;.... 0x0010: c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af .....P.....G.3.. 0x0020: 8010 1920 b4d9 0000 0101 080a 13a0 7a77 ..............zw 0x0030: 019e 5f14 4854 5450 2f31 2e31 2032 3030 .._.HTTP/1.1.200 0x0040: 204f 4b0d 0a44 6174 653a 2054 6875 2c20 .OK..Date:.Thu,. 0x0050: 3135

从输出中知这是一个HTTP请求。至于其余的，很难识别，但是我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是，即使我们无法准确解释此数据包，也可以将其发送出去。 最后，这是未经任何过滤通过网络传输的原始数据。

,