抓包分析工具tcpdump和wireshark

1，安装使用tcpdump

yum install -y tcpdump

1.1 tcpdump 参数解析

tcpdump简明用法

    -A 以ASCII格式打印出全部分组，并将链路层的头最小化。 

    -c 在收到指定的数量的分组后，tcpdump就会中止。 

    -C 在将一个原始分组写入文件以前，检查文件当前的大小是否超过了参数file_size 中指定的大小。若是超过了指定大小，则关闭当前文件，而后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。 

    -d 将匹配信息包的代码以人们可以理解的汇编格式给出。 

    -dd 将匹配信息包的代码以C语言程序段的格式给出。 

    -ddd 将匹配信息包的代码以十进制的形式给出。 

    -D 打印出系统中全部能够用tcpdump截包的网络接口。 

    -e 在输出行打印出数据链路层的头部信息。 

    -E 用spi@ipaddr algo:secret解密那些以addr做为地址，而且包含了安全参数索引值spi的IPsec ESP分组。 

    -f 将外部的Internet地址以数字的形式打印出来。 

    -F 从指定的文件中读取表达式，忽略命令行中给出的表达式。 

    -i 指定监听的网络接口。 

    -l 使标准输出变为缓冲行形式，能够把数据导出到文件。 

    -L 列出网络接口的已知数据链路。 

    -m 从文件module中导入SMI MIB模块定义。该参数能够被使用屡次，以导入多个MIB模块。 

    -M 若是tcp报文中存在TCP-MD5选项，则须要用secret做为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。 

    -b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。 

    -n 不把网络地址转换成名字。 

    -nn 不进行端口名称的转换。 

    -N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。 

    -t 在输出的每一行不打印时间戳。 

    -O 不运行分组分组匹配（packet-matching）代码优化程序。 

    -P 不将网络接口设置成混杂模式。 

    -q 快速输出。只输出较少的协议信息。 

    -r 从指定的文件中读取包(这些包通常经过-w选项产生)。 

    -S 将tcp的序列号以绝对值形式输出，而不是相对值。 

    -s 从每一个分组中读取最开始的snaplen个字节，而不是默认的68个字节。 

    -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。 

    -t 不在每一行中输出时间戳。 

    -tt 在每一行中输出非格式化的时间戳。 

    -ttt 输出本行和前面一行之间的时间差。 

    -tttt 在每一行中输出由date处理的默认格式的时间戳。 

    -u 输出未解码的NFS句柄。 

    -v 输出一个稍微详细的信息，例如在ip包中能够包括ttl和服务类型的信息。 

    -vv 输出详细的报文信息。 

    -w 直接将分组写入文件中，而不是不分析并打印出来。

1.2 详细解读

tcpdump详细用法

第一种是关于类型的关键字，主要包括host，net，port, 例如 host 192.168.0.2，指明 192.168.0.2是一台主机，
net 10.0.0.0 指明 10.0.0.0是一个网络地址，port 23 指明端口号是23。若是没有指定类型，缺省的类型是host.

第二种是肯定传输方向的关键字，主要包括src , dst ,dst orsrc, dst and src ,这些关键字指明了传输的方向。
举例说明，src 192.168.0.2 ,指明ip包中源地址是192.168.0.2 , dst net10.0.0.0 指明目的网络地址是10.0.0.0 。
若是没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网上
的特定的网络协议，实际上它是"ether" 的别名，fddi和ether具备相似的源地址和目的地址，因此能够将fddi协议
包看成ether的包进行处理和分析。其余的几个关键字就是指明了监听的包的协议内容。若是没有指定任何协议，则
tcpdump将会监听全部协议的信息包。

除了这三种类型的关键字以外，其余重要的关键字以下：gateway, broadcast,less,greater,还有三种逻辑运算，取
非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'││'；这些关键字能够组合起来构成强大的组合条件
来知足人们的须要，下面用几个例子来讲明。

1.3 示例

一、默认启动
    
tcpdump -vv -i eno16777736

普通状况下，直接启动tcpdump将监视第一个网络接口上全部流过的数据包。

二、过滤主机

tcpdump -i eno16777736 host 192.168.1.1                #抓取全部通过eno16777736，目的或源地址是192.168.1.1的网络数据
tcpdump -i eno16777736 src host 192.168.1.1            #指定源地址，192.168.1.1
tcpdump -i eno16777736 dst host 192.168.1.1            #指定目的地址，192.168.1.1

三、过滤端口

tcpdump -i eno16777736 port 25
tcpdump -i eno16777736 src port 25
tcpdump -i eno16777736 dst port 25

抓取全部通过eno16777736，目的或源端口是25的网络数据

四、网络过滤
    
tcpdump -i eno16777736 net 192.168
tcpdump -i eno16777736 src net 192.168
tcpdump -i eno16777736 dst net 192.168

五、协议过滤

tcpdump -i eno16777736 arp
tcpdump -i eno16777736 ip
tcpdump -i eno16777736 tcp
tcpdump -i eno16777736 udp
tcpdump -i eno16777736 icmp

六、经常使用表达式
    
非 : ! or "not" (去掉双引号) 
且 : && or "and" 
或 : || or "or"


抓取全部通过eno16777736，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数
    
tcpdump -i eno16777736 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

抓取全部通过eno16777736，目标MAC地址是00:01:02:03:04:05的ICMP数据
    
tcpdump -i eno16777736 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

抓取全部通过eno16777736，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据
    
tcpdump -i eno16777736 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'


tcpdump 的抓包保存到文件的命令参数是-w xxx.cap

    抓eno16777736的包
    tcpdump -i eno16777736 -w /tmp/xxx.cap
    查看抓包文件
    tcpdump -r /tmp/xxx.cap
    
    抓 192.168.0.203的包
    tcpdump -i eno16777736 host 192.168.0.203 -w /tmp/xxx.cap
    抓192.168.0.203的80端口的包
    tcpdump -i eno16777736 host 192.168.0.203 and port 80 -w /tmp/xxx.cap
    抓192.168.0.203的icmp的包
    tcpdump -i eno16777736 host 192.168.0.203 and icmp -w /tmp/xxx.cap
    抓192.168.0.203的80端口和110和25之外的其余端口的包
    tcpdump -i eno16777736 host 192.168.0.203 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
    抓vlan 1的包
    tcpdump -i eno16777736 port 80 and vlan 1 -w /tmp/xxx.cap
    抓pppoe的密码
    tcpdump -i eno16777736 pppoes -w /tmp/xxx.cap
    以100m大小分割保存文件， 超过100m另开一个文件
    -C 100m
    抓10000个包后退出
    -c 10000
    后台抓包， 控制台退出也不会影响
    nohup tcpdump -i eno16777736 port 110 -w /tmp/xxx.cap &

1.4 实例

[root@localhost ~]# tcpdump -i eno16777736  dst host 192.168.0.203  -w /tmp/xxx.cap
tcpdump: listening on eno16777736, link-type EN10MB (Ethernet), capture size 262144 bytes

^C21 packets captured

[root@localhost ~]# ll /tmp/xxx.cap 
-rw-r--r-- 1 tcpdump tcpdump 1760 7月  13 14:33 /tmp/xxx.cap
[root@localhost ~]# tcpdump -r /tmp/xxx.cap 
reading from file /tmp/xxx.cap, link-type EN10MB (Ethernet)
14:32:58.145798 IP 192.168.0.201.46824 > 192.168.0.203.http: Flags [R], seq 3390683954, win 0, length 0
14:32:58.945777 IP 192.168.0.201.46828 > 192.168.0.203.http: Flags [S], seq 3069531638, win 29200, options [mss 1460,sackOK,TS val 246238969 ecr 0,nop,wscale 7], length 0
14:32:58.946461 IP 192.168.0.201.46828 > 192.168.0.203.http: Flags [R.], seq 3069531639, ack 3707664099, win 229, options [nop,nop,TS val 0 ecr 246266476], length 0
14:32:59.948016 IP 192.168.0.201.46828 > 192.168.0.203.http: Flags [R], seq 3069531639, win 0, length 0
14:33:00.949073 IP 192.168.0.201.46832 > 192.168.0.203.http: Flags [S], seq 11760599, win 29200, options [mss 1460,sackOK,TS val 246240972 ecr 0,nop,wscale 7], length 0
14:33:00.950145 IP 192.168.0.201.46832 > 192.168.0.203.http: Flags [R.], seq 11760600, ack 2581657852, win 229, options [nop,nop,TS val 0 ecr 246268480], length 0
14:33:02.152084 IP 192.168.0.201.46832 > 192.168.0.203.http: Flags [R], seq 11760600, win 0, length 0
14:33:02.953212 IP 192.168.0.201.46836 > 192.168.0.203.http: Flags [S], seq 3987661143, win 29200, options [mss 1460,sackOK,TS val 246242976 ecr 0,nop,wscale 7], length 0
14:33:02.953731 IP 192.168.0.201.46836 > 192.168.0.203.http: Flags [R.], seq 3987661144, ack 1117892437, win 229, options [nop,nop,TS val 0 ecr 246270483], length 0

2 Wireshark

yum install wireshark* -y

参考 https://www.cnblogs.com/liun1994/p/6142505.html

2.1 tshark 参数选项：

捕获接口:
　　-i: -i <interface> 指定捕获接口，默认是第一个非本地循环接口;
　　-f: -f <capture filter> 设置抓包过滤表达式，遵循libpcap过滤语法，这个实在抓包的过程当中过滤，若是是分析本地文件则用不到。
　　-s: -s <snaplen> 设置快照长度，用来读取完整的数据包，由于网络中传输有65535的限制，值0表明快照长度65535，默认也是这个值；
　　-p: 以非混合模式工做，即只关心和本机有关的流量。
　　-B: -B <buffer size> 设置缓冲区的大小，只对windows生效，默认是2M;
　　-y: -y<link type> 设置抓包的数据链路层协议，不设置则默认为-L找到的第一个协议，局域网通常是EN10MB等;
　　-D: 打印接口的列表并退出;
　　-L 列出本机支持的数据链路层协议，供-y参数使用。

捕获中止选项:
　　-c: -c <packet count> 捕获n个包以后结束，默认捕获无限个;
　　-a: -a <autostop cond.> ... duration:NUM，在num秒以后中止捕获;
　　　　　　　　　　　　　　　　　　 filesize:NUM，在numKB以后中止捕获;
　　　　　　　　　　　　　　　　　   files:NUM，在捕获num个文件以后中止捕获;
捕获输出选项:
　　-b <ringbuffer opt.> ... ring buffer的文件名由-w参数决定,-b参数采用test:value的形式书写;
　　　　　　　　　　　　　　　　 duration:NUM - 在NUM秒以后切换到下一个文件;
　　　　　　　　　　　　　　　　 filesize:NUM - 在NUM KB以后切换到下一个文件;
　　　　　　　　　　　　　　　　 files:NUM - 造成环形缓冲，在NUM文件达到以后;

RPCAP选项:
　　remote packet capture protocol，远程抓包协议进行抓包；
　　-A:  -A <user>:<password>,使用RPCAP密码进行认证;

输入文件:
　　-r: -r <infile> 设置读取本地文件

处理选项:
　　-2: 执行两次分析
　　-R: -R <read filter>,包的读取过滤器，能够在wireshark的filter语法上查看；在wireshark的视图->过滤器视图，在这一栏点击表达式，就会列出来对全部协议的支持。
　　-Y: -Y <display filter>,使用读取过滤器的语法，在单次分析中能够代替-R选项;
　　-n: 禁止全部地址名字解析（默认为容许全部）
　　-N: 启用某一层的地址名字解析。“m”表明MAC层，“n”表明网络层，“t”表明传输层，“C”表明当前异步DNS查找。若是-n和-N参数同时存在，-n将被忽略。若是-n和-N参数都不写，则默认打开全部地址名字解析。
　　-d: 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包，应该写为“-d tcp.port==8888,http”;tshark -d. 能够列出全部支持的有效选择器。
　　
输出选项:
　　-w: -w <outfile|-> 设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到stdout,“-w -”表示把raw输出到stdout。若是要把解码结果输出到文件，使用重定向“>”而不要-w参数。
　　-F: -F <output file type>,设置输出的文件格式，默认是.pcapng,使用tshark -F可列出全部支持的输出文件类型。
　　-V: 增长细节输出;
　　-O: -O <protocols>,只显示此选项指定的协议的详细信息。
　　-P: 即便将解码结果写入文件中，也打印包的概要信息；
　　-S: -S <separator> 行分割符
　　-x: 设置在解码输出结果中，每一个packet后面以HEX dump的方式显示具体数据。
　　-T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text
　　-e: 若是-T fields选项指定，-e用来指定输出哪些字段;
　　-E: -E <fieldsoption>=<value>若是-T fields选项指定，使用-E来设置一些属性，好比
　　　　header=y|n
　　　　separator=/t|/s|<char>
　　　　occurrence=f|l|a
　　　　aggregator=,|/s|<char>
　　-t: -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的绝对时间，“r”表示从第一个包到如今的相对时间，“d”表示两个相邻包之间的增量时间（delta）。
　　-u: s|hms 格式化输出秒；
　　-l: 在输出每一个包以后flush标准输出
　　-q: 结合-z选项进行使用，来进行统计分析；
　　-X: <key>:<value> 扩展项，lua_script、read_format，具体参见 man pages；
　　-z：统计选项，具体的参考文档;tshark -z help,能够列出，-z选项支持的统计方式。
　　
其余选项:
　　-h: 显示命令行帮助；
　　-v: 显示tshark 的版本信息;

2.2 示例

//打印http协议流相关信息
tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
　　注释：
　　　　-s: 只抓取前512字节；
　　　　-i: 捕获eth0网卡；
　　　　-n: 禁止网络对象名称解析;
　　　　-f: 只捕获协议为tcp,目的端口为80;
　　　　-R: 过滤出http.host和http.request.uri;
　　　　-T,-e: 指的是打印这两个字段;
　　　　-I: 输出到命令行界面; 
//实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
　　　注释:
　　　　-R: 过滤出mysql的查询语句;
//导出smpp协议header和value的例子
tshark -r test.cap -R '(smpp.command_id==0x80000004) and (smpp.command_status==0x0)' -e smpp.message_id -e frame.time -T fields -E header=y >test.txt
　　　注释:
　　　　-r: 读取本地文件，能够先抓包存下来以后再进行分析;
　　　　-R: smpp...能够在wireshark的过滤表达式里面找到，后面会详细介绍;
　　　　-E: 当-T字段指定时，设置输出选项，header=y意思是头部要打印;
　　　　-e: 当-T字段指定时，设置输出哪些字段;
　　　　 >: 重定向;
//统计http状态
tshark -n -q -z http,stat, -z http,tree
　　　注释:
　　　　-q: 只在结束捕获时输出数据，针对于统计类的命令很是有用;
　　　　-z: 各种统计选项，具体的参考文档，后面会介绍，可使用tshark -z help命令来查看全部支持的字段;
　　　　　　 http,stat: 计算HTTP统计信息，显示的值是HTTP状态代码和HTTP请求方法。
　　　　　　 http,tree: 计算HTTP包分布。 显示的值是HTTP请求模式和HTTP状态代码。
//抓取500个包提取访问的网址打印出来
tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 500
　　　注释: 
　　　　-f: 抓包前过滤；
　　　　-R: 抓包后过滤；
　　　　-l: 在打印结果以前清空缓存;
　　　　-c: 在抓500个包以后结束;
//显示ssl data数据
tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"

//读取指定报文,按照ssl过滤显示内容
tshark -r temp.cap -R "ssl" -V -T text
　　注释: 
　　　　-T text: 格式化输出，默认就是text;
　　　　-V: 增长包的输出;//-q 过滤tcp流13，获取data内容
tshark -r temp.cap -z "follow,tcp,ascii,13"

//按照指定格式显示-e
tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport

//输出数据
tshark -r vmx.cap -q -n -t ad -z follow,tcp,ascii,10.1.8.130:56087,10.195.4.41:446 | more
　　注释:
　　　　-t ad: 输出格式化时间戳;
//过滤包的时间和rtp.seq
tshark  -i eth0 -f "udp port 5004"  -T fields -e frame.time_epoch -e rtp.seq -o rtp.heuristic_rtp:true 1>test.txt
　　注释:
　　　　-o: 覆盖属性文件设置的一些值;

//提取各协议数据部分
tshark -r H:/httpsession.pcap -q -n -t ad -z follow,tcp,ascii,71.6.167.142:27017,101.201.42.120:59381 | more