Linux tcpdump+Wireshark抓包分析
背景介绍:
通过一个issue引出:waf在向业务服务器转发流量的时候,可以自定义添加http请求头部字段;在向客户端转发流量时,可以自定义添加http响应头部字段。
如何去验证???
感觉tcpdump+Wireshark这种搭配,就目前看来,非常完美。
所有的网络传输在这两个工具搭配下,都无处遁形。
正文:
1、tcpdump与Wireshark介绍
在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具,可以抓取流动在网卡上的数据包。
默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协议层,所以本机通讯肯定是通过API进入了内核,并且完成了路由选择。【比如本机的TCP通信,也必须要socket通信的基本要素:src ip port dst ip port】
如果要使用tcpdump抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。一般而言,Unix不会让普通用户设置混杂模式,因为这样可以看到别人的信息,比如telnet的用户名和密码,这样会引起一些安全上的问题,所以只有root用户可以开启混杂模式,开启混杂模式的命令是:ifconfig en0 promisc, en0是你要打开混杂模式的网卡。
Linux抓包原理:
Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,例如以太网协议、x25协议处理模块来尝试进行报文的解析处理,这一点和一些文件系统的挂载相似,就是让系统中所有的已经注册的文件系统来进行尝试挂载,如果哪一个认为自己可以处理,那么就完成挂载。
当抓包模块把自己伪装成一个网络协议的时候,系统在收到报文的时候就会给这个伪协议一次机会,让它来对网卡收到的报文进行一次处理,此时该模块就会趁机对报文进行窥探,也就是把这个报文完完整整的复制一份,假装是自己接收到的报文,汇报给抓包模块。
Wireshark介绍:
Wireshark是一个网络协议检测工具,支持Windows平台、Unix平台、Mac平台,一般只在图形界面平台下使用Wireshark,如果是Linux的话,直接使用tcpdump了,因为一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。在Mac平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓包过滤器或者显示过滤器。
综上所述:tcpdump是用来抓取数据非常方便,Wireshark则是用于分析抓取到的数据比较方便。
语法
tcpdump(选项)
选项
-a:尝试将网络和广播地址转换成名称; -c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作; -d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出; -dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出; -ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出; -e:在每列倾倒资料上显示连接层级的文件头; -f:用数字显示网际网络地址; -F<表达文件>:指定内含表达方式的文件; -i<网络界面>:使用指定的网络截面送出数据包; -l:使用标准输出列的缓冲区; -n:不把主机的网络地址转换成名字; -N:不列出域名; -O:不将数据包编码最佳化; -p:不让网络界面进入混杂模式; -q :快速输出,仅列出少数的传输协议信息; -r<数据包文件>:从指定的文件读取数据包数据; -s<数据包大小>:设置每个数据包的大小; -S:用绝对而非相对数值列出TCP关联数; -t:在每列倾倒资料上不显示时间戳记; -tt: 在每列倾倒资料上显示未经格式化的时间戳记; -T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型; -v:详细显示指令执行过程; -vv:更详细显示指令执行过程; -x:用十六进制字码列出数据包资料; -w<数据包文件>:把数据包数据写入指定的文件。
实例
1、直接启动tcpdump将监视第一个网络接口上所有流过的数据包
tcpdump
2、监视指定网络接口的数据包
tcpdump -i eth0
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。
3、监视指定主机的数据包
# 打印所有进入或离开sundown的数据包。 tcpdump host sundown # 也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包 tcpdump host 210.27.48.1 # 打印helios 与 hot 或者与 ace 之间通信的数据包 tcpdump host helios and \( hot or ace \) # 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信 tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) # 打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包. tcpdump ip host ace and not helios # 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令: tcpdump ip host 210.27.48.1 and ! 210.27.48.2 # 抓取eth0网卡上的包,使用: sudo tcpdump -i eth0 # 截获主机hostname发送的所有数据 tcpdump -i eth0 src host hostname # 监视所有送到主机hostname的数据包 tcpdump -i eth0 dst host hostname
4、监视指定主机和端口的数据包
# 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令 tcpdump tcp port 23 and host 210.27.48.1 # 对本机的udp 123 端口进行监视 123 为ntp的服务端口 tcpdump udp port 123
5、监视指定网络的数据包
# 打印本地主机与Berkeley网络上的主机之间的所有通信数据包 tcpdump net ucb-ether # ucb-ether此处可理解为“Berkeley网络”的网络地址,此表达式最原始的含义可表达为:打印网络地址为ucb-ether的所有数据包 ----------------------------------------------------------- #打印所有通过网关snup的ftp数据包 tcpdump 'gateway snup and (port ftp or ftp-data)' # 注意:表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析 ----------------------------------------------------------- # 打印所有源地址或目标地址是本地主机的IP数据包 tcpdump ip and not net localnet # 如果本地网络通过网关连到了另一网络,则另一网络并不能算作本地网络。 # 抓取80端口的HTTP报文,以文本形式展示: sudo tcpdump -i any port 80 -A
暂时就介绍上面这几种常用的,更多的使用方法,自己去google。
----------------------------------------华-丽-分-割-线----------------------------------------
下面就issue中的需求,来举个实际工作中抓包分析的例子。
首先通过tcpdump抓取未添加http请求头前的报文
tcpdump -i eth2 -X -e -w test.cap
我习惯性把抓包结果(当然tcpdump搭配一定参数,直接在服务器上看http报文,也是可以的)保存成cap或者pcap文件,然后通过Wireshark分析查看.
将test.cap通过Wireshark打开,查看http报文部分的具体内容。
由上可知,未篡改http请求头部内容时,默认是没有Content-Type这行参数的。
接下来我通过waf在向业务服务器转发流量的时候,自定义添加http请求头部字段(这里拿Content-Type举例)。
篡改http请求头部内容后,再次抓包分析:
由上图可知,验证成功。