macOS 下使用 tcpdump 抓包

tcpdump 是 Unix/Linux 下的抓包工具,在 macOS 上也有实现。这个命令可以针对指定网卡、端口、协议进行抓包,这里记录下使用方法。

一、获取适配器列表

使用 -D--list-interfaces 参数

$ tcpdump -D

得到如下结果:

1.en0 [Up, Running]
2.p2p0 [Up, Running]
3.awdl0 [Up, Running]
4.bridge0 [Up, Running]
5.utun0 [Up, Running]
6.en1 [Up, Running]
7.utun1 [Up, Running]
8.en2 [Up, Running]
9.utun2 [Up, Running]
10.lo0 [Up, Running, Loopback]
11.gif0
12.stf0
13.XHC20

其中的适配器名称部分,可以使用 -i 参数监听此适配器的通讯。

二、监听适配器

使用 -i--interface 参数监听适配器,适配器可以用序号名字来表示,这些内容可以通过 -D 参数获取。macOS 下监听适配器的话,必须使用 root 权限。
  
  如果需要详细查看报内容,可以使用 -X 参数。

# 监听适配器 en0 的通讯
$ sudo tcpdump -i en0

# 或者使用 --interface 参数
$ sudo tcpdump --interface en0

# 或者使用 --interface= 参数,效果一样
$ sudo tcpdump --interface=en0

三、监听适配器过滤

使用 -D 参数拿到适配器列表后,结合 -i 参数就可以监听适配器了。但是这样的话会监听到所有的通讯,可以根据需要,针对感兴趣的内容进行过滤。

1、过滤主机

  • 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据
$ sudo tcpdump -i eth1 host 192.168.1.1
  • 源地址
$ sudo tcpdump -i eth1 src host 192.168.1.1
  • 目的地址
$ sudo tcpdump -i eth1 dst host 192.168.1.1

2、过滤端口

  • 抓取所有经过 eth1,目的或源端口是 25 的网络数据
$ sudo tcpdump -i eth1 port 25
  • 源端口
$ sudo tcpdump -i eth1 src port 25
  • 目的端口
$ sudo tcpdump -i eth1 dst port 25

3、过滤网段

  • 抓取所有经过 eth1,目的或源网段是 192.168 的网络数据
$ sudo tcpdump -i eth1 net 192.168
  • 源网段
$ sudo tcpdump -i eth1 src net 192.168
  • 目的网段
$ sudo tcpdump -i eth1 dst net 192.168

4、协议过滤

$ sudo tcpdump -i eth1 arp
$ sudo tcpdump -i eth1 ip
$ sudo tcpdump -i eth1 tcp
$ sudo tcpdump -i eth1 udp
$ sudo tcpdump -i eth1 icmp

5、使用表达式

  • 与:&&and
  • 或:||or
  • 非:!not

四、选项

tcpdump 的选项也很多,要想知道所有选项的话,请参考 man tcpdump,下面只记录 tcpdump 最常用的选项。

需要注意的是,tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s numbernumber 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容。

  • -n 表示不要解析域名,直接显示 ip。
  • -nn 不要解析域名和端口
  • -X 同时用 hex 和 ascii 显示报文的内容。
  • -XX-X,但同时显示以太网头部。
  • -S 显示绝对的序列号(sequence number),而不是相对编号。
  • -i any 监听所有的网卡
  • -v, -vv, -vvv:显示更多的详细信息
  • -c number: 截取 number 个报文,然后结束
  • -A: 只使用 ascii 打印报文的全部数据,不要和 -X 一起使用。截取 http 请求的时候可以用 sudo tcpdump -nSA port 80

五、Flags

tcpdump Flags:

TCP Flag tcpdump Flag Meaning
SYN [S] Syn packet, a session establishment request.
ACK [A] Ack packet, acknowledge sender’s data.
FIN [F] Finish flag, indication of termination.
RESET [R] Reset, indication of immediate abort of conn.
PUSH [P] Push, immediate push of data from sender.
URGENT [U] Urgent, takes precedence over other data.
NONE [.] Placeholder, usually used for ACK.

六、实例

  • 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
$ sudo tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host
192.168.1.200)))'
  • 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
$ sudo tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
  • 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据
$ sudo tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
  • 只抓 SYN 包
$ sudo tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
  • 抓 SYN, ACK
$ sudo tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
  • 抓 SMTP 数据
    抓取数据区开始为 MAIL 的包,MAIL 的十六进制为 0x4d41494c
$ sudo tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
  • 抓 HTTP GET 数据
    GET(注意后面有空格)的十六进制是 0x47455420
$ sudo tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
  • 抓 SSH 返回
    SSH- 的十六进制是 0x5353482D
$ sudo tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

抓老版本的 SSH 返回信息,如 SSH-1.99..

$ sudo tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'
  • 抓 DNS 请求数据
$ sudo tcpdump -i eth1 udp dst port 53
  • 其他
    -c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是抓的太多,于是可以用 -c 参数指定抓多少个包。
$ sudo time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null

上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。

  • 实时抓取端口号 8000GET 包,然后写入 GET.log
$ sudo tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

七、补充说明

测试过程中,发现本机发出的请求没有被抓到,不知道是参数设置问题还是什么,暂时先把疑问记录下来。

八、参考资料

(完)