歡迎光臨
每天分享高質量文章

Linux基礎急速入門:用 TCPDUMP 抓包

作者: 程式猿小卡_casper

鏈接:https://juejin.im/post/5a421fd56fb9a0450f223253

簡介

網絡資料包截獲分析工具。支持針對網絡層、協議、主機、網絡或端口的過濾。並提供and、or、not等邏輯陳述句幫助去除無用的信息。

 

tcpdump - dump traffic on a network

例子

不指定任何引數

 

監聽第一塊網卡上經過的資料包。主機上可能有不止一塊網卡,所以經常需要指定網卡。

 

tcpdump

 

監聽特定網卡

tcpdump -i en0

 

監聽特定主機

 

例子:監聽本機跟主機182.254.38.55之間往來的通信包。

 

備註:出、入的包都會被監聽。

 

tcpdump host 182.254.38.55

 

特定來源、標的地址的通信

 

特定來源

tcpdump src host hostname

 

特定標的地址

tcpdump dst host hostname

 

如果不指定src跟dst,那麼來源 或者標的 是hostname的通信都會被監聽

tcpdump host hostname

 

特定端口

tcpdump port 3000

 

監聽TCP/UDP

 

服務器上不同服務分別用了TCP、UDP作為傳輸層,假如只想監聽TCP的資料包

tcpdump tcp

 

來源主機+端口+TCP

 

監聽來自主機123.207.116.169在端口22上的TCP資料包

tcpdump tcp port 22 and src host 123.207.116.169

 

監聽特定主機之間的通信

tcpdump ip host 210.27.48.1 and 210.27.48.2

 

210.27.48.1除了和210.27.48.2之外的主機之間的通信

 

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

 

稍微詳細點的例子

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

 

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個引數的位置,用來過濾資料報的型別
(2)-i eth1 : 只抓經過接口eth1的包
(3)-t : 不顯示時間戳
(4)-s 0 : 抓取資料包時預設抓取長度為68位元組。加上-S 0 後可以抓到完整的資料包
(5)-c 100 : 只抓取100個資料包
(6)dst port ! 22 : 不抓取標的端口是22的資料包
(7)src net 192.168.1.0/24 : 資料包的源網絡地址為192.168.1.0/24
(8)-w ./target.cap : 儲存成cap檔案,方便用ethereal(即wireshark)分析

 

抓http包

TODO

 

限制抓包的數量

 

如下,抓到1000個包後,自動退出

 

tcpdump -c 1000

 

儲存到本地

 

備註:tcpdump預設會將輸出寫到緩衝區,只有緩衝區內容達到一定的大小,或者tcpdump退出時,才會將輸出寫到本地磁盤

 

tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

 

也可以加上-U強制立即寫到本地磁盤(一般不建議,性能相對較差)

實戰例子

先看下麵一個比較常見的部署方式,在服務器上部署了nodejs server,監聽3000端口。nginx反向代理監聽80端口,並將請求轉發給nodejs server(127.0.0.1:3000)。

 

瀏覽器 -> nginx反向代理 -> nodejs server

 

問題:假設用戶(183.14.132.117)訪問瀏覽器,發現請求沒有傳回,該怎麼排查呢?

 

步驟一:查看請求是否到達nodejs server -> 可通過日誌查看。

步驟二:查看nginx是否將請求轉發給nodejs server。

 

tcpdump port 8383 

 

這時你會發現沒有任何輸出,即使nodejs server已經收到了請求。因為nginx轉發到的地址是127.0.0.1,用的不是預設的interface,此時需要顯示指定interface

tcpdump port 8383 -i lo

 

備註:配置nginx,讓nginx帶上請求側的host,不然nodejs server無法獲取 src host,也就是說,下麵的監聽是無效的,因為此時對於nodejs server來說,src host 都是 127.0.0.1

tcpdump port 8383 -i lo and src host 183.14.132.117

 

步驟三:查看請求是否達到服務器

 

tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

相關鏈接

tcpdump 很詳細的http://blog.chinaunix.net/uid-11242066-id-4084382.html

Linux tcpdump命令詳解 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 

Tcpdump usage examples(推薦)http://www.rationallyparanoid.com/articles/tcpdump.html

使用TCPDUMP抓取HTTP狀態頭信息http://blog.sina.com.cn/s/blog_7475811f0101f6j5.html

 


赞(0)

分享創造快樂