会了这个命令,别人都会高看你一眼

前言

说到这个tcpdump命令,就不得不提自己参加的中国移动内蒙古分公司第三代CRM系统的开发与实施。如果没有记错的话,那应该是2016年,自己单独负责整个10086客服系统自助渠道的整体改造工作;在系统压测阶段,调用接口平台时,总是出现超时现象。后来这个问题越来越严重,同时短厅渠道、CBOSS渠道也反馈有这个问题,这时这个问题就引起了大BOSS的注意,然后就是各方专家会诊。在这种大型项目中,专家会诊,都有一个特色,就是专家指挥,小弟干活,而我那个时候,就是那个小弟。

好吧,专家发话了,抓包先。这就开始了我的抓包工作,开始了我对tcpdump的全面理解。

首先需要说的是,这个tcpdump是一个非常功能强大的命令,功能强大,那也就意味着这个命令的使用是非常复杂的,也就是说,我接下来整理的内容也会是非常多的。如果你想去掌握整个tcpdump命令的话,就需要你稍微有点耐心去把整篇文章读完。OK,Let's go!

命令简介

tcpdump是一款强大的网络抓包工具,运行在Linux平台上。熟悉tcpdump的使用能够帮助我们分析、调试网络数据。但是要想很好地掌握tcpdump, 就必须对网络报文(TCP/IP协议)有一定的了解。不过对于简单的使用来说,只要有网络基础概念就行了。

作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的工具之一。在实际工作中,需要以root权限去执行该命令。

tcpdump是一个很复杂的命令,想了解它的方方面面非常不易,也不值得推荐,能够使用它解决日常工作中的问题才是关键,所以,以下的总结我将更侧重于从实际工作出发,整理一些实际工作中经常用到的用法,对于一些冷门用法,我这里基本不会涉及,如果日后在工作中用到了,我这里也会更新进来。

命令详解

下面就先对tcpdump一些常用的选项进行总结。

  • -s numbertcpdump默认只会截取前96字节的内容,要想截取所有的报文内容,就需要使用这个选项,其中number是需要截取的报文字节数,如果是0的话,表示截取报文全部内容;

  • -nn:表示不解析域名,直接显示IP,在netstat命令中,也有这个选项;

  • -X:同时使用hex和ascii显示报文内容;

  • -S:显示绝对的序列号(sequence number),而不是相对编号;

  • -i:指定监听的网卡,如果为-i any则表示监听所有的网卡;

  • -v,-vv,-vvv:显示更多的详细信息;

  • -c number:表示截取number个报文,然后结束;

  • -w:将监听到的数据包写入文件中保存,而并不分析和打印出来;

  • -A:只使用ascii打印报文的全部数据,不要和-X选项一起使用。截取HTTP请求的时候可以用sudo tcpdump -nSA port 80

虽然tcpdump命令的选项特别多,但是常用的选项也就上面那几个,我这里将更多的把注意力放在使用实例上,通过使用实例来学习tcpdump这个命令。

过滤器

先进行使用实例详解时,有必要先掌握tcpdump一些基本的使用理论知识,先来说说过滤器。

在服务器上的网络报文是异常的多,很多时候我们只关注和具体问题有关的数据报文,而这些有用的报文只占到很小的一部分,为了不让我们在报文的海洋里迷失自己,我们就非常有必要学习一下tcpdump提供的灵活而且功能强大的过滤器。

过滤器也可以简单地分为三类:typedirproto

  • type:主要用来区分过滤报文源类型,主要由host主机报文,net网段报文和port指定端口的报文组成;

  • dir:只过滤报文的源地址和目的地址,主要包括src源地址和dst目的地址;

  • proto:只过滤报文的协议类型,支持tcpudpicmp等;使用的时候可以省略proto关键字:

    • tcpdump -i eth1 arp

    • tcpdump -i eth1 ip

    • tcpdump -i eth1 tcp

    • tcpdump -i eth1 udp

    • tcpdump -i eth1 icmp

在我们使用tcpdump命令时是离不开这些过滤器的。

条件组合

在茫茫网络中,想要找到那个你想要的网络包,还是有一定难度的。为了抓住那个我们想要的网络包,在我们抓包命令中,包含越多的限制条件,抓的无关包就会越少,所以在进行抓包时,我们可以使用“与”(and&&)、“或”(or||)和“非”(not!)来将多个条件组合起来。这对我们需要基于某些条件来分析网络包是非常有用的。

使用实例

  • 命令:tcpdump -i eth1 说明:监视指定网络接口的数据包

  • 命令:tcpdump host 210.27.48.3 说明:截获210.27.48.3主机收到的和发出的所有数据包

  • 命令:tcpdump host 210.27.48.4 and (210.27.48.5 or 210.27.48.6) 说明:截获210.27.48.3主机和210.27.48.5或者210.27.48.6主机进行通信的所有数据包

  • 命令:tcpdump net 192.168.1.0/24 说明:截获192.168.1.0/24整个网络的数据包

  • 命令:tcpdump -i eth0 src host 210.27.48.3 说明:监视eth0网卡上源地址是210.27.48.3的所有网络包

  • 命令:tcpdump -i eth0 dst host 210.27.48.3 说明:监视eth0网卡上目的地址是210.27.48.3的所有网络包

  • 命令:tcpdump tcp port 23 and host 210.27.48.3 说明:获取主机210.27.48.3上端口为23的应用发出和接收的所有TCP协议包

  • 命令:tcpdump udp port 123 说明:获取本机123端口发出和接收的所有UDP协议包

  • 命令:tcpdump src host 10.126.1.222 and dst net 10.126.1.0/24 说明:截获源主地址为10.126.1.222,目的地址是10.126.1.0/24整个网络

  • 命令:tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap 说明:抓取报文后按照指定时间间隔保存;-G选项后面接时间,单位为秒;上述命令就是每隔60秒生存一个文件

  • 命令:tcpdump -i eth0 -s0 -C 1 -Z root -w eth0Packet.pcap 说明:抓取报文后按照指定报文大小保存;-C选项后接文件大小,单位为MB;上述命令就是每抓包文件达到1MB时就使用一个新的文件保存新抓的报文

上面说到tcpdump抓包后生成对应的文件,那这个文件如何进行分析呢?是的,有这么样一个叫做“Wireshark”的软件,可以非常完美的和tcpdump进行结合,提供可视化的分析界面;有兴趣的话可以去学习一下,后续如果有时间,我也整理一个“Wireshark”入门系列。

总结

拖的时间比较长,终于整理完毕!当然了,tcpdump这么复杂的一个命令,我这里并没有进行非常全面的整理,但是我这里整理的内容绝对不会影响你在工作中使用tcpdump这个命令。还是那个“二八定律”,复杂的命令,常用的功能也就占用20%,其余80%都是比较偏僻生冷的功能,或者说工作中很少会用到的功能。看到这里,是不是感觉会了这个命令,别人都会高看你一眼???如果觉的还不错,可以点下左小角的“在看”哦!!!

往期精彩回顾

1、我们经常用的SSH,原来是这样的

书籍推荐


人生是个圆,有的人走了一辈子也没有走出命运画出的圆圈,其实,圆上的每一个点都有一条腾飞的切线。

玩代码、玩技术

长按识别二维码,关注“果冻想”

posted @ 2019-10-08 22:20  ^_^果冻^_^  阅读(3)  评论(0编辑  收藏  举报  来源