网络 - tcpdump - dump 导入导出 与 wireshark 解析
-
概述
- dump 文件导入导出
- wireshark 解析
-
背景
- tcpdump 能看清的东西, 其实很有限
- 基本上只有 ip 层的内容
- 而且命令行上看, 很不方便
- 刚好隔壁 wireshark 可以帮忙
- tcpdump 能看清的东西, 其实很有限
-
环境
-
os
- centos7
-
docker-engine
- 19.03.12
-
docker-compose
- 1.26.2
-
image
- ubuntu
- 19.04. 环境
- ubuntu
-
wireshark
- 3.2.5
-
1. 思路
-
概述
- 思路
-
思路
- 用 tcpdump 产生 dump 文件
- 用 wireshark 读取
2. 准备
- 概述
- 准备
1. compose
- 之前的 docker-compose 环境, 懒得写了
2. ping
- 宿主机向 docker 容器发起 ping
3. tcpdump
- 宿主机抓包
3. dump 文件导出
-
概述
- 抓包
-
命令
# 通常文件的格式, 是 cap > tcpdump -i <network_card> -c <size> host <host> -w <resultfile>
4. dump 文件导入
-
概述
- 导入
-
命令
# 可以直接读取现成的 cap 文件 > tcpdump -i <network_card> -c <size> host <host> -r <resultfile>
-
问题
- 内容
- 抓取的内容, 在命令行上显示, 其实很略
- 如果交给 wireshark 处理, 可以看到更多细节
- 内容
5. wireshark 使用
-
概述
- wireshark 使用
-
步骤
- 将 开始收集到的 .cap 文件, 拷贝到 wireshark 所在的机器
- 用 wireshark 打开即可
-
其他
- 抓包时的参数
- -v, -vv, -vvv
- 对于抓包来说, 影响不大
- -n, -nn
- 对于抓包来说, 影响不大
- -v, -vv, -vvv
- 抓包时的参数
ps
-
ref
-
后续
-
我的虚拟机上, 网卡有点多
- ip 命令对我来说, 好像有点太大了
- 有空看看 ip 命令吧
- ip 命令对我来说, 好像有点太大了
-
icmp
- 包抓下来了, 可以看看 协议 了
- 这个可能会拖得比较久, 因为对于协议来说, 我目前真的没什么好入口
- 包抓下来了, 可以看看 协议 了
-
尽量尝试解释清楚; 自己校对能力有限, 如果有错误欢迎指出