网络 - tcpdump - dump 导入导出 与 wireshark 解析

  1. 概述

    1. dump 文件导入导出
    2. wireshark 解析
  2. 背景

    1. tcpdump 能看清的东西, 其实很有限
      1. 基本上只有 ip 层的内容
      2. 而且命令行上看, 很不方便
    2. 刚好隔壁 wireshark 可以帮忙
  3. 环境

    1. os

      1. centos7
    2. docker-engine

      1. 19.03.12
    3. docker-compose

      1. 1.26.2
    4. image

      1. ubuntu
        1. 19.04. 环境
    5. wireshark

      1. 3.2.5

1. 思路

  1. 概述

    1. 思路
  2. 思路

    1. 用 tcpdump 产生 dump 文件
    2. 用 wireshark 读取

2. 准备

  1. 概述
    1. 准备

1. compose

  1. 之前的 docker-compose 环境, 懒得写了

2. ping

  1. 宿主机向 docker 容器发起 ping

3. tcpdump

  1. 宿主机抓包

3. dump 文件导出

  1. 概述

    1. 抓包
  2. 命令

    # 通常文件的格式, 是 cap
    > tcpdump -i <network_card> -c <size> host <host> -w <resultfile>
    

4. dump 文件导入

  1. 概述

    1. 导入
  2. 命令

    # 可以直接读取现成的 cap 文件
    > tcpdump -i <network_card> -c <size> host <host> -r <resultfile>
    
  3. 问题

    1. 内容
      1. 抓取的内容, 在命令行上显示, 其实很略
      2. 如果交给 wireshark 处理, 可以看到更多细节

5. wireshark 使用

  1. 概述

    1. wireshark 使用
  2. 步骤

    1. 将 开始收集到的 .cap 文件, 拷贝到 wireshark 所在的机器
    2. 用 wireshark 打开即可
  3. 其他

    1. 抓包时的参数
      1. -v, -vv, -vvv
        1. 对于抓包来说, 影响不大
      2. -n, -nn
        1. 对于抓包来说, 影响不大

ps

  1. ref

    1. tcpdump 和wireshark的简单配合使用
  2. 后续

    1. 我的虚拟机上, 网卡有点多

      1. ip 命令对我来说, 好像有点太大了
        1. 有空看看 ip 命令吧
    2. icmp

      1. 包抓下来了, 可以看看 协议 了
        1. 这个可能会拖得比较久, 因为对于协议来说, 我目前真的没什么好入口
posted @ 2020-07-19 20:20  轩辕拾銉  阅读(1557)  评论(0编辑  收藏  举报