Linux基礎學習之利用tcpdump抓包例項程式碼

NO IMAGE

簡介

很多時候我們的系統部署在Linux系統上面,在一些情況下定位問題就需要檢視各個系統之間傳送資料包文是否正常,下面我就簡單講解一下如何使用tcpdump抓包

網路資料包截獲分析工具。支援針對網路層、協議、主機、網路或埠的過濾。並提供and、or、not等邏輯語句幫助去除無用的資訊。


tcpdump - dump traffic on a network

tcpdump的命令格式

tcpdump的引數眾多,通過man tcpdump可以檢視tcpdump的詳細說明,這邊只列一些自己常用的引數:


tcpdump [-i 網絡卡] -nnAX '表示式'

各引數說明如下:

-i:interface 監聽的網絡卡。
-nn:表示以ip和port的方式顯示來源主機和目的主機,而不是用主機名和服務。
-A:以ascii的方式顯示資料包,抓取web資料時很有用。
-X:資料包將會以16進位制和ascii的方式顯示。
表示式:表示式有很多種,常見的有:host 主機;port 埠;src host 發包主機;dst host 收包主機。多個條件可以用and、or組合,取反可以使用!,更多的使用可以檢視man 7 pcap-filter。

例子

不指定任何引數

監聽第一塊網絡卡上經過的資料包。主機上可能有不止一塊網絡卡,所以經常需要指定網絡卡。


tcpdump

監聽特定網絡卡


tcpdump -i en0

監聽特定主機

例子:監聽本機跟主機182.254.38.55之間往來的通訊包。

備註:出、入的包都會被監聽。


tcpdump host 182.254.38.55

特定來源、目標地址的通訊

特定來源


tcpdump src host hostname

特定目標地址


tcpdump dst host hostname

如果不指定src跟dst,那麼來源 或者目標 是hostname的通訊都會被監聽


tcpdump host hostname

特定埠


tcpdump port 3000

監聽TCP/UDP

伺服器上不同服務分別用了TCP、UDP作為傳輸層,假如只想監聽TCP的資料包


tcpdump tcp

來源主機 埠 TCP

監聽來自主機123.207.116.169在埠22上的TCP資料包


tcpdump tcp port 22 and src host 123.207.116.169

監聽特定主機之間的通訊


tcpdump ip host 210.27.48.1 and 210.27.48.2

210.27.48.1除了和210.27.48.2之外的主機之間的通訊


tcpdump ip host 210.27.48.1 and ! 210.27.48.2

稍微詳細點的例子


tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

       (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個引數的位置,用來過濾資料包的型別

       (2)-i eth1 : 只抓經過介面eth1的包

       (3)-t : 不顯示時間戳

       (4)-s 0 : 抓取資料包時預設抓取長度為68位元組。加上-S 0 後可以抓到完整的資料包

       (5)-c 100 : 只抓取100個資料包

       (6)dst port ! 22 : 不抓取目標埠是22的資料包

       (7)src net 192.168.1.0/24 : 資料包的源網路地址為192.168.1.0/24

       (8)-w ./target.cap : 儲存成cap檔案,方便用ethereal(即wireshark)分析

抓http包

TODO

限制抓包的數量

如下,抓到1000個包後,自動退出


tcpdump -c 1000

儲存到本地

備註:tcpdump預設會將輸出寫到緩衝區,只有緩衝區內容達到一定的大小,或者tcpdump退出時,才會將輸出寫到本地磁碟


tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap

也可以加上-U強制立即寫到本地磁碟(一般不建議,效能相對較差)

實戰例子

先看下面一個比較常見的部署方式,在伺服器上部署了nodejs server,監聽3000埠。nginx反向代理監聽80埠,並將請求轉發給nodejs server(127.0.0.1:3000)。

瀏覽器 -> nginx反向代理 -> nodejs server

問題:假設使用者(183.14.132.117)訪問瀏覽器,發現請求沒有返回,該怎麼排查呢?

步驟一:檢視請求是否到達nodejs server -> 可通過日誌檢視。

步驟二:檢視nginx是否將請求轉發給nodejs server。


tcpdump port 8383

這時你會發現沒有任何輸出,即使nodejs server已經收到了請求。因為nginx轉發到的地址是127.0.0.1,用的不是預設的interface,此時需要顯示指定interface


tcpdump port 8383 -i lo

備註:配置nginx,讓nginx帶上請求側的host,不然nodejs server無法獲取 src host,也就是說,下面的監聽是無效的,因為此時對於nodejs server來說,src host 都是 127.0.0.1


tcpdump port 8383 -i lo and src host 183.14.132.117

步驟三:檢視請求是否達到伺服器


tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117

總結

以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對指令碼之家的支援。

您可能感興趣的文章:

Linux tcpdump命令的用法詳細解析linux使用tcpdump命令監視指定網路資料包的方法Linux tcpdump操作命令詳解Linux tcpdump命令詳解大全Linux中tcpdump命令例項詳解