當前位置:
首頁 > 知識 > Linux基礎急速入門:用 TCPDUMP 抓包

Linux基礎急速入門:用 TCPDUMP 抓包

知識 01-31


作者: 程序猿小卡_casper


鏈接:https://juejin.im/post/5a421fd56fb9a0450f223253


簡介

網路數據包截獲分析工具。支持針對網路層、協議、主機、網路或埠的過濾。並提供and、or、not等邏輯語句幫助去除無用的信息。


tcpdump

 - dump traffic 

on

 a network

例子


不指定任何參數



監聽第一塊網卡上經過的數據包。主機上可能有不止一塊網卡,所以經常需要指定網卡。


tcpdump



監聽特定網卡


tcpdump

 -i en0


監聽特定主機



例子:監聽本機跟主機182.254.38.55之間往來的通信包。



備註:出、入的包都會被監聽。


tcpdump

 

host

 182

.254.38.55



特定來源、目標地址的通信


特定來源


tcpdump

 src host hostname


特定目標地址


tcpdump

 dst host hostname


如果不指定src跟dst,那麼來源 或者目標 是hostname的通信都會被監聽


tcpdump

 host hostname


特定埠


tcpdump

 port 

3000



監聽TCP/UDP



伺服器上不同服務分別用了TCP、UDP作為傳輸層,假如只想監聽TCP的數據包


tcpdump

 tcp


來源主機+埠+TCP



監聽來自主機123.207.116.169在埠22上的TCP數據包


tcpdump

 

tcp

 

port

 22 

and

 

src

 

host

 123

.207.116.169



監聽特定主機之間的通信


tcpdump

 

ip

 

host

 210

.27.48.1

 

and

 210

.27.48.2



210.27.48.1除了和210.27.48.2之外的主機之間的通信


tcpdump

 

ip

 

host

 210

.27.48.1

 

and

 ! 210

.27.48.2



稍微詳細點的例子


tcpdump tcp -i eth1 -t -s 

0

 -c 

100

 

and

 dst port ! 

22

 

and

 src net 

192.168.1.0

/

24

 -w ./target.cap



(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型 (2)-i eth1 : 只抓經過介面eth1的包 (3)-t : 不顯示時間戳 (4)-s 0 : 抓取數據包時默認抓取長度為68位元組。加上-S 0 後可以抓到完整的數據包 (5)-c 100 : 只抓取100個數據包 (6)dst port ! 22 : 不抓取目標埠是22的數據包 (7)src net 192.168.1.0/24 : 數據包的源網路地址為192.168.1.0/24 (8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析



抓http包

TODO



限制抓包的數量



如下,抓到1000個包後,自動退出


tcpdump

 -c 

1000



保存到本地



備註:tcpdump默認會將輸出寫到緩衝區,只有緩衝區內容達到一定的大小,或者tcpdump退出時,才會將輸出寫到本地磁碟


tcpdump

 -n -vvv -c 

1000

 -w /tmp/tcpdump_save.cap


也可以加上-U強制立即寫到本地磁碟(一般不建議,性能相對較差)


實戰例子


先看下面一個比較常見的部署方式,在伺服器上部署了nodejs server,監聽3000埠。nginx反向代理監聽80埠,並將請求轉發給nodejs server(127.0.0.1:3000)。




瀏覽器 -> nginx反向代理 -> nodejs server



問題:假設用戶(183.14.132.117)訪問瀏覽器,發現請求沒有返回,該怎麼排查呢?



步驟一:查看請求是否到達nodejs server -> 可通過日誌查看。


步驟二:查看nginx是否將請求轉發給nodejs server。


tcpdump

 port 

8383

 


這時你會發現沒有任何輸出,即使nodejs server已經收到了請求。因為nginx轉發到的地址是127.0.0.1,用的不是默認的interface,此時需要顯示指定interface


tcpdump

 port 

8383

 -i lo


備註:配置nginx,讓nginx帶上請求側的host,不然nodejs server無法獲取 src host,也就是說,下面的監聽是無效的,因為此時對於nodejs server來說,src host 都是 127.0.0.1


tcpdump

 

port

 8383 

-i

 

lo

 

and

 

src

 

host

 183

.14.132.117



步驟三:查看請求是否達到伺服器


tcpdump

 

-n

 

tcp

 

port

 8383 

-i

 

lo

 

and

 

src

 

host

 183

.14.132.117


相關鏈接



tcpdump 很詳細的

http://blog.chinaunix.net/uid-11242066-id-4084382.html


Linux tcpdump命令詳解 

http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 


Tcpdump usage examples(推薦)

http://www.rationallyparanoid.com/articles/tcpdump.html


使用TCPDUMP抓取HTTP狀態頭信息

http://blog.sina.com.cn/s/blog_7475811f0101f6j5.html



●編號690,輸入編號直達本文



●輸入m獲取文章

目錄

推薦↓↓↓



運維


更多推薦

25個技術類公眾微信


涵蓋:程序人生、演算法與數據結構、黑客技術與網路安全、大數據技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 Linux學習 的精彩文章:

Linux read的用法
Linux中的文件查找技巧

TAG:Linux學習 |