zoukankan      html  css  js  c++  java
  • tcpdump常用命令及wireshark异常分析

    下面的例子全是以抓取eth0接口为例,如果不加”-i eth0”是表示抓取第一块网卡。
    首先安装tcpdump包:yum install -y tcpdump
     
     1、抓取包含172.16.1.122的数据包
    # tcpdump -i eth0 -vnn host 172.16.1.122
     
    2、抓取包含172.16.1.0/24网段的数据包
    # tcpdump -i eth0 -vnn net 172.16.1.0/24
     
    3、抓取包含端口22的数据包
    # tcpdump -i eth0 -vnn port 22
     
    4、抓取udp协议的数据包
    # tcpdump -i eth0 -vnn  udp
     
    5、抓取icmp协议的数据包
    # tcpdump -i eth0 -vnn icmp
     
    6、抓取arp协议的数据包
    # tcpdump -i eth0 -vnn arp
     
    7、抓取ip协议的数据包
    # tcpdump -i eth0 -vnn ip
     
    8、抓取源ip是172.16.1.122数据包。
    # tcpdump -i eth0 -vnn src host 172.16.1.122
     
    9、抓取目的ip是172.16.1.122数据包
    # tcpdump -i eth0 -vnn dst host 172.16.1.122
     
    10、抓取源端口是22的数据包
    # tcpdump -i eth0 -vnn src port 22
     
    11、抓取源ip是172.16.1.253且目的ip是22的数据包
    # tcpdump -i eth0 -vnn src host 172.16.1.253 and dst port 22
                   
    12、抓取源ip是172.16.1.122或者包含端口是22的数据包
    # tcpdump -i eth0 -vnn src host 172.16.1.122 or port 22
     
    13、抓取源ip是172.16.1.122且端口不是22的数据包
    [root@ ftp]# tcpdump -i eth0 -vnn src host 172.16.1.122 and not port 22
     
    14、抓取源ip是172.16.1.2且目的端口是22,或源ip是172.16.1.65且目的端口是80的数据包。
    # tcpdump -i eth0 -vnn ( src host 172.16.1.2 and dst port 22 ) or   ( src host 172.16.1.65 and dst port 80 )
     
    15、抓取源ip是172.16.1.59且目的端口是22,或源ip是172.16.1.68且目的端口是80的数据包。
    # tcpdump -i  eth0 -vnn 'src host 172.16.1.59 and dst port 22' or  ' src host 172.16.1.68 and dst port 80 '
     
    16、把抓取的数据包记录存到/tmp/fill文件中,当抓取100个数据包后就退出程序。
    # tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100
     
    17、从/tmp/fill记录中读取tcp协议的数据包
    # tcpdump –i eth0 -vnn -r  /tmp/fil1 tcp
     
    18、从/tmp/fill记录中读取包含172.16.1.58的数据包
    # tcpdump –i eth0 -vnn -r  /tmp/fil1 host  172.16.1.58
     
     
    tcpdump抓包并保存成cap文件
    首选介绍一下tcpdump的常用参数
    tcpdump采用命令行方式,它的命令格式为:
    tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
    [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
    [ -T 类型 ] [ -w 文件名 ] [表达式 ]
    1. tcpdump的选项介绍
    -a 将网络地址和广播地址转变成名字;
    -d 将匹配信息包的代码以人们能够理解的汇编格式给出;
    -dd 将匹配信息包的代码以c语言程序段的格式给出;
    -ddd 将匹配信息包的代码以十进制的形式给出;
    -e 在输出行打印出数据链路层的头部信息;
    -f 将外部的Internet地址以数字的形式打印出来;
    -l 使标准输出变为缓冲行形式;
    -n 不把网络地址转换成名字;
    -t 在输出的每一行不打印时间戳;
    -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
    -vv 输出详细的报文信息;
    -c 在收到指定的包的数目后,tcpdump就会停止;
    -F 从指定的文件中读取表达式,忽略其它的表达式;
    -i 指定监听的网络接口;
    -r 从指定的文件中读取包(这些包一般通过-w选项产生);
    -w 直接将包写入文件中,并不分析和打印出来;
    -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程
    调用)和snmp(简单网络管理协议;)
    当网络出现故障时,由于直接用tcpdump抓包分析有点困难,而且当网络中数据比较多时更不容易分析,使用tcpdump的-w参数+ethereal分析会很好的解决这个问题,具体参数如下:
    tcpdump -i eth1 -c 2000 -w eth1.cap
    -i eth1 只抓eth1口的数据
    -c 2000代表数据包的个数,也就是只抓2000个数据包
    -w eth1.cap 保存成cap文件,方便用ethereal分析
    抓完数据包后ftp到你的FTP服务器,put一下,然后用ethereal软件打开就可以很直观的分析了
    注:有时将.cap文件上传到FTP服务器后,发现用ethreal打开时提示数据包大于65535个,这是你在ftp上传或者下载的时候没有用bin的模式上传的原因。
    另:有的网站提示在tcpdump中用-s 0命令,例如 tcpdump -i eth1 -c 2000 -s0 -w eth1.cap,可实际运行该命令时系统却提示无效的参数,去掉-s 0参数即可
    例子:
    [root@localhost cdr]#tcpdump -i eth0 -t tcp -s 60000 -w diaoxian.cap
    [root@localhost cdr]# tcpdump host 58.240.72.195 -s 60000 -w x.cap
    
    tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
    抓eth1的包 
    tcpdump -i eth1 -w /tmp/xxx.cap 
    抓 192.168.1.123的包 
    tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 
    抓192.168.1.123的80端口的包 
    tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 
    抓192.168.1.123的icmp的包 
    tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap 
    抓192.168.1.123的80端口和110和25以外的其他端口的包 
    tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap 
    抓vlan 1的包 
    tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap 
    抓pppoe的密码 
    tcpdump -i eth1 pppoes -w /tmp/xxx.cap 
    以100m大小分割保存文件, 超过100m另开一个文件 -C 100m 
    抓10000个包后退出 -c 10000 
    后台抓包, 控制台退出也不会影响: 
    nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 
    抓下来的文件可以直接用ethereal 或者wireshark打开。 wireshark就是新版的ethereal,程序换名了
     
    sudo tcpdump -s0 -A host 192.168.234.249
    sudo tcpdump -i eth0 -vnn port 8100
     
     

    wireshark异常数据,wireshark异常数据

    [TCP Spurious Retransmission]

    - TCP虚假重传

    发送端认为发送的package已经丢失了,所以重传了,尽管此时接收端已经发送了对这些包的确认。

    指实际上并没有超时,但看起来超时了,导致虚假超时重传的原因有很多种:

    (1)对于部分移动网络,当网络发生切换时会导致网络延时突增

    (2)当网络的可用带宽突然变小时,网络rtt会出现突增的情况,这会导致虚假超时重传

    (3)网络丢包(原始和重传的包都有可能丢包)会导致虚假重传超时。

    [Reassembly error, protocol TCP: New fragment overlaps old data (retransmission?)]

    -重新组装错误,协议TCP:新片段与旧数据重叠(重新传输?)

    [TCP Retransmission]

    - 超时引发的数据重传。

    我的另一篇文章《tcp retransmission原因解析

    [TCP Dup ACK xxx#y]

    - 重复应答seq=xxx的表示报文到哪个序号丢失,y表示第几次丢失。

    当package发生乱序或者丢失时,接收端会收到一些seq比期望值更大的package。
    每收到一次这种package就ack一次期望值,用以提醒发送方。

    [TCP Out-Of-Order]

    - 次序颠倒

    出现这个信息的原因就是因为数据在传输过程中顺序乱了,也就是后一个package的seq会小于前一个package的seq+len。

    [TCP Fast Retransmission]

    - 快速重传

    当发送发接收到3个或以上的[TCP Dup ACK],就意识到之前发的包可能丢了,于是快速重传package。

    [TCP Previous segment not captured]

    - 未捕获TCP先前的段,意思就是出现报文的丢失,报文没有捕捉到。

    tcp连接建立后,针对同一台主机的发包情况进行叙述。正常情况下,后一个package的seq等于前一个package的seq+len。而在实际传输过程中经常会产生数据丢失的问题,这种情况下,后一个Package的seq会大于前一个package的seq+len,实际的网络包的显示效果就是”TCP Previous segment not captured”。
    重点:later package’s seq > previous package’s seq + data len

    [TCP segment of a reassembled PDU]

    在用Wireshark抓包的时候,经常会看到TCP segment of a reassembled PDU,字面意思是要重组的协议数据单元(PDU:Protocol Data Unit)的TCP段。比如由多个数据包组成的HTTP协议的应答包,如下

    这里的分段是指:上层协议HTTP的应答由多个分段组成,每个分段都是TCP协议的。TCP本身没有分段的概念,它的sequence number和acknowledge number 是使TCP是基于流的协议的支撑,TCP segment of a reassembled PDU的出现是因为Wireshark分析了其上层的HTTP协议而给出的摘要,如果配置Wireshark不支持HTTP协议解析

    那么,同样的数据包就会变成下面的样子

    每个TCP数据包都是这条流中的自身完整的一部分,TCP segment应该表述为分段是TCP协议,而不应该是TCP分段。

    https://www.cnblogs.com/yinghao1991/p/7532889.html

    [TCP Keep-Alive]

    - 保持连接特性 socket 发起方发包

    [TCP Keep-Alive ACK]

    - 保持连接特性 socket 应答方发包

     
     

  • 相关阅读:
    【06】SQL语句之创建数据库
    【05】数据类型
    【02】SQL Server 配置管理器基本使用
    【01】连接到数据库引擎
    MySQL学习记录【02】常用数据类型
    MySQL学习记录【01】主键
    [转]九个Console命令,让js调试更简单
    HTML5中引入的关键特性
    [转]CSS hack大全&详解
    [转]IE8兼容Object.keys
  • 原文地址:https://www.cnblogs.com/Dev0ps/p/8267497.html
Copyright © 2011-2022 走看看