网络

1. 概述

   1. dump 文件导入导出
   2. wireshark 解析

2. 背景

   1. tcpdump 能看清的东西, 其实很有限
      1. 基本上只有 ip 层的内容
      2. 而且命令行上看, 很不方便
   2. 刚好隔壁 wireshark 可以帮忙

3. 环境

   1. os

      1. centos7

   2. docker-engine

      1. 19.03.12

   3. docker-compose

      1. 1.26.2

   4. image

      1. ubuntu
         1. 19.04. 环境

   5. wireshark

      1. 3.2.5

1. 思路

1. 概述

   1. 思路

2. 思路

   1. 用 tcpdump 产生 dump 文件
   2. 用 wireshark 读取

2. 准备

1. 概述
   1. 准备

1. compose

1. 之前的 docker-compose 环境, 懒得写了

2. ping

1. 宿主机向 docker 容器发起 ping

3. tcpdump

1. 宿主机抓包

3. dump 文件导出

1. 概述

   1. 抓包

2. 命令

   # 通常文件的格式, 是 cap
   > tcpdump -i <network_card> -c <size> host <host> -w <resultfile>
   

4. dump 文件导入

1. 概述

   1. 导入

2. 命令

   # 可以直接读取现成的 cap 文件
   > tcpdump -i <network_card> -c <size> host <host> -r <resultfile>
   

3. 问题

   1. 内容
      1. 抓取的内容, 在命令行上显示, 其实很略
      2. 如果交给 wireshark 处理, 可以看到更多细节

5. wireshark 使用

1. 概述

   1. wireshark 使用

2. 步骤

   1. 将 开始收集到的 .cap 文件, 拷贝到 wireshark 所在的机器
   2. 用 wireshark 打开即可

3. 其他

   1. 抓包时的参数
      1. -v, -vv, -vvv
         1. 对于抓包来说, 影响不大
      2. -n, -nn
         1. 对于抓包来说, 影响不大

ps

1. ref

   1. tcpdump 和wireshark的简单配合使用

2. 后续

   1. 我的虚拟机上, 网卡有点多

      1. ip 命令对我来说, 好像有点太大了
         1. 有空看看 ip 命令吧

   2. icmp

      1. 包抓下来了, 可以看看 协议 了
         1. 这个可能会拖得比较久, 因为对于协议来说, 我目前真的没什么好入口