来自 金沙澳门官网网址 2019-10-10 11:26 的文章
当前位置: 金沙澳门官网网址 > 金沙澳门官网网址 > 正文

抓包工具

环境:VMware-Workstation-12-Pro,Windows-10,CentOS-6.9-x86_64,Xshell5

主导介绍

tcpdump是Linux自带的抓包工具,能够详细察看Computer通讯中详细报文内容,要是读者熟知另一款
强劲的抓包工具wireshark,tcpdump相当于是wireshark的命令行版本。dump那几个单词有垃圾,
倒垃圾的情趣,在管理器斯洛伐克共和国(The Slovak Republic)语中的含义是转存。

tcpdump官网:
This is the official web site of tcpdump, a powerful command-line packet analyzer;

查看本机tcpdump的版本

[root@as4k html]# tcpdump --version  
tcpdump version 4.1-PRE-CVS_2017_03_21  

tcpdump的最新版本
Version: 4.9.2
Release Date: September 3, 2017

法定文书档案:
的教程,非常多大拿的博客都有借鉴此文的剧情。

那是何等鬼

TCPDUMP(8)                                                          TCPDUMP(8)  

NAME  
       tcpdump - dump traffic on a network  

SYNOPSIS  
       tcpdump [ -AdDefIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]  
               [ -C file_size ] [ -G rotate_seconds ] [ -F file ]  
               [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]  
               [ -Q|-P in|out|inout ]  
               [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]  
               [ -W filecount ]  
               [ -E spi@ipaddr algo:secret,...  ]  
               [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]  
               [ expression ]  

地方是tcpdump,man page里面包车型客车内容,oh my god!这么多参数,本文当然不容许逐个介绍下面的从头到尾的经过,
大家先间接通过有些简便的案例看看效果,然后交由一些左近参数的用法。

基本功案例

观望DNS深入分析情状

大家掌握,Linux系统要想符合规律访谈互连网,须要科学配置DNS剖析,未来咱们早已布署了阿里云的DNS
223.6.6.6,大家想看一下DNS分析是或不是常常,就可以使用tcpdump来抓取DNS包,企图大多少个xshell
窗口,遵照如下方式操作

步骤1 tcpdump -n -i any port 53

金沙澳门官网网址 1

尽量在root客商下利用tcpdump命令,-n意味着实际不是把IP地址解析成域名,-i金沙澳门官网网址 ,意味着抓取哪块网卡的通讯
数据包,any代表率性一块,port是点名要抓取数据包的端口,DNS服务办事在53端口上,推行完成之
后,我们切换来第三个窗口,举办步骤2

步骤2 ping -c3 baidu.com
-c3代表和ping次停下,这时候大家的Computer和百度发出的通讯,窗口1的tcpdump就能够监听到大家的通讯
多少,相当于所谓的抓包,切换成窗口1,看见的数额大致如下

金沙澳门官网网址 2

在上海体育场合中大家可见到地面192.168.56.11,端口42711历程向Ali云DNS服务器223.6.6.6,央浼告知
baidu.com的IP地址是怎么着?Ali云的DNS服务器成功给了大家回复,因而能够表明,大家的DNS工作
正常。

假若抓取的DNS数据包,看起来向上面那样:

金沙澳门官网网址 3

从上图可以见见,我们总共发起了一遍DNS查询需要,服务器才最后给我们回来了IP地址,那分明是不太符合规律的,
经过大家得以剖断,本次网络卡慢的由来,应该出在DNS解析上。

以上正是应用tcpdump抓包来轻易推断互联网通讯情况。

抓取一个TCP包

第一我们知道TCP二回握手分别是:ACK,SYN-ACK,ACK。上边大家就在Linux中简易搭建nginx服务器,
接下来利用tcpdump抓取tcp包看下。

设置nginx服务并运转

yum install nginx -y  
/etc/init.d/nginx start  

然后在windows浏览器中输入自个儿的IP地址,将会看出如下分界面

金沙澳门官网网址 4

在xshell中执行tcpdump -n -i eth0 port 80,eth0是小编方今网卡的称呼,然后在浏览器中刷新一下,
可以看出抓取到了之类内容

金沙澳门官网网址 5

能够看看,大家领悟的ACK,SYN-ACK,ACK一次握手的新闻都出现了,表达我们TCP连接成功创建了。

无须太过郁结于抓包细节,事实上tcp左券包涵相当多的开始和结果,不能够在此张开

tcpdump中最分布的多少个参数

-i 钦赐要抓取数据包的网卡名称

tcpdump -i eth0 # 抓取eth0网卡的数据包  

-c 钦赐抓取包的个数

tcpdump -i eth0 -c 10 # 只抓取10个包  

-w 把抓取到的数目寄放到文件中供以往分析

# tcpdump -i eth0 -c 10 -w my-packets.pcap  
# file my-packets.pcap   
my-packets.pcap: tcpdump capture file ....  

能够看来,大家保留的my-packets.pcap是一种奇特文件,直接运用vim是无力回天查看的,能够把
该文件得到windows下,使用wireshark查看,效果如下

金沙澳门官网网址 6

-n 不深入分析ip,默许会将ip剖析成域名
点名过滤端口(port)和主机名(host)

tcpdump -n -i eth0 port 80  
tcpdump -n -i eth0 host baidu.com  
tcpdump -n -i eth0 host baidu.com and port 80  

参谋资料

合法权威教程

卡通情势介绍tcpdump,相当有意思

本文由金沙澳门官网网址发布于金沙澳门官网网址,转载请注明出处:抓包工具

关键词: