Linux服务器端网络抓包和分析实战

yum install -y tcpdump

3. 执行命令ip addr查看网卡名，如下所示，我这里是ens33：

[root@localhost ~]# ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

link/ether 00:0c:29:6a:5f:93 brd ff:ff:ff:ff:ff:ff

inet 192.168.119.160/24 brd 192.168.119.255 scope global noprefixroute dynamic ens33

valid_lft 1358sec preferred_lft 1358sec

inet6 fe80::1646:1c58:ee87:bc13/64 scope link noprefixroute

valid_lft forever preferred_lft forever

4. 执行以下命令即可开始抓ens33网卡的包，并保存到名为weatherservice.cap的文件：

tcpdump tcp -i ens33 -w ./weatherservice.cap

5. 现在已经开始抓包了，我们打开浏览器发几次请求，以便能抓到weatherservice和wthrcdn.etouch.cn网站之间的请求响应，如下图，地址是：http://192.168.119.160:8080/get/上海

6. 返回ssh窗口，按下ctrl+c，结束抓包；

7. 抓包数据在文件weatherservice.cap中，将其下载到装有wireshar的windows机器上；

8. 打开wireshark，在"文件"->“打开”，选择weatherservice.cap，如下图：

9. 网卡ens33上的所有网络包都被抓到了，但很多都不是我们关心的，需要过滤，这里的过滤很简单：只保留http请求响应级即可，如下图，在红框位置输入"http"然后回车：

10. 如下图红框所示，编号为21的包就是weatherservice向wthrcdn.etouch.cn的请求，编号25的包则是wthrcdn.etouch.cn的响应(红框中的灰色箭头表示一对请求响应)：

11. 双击上图中的25号包，弹出的窗口即为wthrcdn.etouch.cn网站响应数据的详情，如下图，红框中的Content-encoding: gzip\r\n表示该响应的body启用了gzip压缩：

12. 有些朋友在使用springboot的RestTemplate访问wthrcdn.etouch.cn网站查询天气的时候，发现响应的数据打印出来为乱码，就是因为没有对gzip的内容做处理导致的，在本文中我们通过抓包发现了此问题的根本原因，而解决此问题的方法请参考《springboot应用查询城市天气》一文；

13. 既然内容是gzip压缩过的，在上图的窗口中就无法看到压缩前的真实内容了，为了看到压缩前的真实内容，请参照下面的步骤；

14. 关闭弹出窗口，回到wireshark的主窗口，在菜单上选择"文件"->“导出对象”->“HTTP…”，如下图：

15. 如下图，在弹出的窗口选中要查看的包，点击底部的"save"按钮，给要导出的文件起个名字(后缀是.html)，再点击"保存"

16. 用浏览器打开前面保存的response.html文件，即可见到整个body解压缩后的内容，如下图：