tcpdump 抓取 netlink 报文

最新推荐文章于 2022-08-15 09:00:00 发布
最新推荐文章于 2022-08-15 09:00:00 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: Linux network 文章标签: netlink tcpdump 抓取netlink报文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/108879156
版权
Linux 同时被 2 个专栏收录
142 篇文章 13 订阅
订阅专栏
network
23 篇文章 1 订阅
订阅专栏

问题描述

dmesg 中不断的打印如下告警:

netlink: 4 byptes leftover after parsing attributes in process `server'.

网上搜索了下,发现这个问题应该是我们的程序向内核发送 netlink 消息的时候,传递的消息长度参数不正确。

搜索了下代码,有很多地方都调用了向内核发送 netlink 消息的代码,需要定位到具体是哪一个 socket 发的消息有问题。

定位过程

在上面的基础上,开始进一步的定位分析。主要做了如下尝试:

  1. 查看程序 socket fd 文件描述符信息
    没有获取到相关的信息
  2. lsof -p xx
     没有查看到是哪个 netlink socket
  3. strace -p xx
    strace 存在问题,strace 上去后没有任何输出,等了几分钟仍然没有任何输出
  4. gdb -p
    info os sockets 也不能看到 netlink socket

在上面的尝试中,strace 应该能够很快定位到问题,奈何我们用的 strace 存在问题,不能追踪到程序的系统调用。在这种情况下,我觉得也许可以抓取 netlink 报文来获取一些输入信息。

如何抓取 netlink 报文?

之前有用过 tcpdump 抓取普通接口的报文,而 netlink 报文却没有尝试抓取过。网上搜索了下,发现具体的操作也非常简单,主要过程有如下步骤:

  1. modprobe nlmon
  2. ip link add nlmon0 type nlmon
  3. ip link set dev nlmon0 up
  4. tcpdump -i nlmon0 -w netlinik.pcap

这里实际上使用了一个 nlmon 驱动模块,这个 nlmon 驱动模块会注册一个 netlink tap 口,用户态向内核发送 netlink 消息、内核向用户态发送 netlink 消息,报文都会经过这个 tap 口。

操作示例

具体的操作示例如下:

[longyu@debian-10:11:38:39] ~ $ sudo modprobe nlmon
[sudo] longyu 的密码:
[longyu@debian-10:11:38:45] ~ $ sudo ip link add nlmon0 type nlmon
[longyu@debian-10:11:39:07] ~ $ sudo ip link set dev nlmon0 up
[longyu@debian-10:11:39:12] ~ $ sudo tcpdump -i nlmon0 -w netlink.pcap
tcpdump: listening on nlmon0, link-type NETLINK (Linux netlink), capture size 262144 bytes
^C34 packets captured
37 packets received by filter
0 packets dropped by kernel

这里需要注意的是 tcpdump 一般不支持直接将抓取到的 netlink 报文输出到终端的功能,这里我将它写入到 pcap 文件中,这个文件可以使用 wireshark 来打开。

使用 wireshark 打开上面抓取到的 netlink 报文,可以看到 wireshark 能够解析 netlink 报文的字段,截图如下:

在这里插入图片描述
这里解析的这个包是于获取网络接口信息控制的,具体的字段信息在本文中就不进行解释了。

longyu_wlz
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux: netlink: 总结,调试方法,工具
mzhan017的博客
03-04 873
文章目录说明strace无线专用普通工具需要打开这个config 说明 怎么调试netlink工作的方式,及确定kernel返回数据是否正确,都需要一套机制来调试。 https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=e4fc408e0e99fd2e009c8b3702d9637f5554fd5c strace strace 可以用了查看系统调用,及返回值,不过所有的数据都很原始,比较乱。 无线专用 iw $
基于NETLINK IPC机制的进程间通信调试
dyllanzhou1979的博客
07-04 1274
对基于NETLINK的应用来说, 我们需要一种方式能够用来查看应用与内核之间通信的命令和事件目前内核已经实现了netlink监控的内核模块,基于此内核模块,我们可以使用传统的网络协议抓包方式来获取NETLINK相关的命令和事件1)打开内核NETLINK监控模块功能 CONFIG_NLMON=m //以模块的方式打开2)使用ip 命令创建nlmon网口  #ip link add nlmon0 ty...
使用 strace、tcpdump、nlmon、wireshark 探索 ethtool netlink 框架的原理
龙瑜的博客
08-15 678
在ethtool 的工作原理这篇文章中我描述了 ethtool 使用 ioctl 获取信息的流程,最近却发现新版本内核与 ethtool 命令已经支持通过 netlink 来交互,又刷新了认知,本文通过使用现有的一些工具来探索此交互的细节。...
使用 nlmon 驱动抓取 netlink 报文的原理
龙瑜的博客
09-30 6099
前言 在 如何抓取 netlink 报文 这篇博客中,我描述了使用 nlmon 驱动创建虚拟 tap 口抓取 netlink 报文的过程,在这篇文章中,我探讨下这一过程背后的原理。 nlmon 驱动 nlmon 驱动源码位于内核源码树中 drivers/net/ 目录中,由单个源文件——nlmon.c 组成,其代码长度只有 150 多行。 与普通的驱动代码一样,它也有一个初始化与解初始化函数,这两个函数分别实现的功能是在内核中注册一个 rtnl_link_ops 结构,解除注册的 rtnl_link_ops
nlmon 驱动只能抓取部分 netlink 报文的原因
龙瑜的博客
10-06 444
static bool netlink_filter_tap(const struct sk_buff *skb) { struct sock *sk = skb->sk; /* We take the more conservative approach and * whitelist socket protocols that may pass. */ switch (sk->sk_protocol) { case NETLINK_ROUTE: case NETLINK_
用户态 tcpdump 如何实现抓到内核网络包的?
RToax
09-11 552
用户态 tcpdump 如何实现抓到内核网络包的?运行在用户态的程序 tcpdump 是如何实现抓到内核态的包的呢?https://mp.weixin.qq.com/s/ZX8Jluh-RgJXcVh3OvycRQ 目录 一、网络包接收过程 找到 tcpdump 抓包点 再找 netfilter 过滤点 二、网络包发送过程 找到 netfilter 过滤点 找到 tcpdump 抓包点 三、TCPDUMP 启动 四、总结 大家好,我是飞哥! 今天聊聊大家工作中经常用到的 tcpdump
利用netfilter抓包(二)----------抓包函数的实现
lw_yang的博客
09-29 2465
本篇文章使用netfilter实现抓包并进行简单数据包的解析 eth_hdr, ip_hdr,tcp_hdr分别是用过skb取以太网头部,ip头部,tcp头部 ntohs将网络字节序转换为主机字节序 由于内核中没有inet_ntoa函数,所以自己写了个函数将int的ip地址转换为点分十进制格式的ip地址 先转换为主机字节序ntohl(iphdr->daddr),然后将int类型的ip地址转...
网络报文抓取
12-18
1. **数据包捕获原理**:网络报文抓取工具,如Wireshark、tcpdump或smsniff,工作原理通常是利用网络驱动程序的原始套接字接口,直接访问网络层的数据,而不经过传输层(如TCP/UDP)或应用层。这样可以捕获到所有...
tcpdump抓取工具和使用说明
03-26
tcpdump是一款强大的网络数据包分析工具,广泛应用于各种操作系统,包括Linux、Unix和部分支持命令行接口的Android设备。它能够实时捕获网络上的数据包,并进行解析和显示,是网络诊断、性能评估和安全审计的重要...
87-如何使用tcpdump分析网络报文.mp4
最新发布
10-11
Web协议详解与抓包实战
抓取的HTTPS数据包(新)
09-12
请求的url:https://blog.qihooyun.cn/ 响应内容:https-test 方便自己以后查看,不必每次都重新抓取一个包了。 Server端设置了keep-alive为65秒。
tcpdump脚本,用来实时抓取ip log
07-23
tcpdump 脚本下载
netlink 学习笔记 3.8.13内核
wangpengqi的专栏
08-15 6253
网上有很多netlink的教程,但多针对2.6.*的内核,3.8.13内核的netlink API做了很多改动,但总体上差不多 学习netlink除了看别人的教程,感觉要写出个能跑的程序还得自己去读内核代码,就比如netlink_kernel_create这个函数,各版本间有很大不同,如2.6.18和2.6.34都不同,教程上的代码只能作参考 下面主要写一下3.8.13内核相比2.6.
71.free,ps,netstat,抓包工具
weixin_33796205的博客
11-12 96
free free命令可以显示当前系统未使用的和已使用的内存数目,还可以显示被内核使用的内存缓冲区。 命令语法 free(选项) 选项 -b:以Byte为单位显示内存使用情况; -k:以KB为单位显示内存使用情况; -m:以MB为单位显示内存使用情况; -o:不显示缓冲区调节列; -s<间隔秒数>:持续观察内存使用状况; -t:显示内存总和列...
linux正则表达式详解
owen-li
03-20 6220
1:什么是正则表达式: 简单的说,正则表达式就是处理字符串的方法,它是以行为单位进行字符串的处理行为,正则表达式通过一些特殊符号的辅助,可以让用户轻易达到查找,删除,替换某特定字符串的处理程序。 2:一些参数: grep [-A] [-B] [--color=auto] '收索字符串' filename -A :后面可加数字,为after的意思,除了列出该行以外,后续的n行也被列出来。
红帽子Linux6.5 X86_64 自动重启解决办法
热门推荐
LUMIS的博客
04-04 3万+
四台机器重启前的15分钟,都会有一个报错/usr/sbin/bmc-watchdog: fiid_obj_get: 'present_countdown_value': data not available  redhat对此有说明https://access.redhat.com/site/solutions/628963属于操作系统Bug,可尝试卸载freeipmi-bmc-watchdog
Generic Netlink内核实现分析(二):通信
My Linux Journey
05-01 1万+
前一篇博文中分析了Generic Netlink的消息结构及内核初始化流程,本文中通过一个示例程序来了解Generic Netlink Family的注册初始化以及内核和应用层之间的通信流程。
Linux使用tcpdump抓获取WIFI包
李迟的专栏
10-28 1万+
Linux上常用的抓包工具有tcpdump,还有大名鼎鼎的wireshark(图形界面)。它们都可以抓无线网络WIFI包。本文介绍用两者如何在Linux系统中抓包,假设系统已经正确安装无线网卡驱动,并能识别到wlan0设备。
linux 中 phy 驱动框架简析
龙瑜的博客
09-21 9157
描述文档在哪里? Documentation/net/phy.txt phy 的驱动代码 drivers/net/phy/* 设计 phy 驱动框架的目的 大部分网络设备由向 MAC 层提供接口的多个寄存器的集合组成,MAC 层通过 PHY 与物理链路连接。 phy自身要解决与对端网络链接时链路参数协商的功能,并且提供一个寄存器接口让驱动来确定当前选择的配置,同时驱动也能够配置那些 phy 运行的设置。 phy与网络设备有明确的区别,并符合寄存器的标准布局。常见的网卡设备设计中会在网卡驱动中集成 phy 的
tcpdump抓取的是什么类型的报文
07-14
tcpdump是一个常用的网络抓包工具...除了上述类型的报文tcpdump还可以抓取其他协议的报文,如ARP(地址解析协议)报文、DNS(域名系统)报文等。它可以通过过滤规则来选择性地捕获特定类型的报文,以满足用户的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值