使用tcpdump 观察DNS IP TCP通信过程

最新推荐文章于 2023-12-04 20:48:53 发布
最新推荐文章于 2023-12-04 20:48:53 发布
阅读量2.2k 收藏
点赞数
分类专栏: linux网络编程 文章标签: tcpdump tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WANGYONGZIXUE/article/details/122857647
版权

使用tcp查看DNS通信过程

(base) root@ubuntu:~# sudo tcpdump -i -X  ens33 -nt -s 5000 port domain
tcpdump: -X: No such device exists
(SIOCGIFHWADDR: No such device)
(base) root@ubuntu:~# sudo tcpdump -i ens33 -nt -s 5000 port domain
IP 192.168.0.107.46401 > 192.168.0.1.53: 1876+ [1au] A? www.baidu.com. (42)
IP 192.168.0.1.53 > 192.168.0.107.46401: 1876 3/0/1 CNAME www.a.shifen.com., A 180.101.49.12, A 180.101.49.11 (104)

命令行
使用port domain 来过滤数据包,表示只抓取使用domain服务的数据包
数据内容有两条
第一条是查询报文 源 > 目的
数值1876是DNS报文的标识,也出现在应答中。“+”表示启用递归查询,“A?”表示采用A类型查询方式 www.baidu.com查询中的域名 (42)DNS报文的长度
第二条是反馈DNS报文 3/0/1 表示报文中有三个应答资源记录,0个授权资源记录,1个额外信息记录。CNAME www.a.shifen.com., A 180.101.49.12, A 180.101.49.11 代表三个应答资源记录。CNAME 表示紧随其后的是机器别名,A紧随其后的是IP地址;104应答报文长度。

再开一个终端

(base) root@ubuntu:~# host -t A www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 180.101.49.11
www.a.shifen.com has address 180.101.49.12

host
参数
-t 告诉DNS协议使用哪种查询类型,A类型 通过机器的域名获得其IP地址
输出
1)www.baidu.com 是 www.a.shifen.com.的别名
2)两个IP地址

IP地址解析

(base) root@ubuntu:~# telnet 127.0.0.1
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Ubuntu 18.04.6 LTS
ubuntu login:

再开一个终端

(base) root@ubuntu:~# tcpdump -ntx -i lo
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 127.0.0.1.34552 > 127.0.0.1.23: Flags [S], seq 1745940003, win 65495, options [mss 65495,sackOK,TS val 210102712 ecr 0,nop,wscale 7], length 0
	0x0000:  4510 003c b6a2 4000 4006 8607 7f00 0001
	0x0010:  7f00 0001 86f8 0017 6810 ee23 0000 0000
	0x0020:  a002 ffd7 fe30 0000 0204 ffd7 0402 080a
	0x0030:  0c85 e9b8 0000 0000 0103 0307

telnet使用的端口号是23,而客户端使用的临时端口号34552

分析IP头部信息

十六进制十进制IP头部信息
0x44IP版本号
0x55头部长度为5个32位(20字节)
0x10TOS选项中最小延时服务开启
0x3c60数据总长度
0xb6a2数据包标识
0x4禁止分片标识
0x000分片偏移
0x4064TTL被设置为64
0x06协议字段为6,表示上层协议是TCP协议
0x8607IP头部校验和
0x7f00 0001源端IP地址 127.0.0.1
0x7f00 0001目的端IP地址 127.0.0.1

TCP头分析

十六进制十进制IP头部信息
0x86f834552源端口号
0x001723目的口号
0x6810ee2334552序号
0x000000000确认号
0xa10TCP头部长度为10个32位(40字节)
0x002设置SYNC标志
0xffd7接收通告窗口大小
0xfe30头部校验和
0x0000没有设置URG标识
0x0204最大报文段长度选项的kind值和length值
0xffd765495最大报文段长度
0x0402允许SACK选项
0x080a时间戳的kind值和length值
0x0c85e9b8210102712时间戳
0x0000 00000回显应答时间戳
0x01空操作选项
0x0303窗口扩大因子的Kind值和length值
0x077窗口扩大因子为7

IP分片

以太网的MTU是1500字节,因此携带的数据包最多1480(TP头部占用20)

用IP数据报封装1481长度的ICMP报文,需要分片。
1)除最后一个分片其他分片都将设置MF标识
2)ICMP头部只有一份
在这里插入图片描述
电脑1

root@ubuntu:~# ping 192.168.0.107 -s 1473
PING 192.168.0.107 (192.168.0.107) 1473(1501) bytes of data.
1481 bytes from 192.168.0.107: icmp_seq=1 ttl=64 time=0.244 ms
1481 bytes from 192.168.0.107: icmp_seq=2 ttl=64 time=0.170 ms

电脑2

root@ubuntu:~# tcpdump -ntv -i ens33 icmp
IP (tos 0x0, ttl 64, id 23248, offset 0, flags [+], proto ICMP (1), length 1500)
    192.168.0.103 > 192.168.0.107: ICMP echo request, id 2708, seq 1048, length 1480
IP (tos 0x0, ttl 64, id 23248, offset 1480, flags [none], proto ICMP (1), length 21)
    192.168.0.103 > 192.168.0.107: ip-proto-1

第一个分片 偏移 0 MF被设置1 所以flags[+] 长度1500
第二个分片 偏移1480 没有分片 所以flags[none] 长度21

TCP连接建立数据通信关闭过程

在这里插入图片描述

tcpdump详解&实战
my的博客
05-03 2295
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IPTCP、UDP和ICMP协议相关的统计数据...
linux查看某个进程ip,[相当有用]Linux下用tcpdump查看某进程请求某个IP的端口情况。...
weixin_31199559的博客
04-28 1570
[相当有用]Linux下用tcpdump查看某进程请求某个IP的端口情况。作者: 向东博客  更新时间:2016-08-19 15:17:31  原文链接杨永(杨永) 08-19 15:14:56tcpdump -vnn host要挂载服务器的IP杨永(杨永) 08-19 15:15:07tcpdump -vnn host 192.168.151.201杨永(杨永) 08-19 15:17:0...
tcpdump显示IP
salman_tan的博客
01-17 7125
TCPDUMP显示IP TCPDUMP的时候没有显示IP,现象如下: 10:58:05.494626 IP promote.cache-dns.local.50962 > promote.cache-dns.local.51101: UDP, length 206 10:58:06.494650 IP promote.cache-dns.local.50962 > promote.ca...
linux抓包查看请求接口源ip,Linux程序调试之网络抓包(tcpdump/ethereal/iptraf/)
weixin_30974905的博客
05-11 1105
一、tcpdump使用:tcpdump host 172.16.29.40 and port 4600 -X -s 500tcpdump采用命令行方式,它的命令格式为:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]1. ...
1.6.3 使用tcpdump观察DNS通信过程
Howl_1的博客
07-14 441
使用tcpdump观察DNS通信过程前言DNS工作原理linux下访问DNS服务实验开始数据报信息 前言 本篇文章为笔者的读书笔记,未经允许请勿转载。如果对你有帮助记得点个赞(●’◡’●) 本次实验是linux高性能服务器编程的第二个实验,难度不大,巩固tcpdump的一些常用知识。 DNS工作原理 我们通常使用机器的域名来访问这台机器,而不是直接使用IP地址。域名转换成IP地址需要使用域名查询服务。域名查询服务有很多种实现方式,比如NIS(Network Information Service,
使用tcpdump解析TCP/UDP网络通信日志
- 分析过程中,可以针对 TCP 连接的建立、数据传输、连接终止的过程进行学习。 - 对于 UDP,可以分析数据包的发送和接收,以及因为其无连接特性可能遇到的丢包或重复问题。 结合以上知识点,我们可以得出结论:...
tcp连接转储tcpdump
11-13
TCP连接转储,通常指的是使用tcpdump工具对网络通信数据进行捕获和分析的过程tcpdump是一个强大的网络分析工具,广泛应用于排查TCP连接中的各种问题,例如连接建立、数据传输和连接关闭等环节可能出现的问题。它能...
深入解析ARP、DNS、ICMP、IPTCP、UDP协议及其报文格式
协议分析涉及到计算机网络的多个层次,其中ARP、DNS、ICMP、IPTCP、UDP是网络通信中最核心的几个协议。下面将详细介绍这些协议的基本概念、工作方式以及它们之间的关系。 ### ARP协议分析 **地址解析协议(ARP)...
使用tcpdump抓取TCP数据包。
最新发布
11-04
使用`tcpdump`抓取TCP数据包,通常需要在命令行中输入以下指令: ```bash tcpdump -i [interface] -n -s 0 -t -vv 'tcp' ``` 参数说明: - `-i [interface]`: 将 `[interface]` 替换为你想要监听的网络接口名称,...
tcpdump,端口镜像 过滤 DNS流量 协议。traffic 。dump
韩梦飞沙_韩亚飞
03-13 4718
tcpdump监听数据为了看清楚DNS通信过程,下面我们将从主机1:192.168.0.141上运行host命令以查询主机www.jd.com对应的IP地址,并使用tcpdump抓取这一过程中LAN上传输的以太网帧。具体的操作过程如下:# tcpdump -i eth0 -nt -s 500 port domain然后在新开一个命令行窗口,另外一个终端中输入下面的命令:#host-t A www...
tcpdump好用的抓包工具
03-22
linux版,对tcpdump进行在开发,抓到的包不用分析包的工具分析,直接的文本文件,很方便,只从有的这个工具我不用tcpdump了,太麻烦了,把程序放到linux目录, 增加执行权限就可以使用了 如放到/home目录 # cp /home # chmod +x dhttp 下面是这个命令的参数,简单实用。 dhttp -c -h -l -n -p <local_port> -i <interface> host ---------- argument ------------ c disable dump content to console, default=enable h only dump header, default=disable i net interface, default=eth1 l enable dump content to log file, default=disable n new log file, default=disable p local port, default=80 host sniff host ipaddress
TCPDUMP抓包明确显示IP地址和端口号
刘元林的博客
12-04 7136
经常使用tcpdump进行抓包的同学可以忽略了,这篇偏于使用扫盲;首先,tcpdump抓包目的IP显示为hostname,如果端口是知名端口,显示为协议名而不是端口号。这种默认其实略有问题的:如果我们使用默认的hostname:localhost.localdomain,那么很容易误认为是本地回环地址请求:一个远程IP访问了本地回环地址,这就很怪;还是显示IP地址爽利:IPv4还是IPv6也是一目了然。那么怎么明确显示IP地址和端口号呢?
使用tcpdump观察DNS通信过程
m0_51551385的博客
04-07 2768
1、实验概述 在Ubuntu上用host命令通过DNS协议查询www.baidu.com的IP地址。同时,使用tcpdump抓取数据包,并观察结果。 2、实验过程 首先,在一个终端上输入如下命令: sudo tcpdump -nt -s 500 port domain -s 500表示每个数据包的大小为500字节 使用port domain表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。 然后再开一个新的终端,输入如下命令: host -t A www.baidu.com
tcpdump 命令
ajax_beijing_java的博客
09-11 1万+
TCPDUMP是一款非常强大的网络流量分析工具,通过合理使用指定IP和端口功能,我们可以更加精确地抓取和分析网络数据包。相信通过本篇文章的介绍,读者已经掌握了TCPDUMP指定IP和端口的基本用法,并能够灵活地运用到实际的网络流量分析中。
使用tcpdump查看DNS信息
weixin_34122548的博客
10-11 2813
tcpdump观察域名解析过程。首先,在终端输入:tcpdump port 53 ,过滤DNS端口的报文。然后另外打开一个终端:ping 一个网站,我ping的是: ping www.17173.comtcpdump抓包如下:09:17:59.658394 IP datou97-Lenovo.local.55968 > es.sia.a...
深入医学图像分析综述
weixin_44712574的博客
11-05 586
深入医学图像分析 Altaf F , Islam S M S , Akhtar N , et al. Going Deep in Medical Image Analysis: Concepts, Methods, Challenges and Future Directions[J]. IEEE Access, 2019. 医学图像分析的深度学习方法 检测/定位,分割,配准,分类 深入医学图像分析的挑战 缺乏适当标注的数据:可以认为,深度学习与其他机器学习技术的唯一区别在于它能够模拟极其复杂的数学
【Shell 命令集合 网络通讯 】Linux 网络抓包工具 tcpdump命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-27 1442
tcpdump是一个网络抓包工具,可以在Linux系统上进行网络数据包的捕获和分析。它能够监听网络接口,抓取经过该接口的数据包,并将其以人类可读的形式展示出来。
tcpdump 详细使用指南(请尽情食用)
叮当猫的喵i
09-06 4万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
tcpdump命令详解
热门推荐
wj31932的博客
06-05 12万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

为了维护世界和平_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值