tcpdump抓包与iptables过滤的关系

最新推荐文章于 2024-07-10 16:21:31 发布
最新推荐文章于 2024-07-10 16:21:31 发布
阅读量690 收藏 1
点赞数 1
文章标签: tcpdump udp 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kakaweb/article/details/126067535
版权

近期生产环境出现故障,背景如下:

我们使用一个udp server用于接收上报监控信息,写入下游监控平台。

某天,udp server向下游写入的数据量骤减,发现部分监控信息缺失,怀疑是上报侧出问题。

我们进行了如下步骤的排查:

  1. 在上报侧使用tcpdump抓取发送至对应端口的udp数据包,数据格式和上报频率正常
  2. 在udp server所在服务器使用tcpdump抓取接收到的udp数据包,发现数据格式和数据量正常,证明上报数据已正确抵达接收端,排除上报sdk的异常
  3. 在udp server应用内部打印接收到的数据,发现数据缺失,说明udp数据包正常到达了网卡,但是没有被应用接收到
  4. 查看所在server的iptable配置,发现缺少了对于上报sdk所在网段的accept配置

经过搜索,我们可以了解到,对于IN侧的数据,处理顺序是tcpdump -> iptable,所以可以确认在iptable侧被拦截。

参考:

https://superuser.com/questions/925286/does-tcpdump-bypass-iptables

firewall - Will tcpdump see packets that are being dropped by iptables? - Server Fault

kakaweb
关注
tcpdump抓包并进行SYN洪水攻击及防御
afei001
03-09 1208
tcpdump抓包 [root@localhost ~]# yum -y install tcpdump #没有该工具先安装 tcpdump参数解释: -A #以ASCII打印每个数据包; -b #以ASDOT表示法表示BGP数据包中的AS号; -B,--buffer-size #设置缓冲区大小,单位:Ki...
网络流量分析工具TCPDUMP
bjgaocp的博客
09-19 941
Tcpdump它依赖的是libpcap库,libpcap使用的是一种称为设备层的包接口技术。使用这种技术,应用程序可以直接读写内核驱动层面的数据,而不经过完整的Linux网络协议栈. tcpdumpiptables关系 如果一种输入的网络通信被iptables给禁止了,那么tcpdump开可以抓取到吗? 答案是肯定的,tcpdump直接从网络驱动层面抓取输入的数据,不经过任何lin...
使用iptables进行TCP数据包过滤
智识帮的博客
01-17 5064
在Linux系统内核空间中,有面向网络的防火墙实现。这个防火墙是由软件实现的,是逻辑上的防火墙。用户可以设置某些的“安全设定”,配置到这个网络防火墙的“安全框架”中。这个“安全框架”就是netfilter。 netfilter是处于内核态的,netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 1. 网络地址转换(Network Address...
tcpdump能否抓到被iptable封禁的包?
CherishL_的专栏
06-17 534
当收包的时候,驱动中实现的igb_poll函数最终会调用到_netif_receive_skb_core,这个函数会在将包发送到协议栈函数(ip_recv、arp_recv等)之前,将包先发送到ptype_all抓包点。tcpdump工作在网络设备层,将包发送到IP层以前就能处理,netfilter工作在IP、ARP层,所以iptable封禁规则不影响tcpdump抓包tcpdump工作在设备层,是通过虚拟协议的方式工作的。netfilter主要是在IP、ARP等层实现的。
tcpdumpiptables
qq_22648091的博客
07-22 1103
iptables是通过分析数据包的包头信息,根据包头中的信息是否匹配到一定的规则,再对这些数据包进行放行、拒绝或丢弃等动作包头信息-源地址-目标地址-源端口-目标端口-源mac-目标mac-TCP的状态规则是预先定义好的,写在文件中匹配到规则是有顺序之分的,假如有多条规则,当放在文档中的最上方的规则具有被优先匹配权。比如,当第一条规则匹配后,就会执行第一个规则指定的处理方式。之后的规则就不会去被匹配了具体可以看下图。......
【树莓派不吃灰】网络Tcpdump & iptables
单片机菜鸟爱学习的博客
12-26 1087
Tcpdump & iptables
iptablestcpdump实战应用案例
weixin_33928467的博客
08-17 168
█ 企业办公网络常见拓扑架构 (如图缩小了,可双击看原图)  要求:                                                                 1.实现普通PC-C可经过Linux网关B,上因特网浏览网页。                                                                ...
linux 下 tcpdump 详解 后篇(自己实现抓包过滤
bie_niu1992的专栏
09-03 3225
一 概述 在了解了tcpdump的原理后,你有没有想过自己去实现抓包过滤? 可能你脑子里有个大概的思路,但是知道了理论知识,其实并不能代表你完全的理解。只要运用后,你才知道哪些点需要注意,之前没有考虑到的。
tcpdump 抓包并转发
09-04
### 回答1: 可以使用tcpdump命令进行抓包,然后使用iptables...以上就是使用TCPDump抓包并转发的基本过程。通过使用TCPDump,我们可以方便地监控网络流量,并在需要时进行数据包的转发,以实现网络数据的传输和分析。
tcpdumpiptables关系
jiayu的博客
03-07 1113
iptablestcpdump PREROUTING # 设置所有流量DROP iptables -t raw -A PREROUTING -j DROP # 设置截取流量 [root@localhost ~]# tcpdump -i ens33 -nvv tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes 07:30:30.928282 IP (tos 0x0, ttl 128, id
linux-tcpdump-iptables抓包
qq_45206551的博客
02-29 1024
文章目录iptables iptables
计算机网络--tcpdump和iptable设置、内核参数优化策略
最新发布
qq_40872103的博客
07-10 1125
tcpdump命令: 选项字段:过滤表达式: netstat命令 netstat -a 命令可以显⽰所有⽹络连接-t:TCP -u:UDP-l :哪些端口正在监听连接-p :显⽰与每个⽹络连接关联的进程ID和进程名 端口号 ⽤于查看指定端口的占⽤情况-a:所有socket-n:直接显⽰数字类型的IP和端口-p:显⽰正在使⽤连接的进程ID和进程名称 隔几秒执行几次,如果有上升的趋势,说明当前存在半连接队列溢出的现象。 ss命令:主要⽤于获取socket统计信息,它可以显⽰和 netstat 命令类似的输出
Linux之iptables详解及tcpdump
cici_new_1987的专栏
03-20 759
https://www.jianshu.com/p/ed001ae61c58 原文有几处写的不明白的地方加以重整: 作者一共在内核空间中选择了5个位置 这五个位置也被称为五个钩子函数(hook functions),也叫五个内置规则链 对应关系 PREROUTING(路由前) 进入/离开本机的外网接口 | 进入/离开本机的内网接口 INPUT(数据包流流入入...
tcpdump能抓到被iptables drop掉的包吗?
qd89zzx的博客
12-25 710
上一篇文章,在调查跨节点访问pod的时候用到了tcpdumpiptables两个工具。地址如下在调查的过程中,也引发了我的思考。iptables明明已经把一些包给drop丢弃掉了,tcpdump为什么还能抓到包?tcpdumpiptables相比谁离的网卡驱动更近一些?
添加iptables限制 tcpdump是否能抓到包
wzjudy的专栏
06-26 4426
添加iptables限制 tcpdump是否能抓到包 ,这要看添加的iptables限制条件如果添加的入站规则则可以抓得到包如果是添加出站规则抓不到包其顺序如下:进来的顺序 Wire -> NIC -> tcpdump -> netfilter/iptables 出去的顺序 iptables -> tcpdump -> NIC -> Wire...
iptables过滤防火墙TCP包
ldd909的专栏
07-19 2541
在终端中运行以下命令 iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP service iptables save  第一条命令是忽略RST包 第二条是保存iptables 启动及关闭iptables    设置iptables开机启动   chkconfig iptables on   chkconfig iptab
tcpdumpiptables(netfilter) 处理数据包的先后顺序
余情幽梦
09-19 1501
验证数据进站/出站时 iptablestcpdump 对其的处理顺序
防火墙基础知识--TCP Wrappers和IPtables两种机制
weixin_33813128的博客
06-01 156
认识防火墙 概念 作用 Linux上防火墙类别 封包过滤机制Netfilter 程序管控机制TCP Wrappers 一般网络布线 使用能力限制 TCP Wrappers程序管控 概念: 简单来说,TCP wrappers就是透过/etc/hosts.allow和/etc/hosts.deny这两个文件来管理,但并非所有软件都可以。 支持的服务 super da...
iptable和tcpdump的先后顺序
blog
07-18 729
tcpdump在Linux系统防火墙规则的外
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值