教你快速在linux上使用tcpdump抓包

最新推荐文章于 2024-05-12 08:52:10 发布
最新推荐文章于 2024-05-12 08:52:10 发布
阅读量840 收藏 14
点赞数 19
文章标签: linux tcpdump 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61230499/article/details/137709903
版权

背景

在遇到网络问题时,我们不确定到底在哪一步中断了,导致程序无法正常的收发数据。这个时候就需要逐个排查问题。排查网络问题就好比时排查下水管道哪里堵了一样。排查网络问题我们通常叫做抓包。

分析

所谓的抓包,即抓取网络数据包。实际上抓包就是监听网络流量。这个就好比在下水管道里每一个接头处打开排查,看看从源头放进去的水会不会到达当前的接头处,这样就可以确定这一段管道是否通畅。就这样,一节节的排查,最终就可以找到堵的地方。找到之后就在针对性的分析这一节的特征和配置,最终解决问题。

Linux的网络抓包工具叫做tcpdump。这个命令一般系统都安装了,所以可以直接使用。

下面是tcpdump的命令格式:

tcpdump version 4.99.1

libpcap version 1.10.1 (with TPACKET_V3)

OpenSSL 1.1.1m  14 Dec 2021

Usage: tcpdump [-AbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [--count]

        [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

        [ -i interface ] [ --immediate-mode ] [ -j tstamptype ]

        [ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ]

        [ -r file ] [ -s snaplen ] [ -T type ] [ --version ]

        [ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ]

        [ --time-stamp-precision precision ] [ --micro ] [ --nano ]

        [ -z postrotate-command ] [ -Z user ] [ expression ]

这里有很多参数,这里不展开讲。只那几个重点的参数来说明,分别是-i、host、port和-w。

-i interface,指的是接口,即网卡。网卡名称可以使用ifconfig 或 ip addr命令查询到:

这里的eth0是实际的网卡,而docker0则是虚拟网卡,都是网卡,都可以作为被抓包的参数。

使用下面的命令可以监听eth0网卡的流量:

tcpdump -i eth0

可以看到,开启监听后就看到了两条流量进到eth0网卡。持续观察会有大量的流量进来。这样说明这个网卡是在正常工作。

不过这里监听到的流量是所有进到eth0的流量。有时候我们在抓包时,会执行特定的动作来测试,比如ping或telnet。在大量的流量中很容易错过观察。所以最好有一个办法可以过滤IP和端口,这样就可以把不必要的流量排除掉,进而确认端口是否正常联通。

使用下面的命令可以实现tcpdump根据IP和端口过滤:

tcpdump -i eth0 host 要过滤出来的IP and port 要过滤的端口

例如:tcpdump -i eth0 host 103.144.218.22 and port 443

如果这个IP访问了443,且通过的是eth0进来的,那么监听就会打印日志。这样打印出来的就是都是这个IP的443端口的。可以用来分析这个IP的请求情况。如果有流量进来,说明网卡是可以正常接收流量的。如果服务没有接收到请求,那么就可能是网卡到服务的这一段有问题。

如果是部署的容器,则请求还要经过容器的网卡docker0进入到容器,再传递到服务程序。如果服务不能正常处理请求,在eth0可以正常接收到请求的情况下,则需要进一步排查docker0是否能够接收到请求。只需要把前面的eth0换成docker0即可。然后再在页面上请求一下就可以检测了。

依次类推,一直到服务程序。如果服务程序能够处理请求,则还要反向检测,即看看从服务响应从容器返回到宿主机,再从宿主机返回到客户端。这期间还会经过docker0,再到eth0,再返回客户端。一来一回,都要一步步的确认。

不过因为这些流量不直观,再加上流量很多,肉眼很难分析。这个时候就可以将流量日志导出到文件,再用wireshark流量分析工具来打开文件,软件会自动解析日志,这样看起来会更清晰。

此时使用-w参数,指定文件名即可。

tcpdump -i eth0 host 要过滤出来的IP and port 要过滤的端口 -w 1.dat

需要注意的是,1.dat的文件内容是二进制的,不是文本文件,所以直接打开是乱码。需要使用wireshark流量分析工具打开。这软件的具体使用,在这里就不展开了。

总结

网络抓包并没有多高大上,入门还是相当简单的。我们目前学会了基本的判断流量的有无、指定IP和端口的流量的有无,已经可以应对大部分的抓包需求了。至于更高级的,则需要学习网络知识,针对不通的协议,请求的交互是不同的,需要针对性的研究了。

来源: 教你快速在linux上使用tcpdump抓包-七秒鱼笔记

七秒鱼dh.yu7s.com
关注
  • 19
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux针对端口进行抓包,tcpdump抓包使用详解
weixin_31574891的博客
04-30 1万+
tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark等软件进行查看。1.针对特定网口抓包(-i选项)当我们不加任何选项执行tcpdump时,tcpdump将抓取通过所有网口的包;使用-i选项,我们可以在某个指定的网口抓包linux:/tmp/lx # tcpdump -i eth...
Linux 命令行中使用 tcpdump 抓包的一些功能
09-15
tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。接下来通过本文给大家介绍在 Linux 命令行中使用 tcpdump 抓包的一些常用功能,需要的朋友参考下吧
linux下如何使用 tcpdump 进行抓包详细
热门推荐
王炳明
06-30 4万+
今天要给大家介绍的一个 Unix 下的一个 网络数据采集分析工具,也就是我们常说的抓包工具。 与它功能类似的工具有 wireshark ,不同的是,wireshark 有图形化界面,而 tcpdump 则只有命令行。 由于我本人更习惯使用命令行的方式进行抓包,因此今天先跳过 wireshark,直接给大家介绍这个 tcpdump 神器。 这篇文章,我肝了好几天,借助于Linux 的 man 帮助命令,我把 tcpdump 的用法全部研究了个遍,才形成了本文,不夸张的说,应该可以算是中文里把 tcpdump.
Linux 使用tcpdump指令抓包(tcp/udp)
hzb1688007的专栏
02-04 724
Linux 使用tcpdump指令抓包(tcp/udp)
linux使用tcpdump抓包的方法:
qq_37869098的博客
12-27 1824
linux使用tcpdump抓包的方法: 1,运行下面命令来从所有网卡中捕获数据包: tcpdump -i any 2,从指定网卡中捕获数据包 tcpdump -i eth0 3,指定网卡,IP地址,写入文件 tcpdump -i eth0 host 10.19.150.242 -w ./datdump.cap 4,指定网卡,源ip 且 目的ip,写入文件 tcpdump -i eth0 s...
linux tcpdump无法抓包,linux tcpdump 抓包问题
weixin_32101377的博客
05-18 633
满意答案ndy7757522014.10.31采纳率:53%等级:12已帮助:27600人这个问题挺有意思,以下是我在网上查到:One thing they could mean that the frames being sent have 802.2 headersfollowing the link-layer header (which is true of all 802.11 ...
linuxtcpdump抓包工具
此后如竟没有炬火,我便是唯一的光。
03-13 4157
linuxtcpdump抓包工具tcpdump简介tcpdump使用及命令格式tcpdump的选项介绍 tcpdump简介 linux作为网络服务器,特别事作为路由器和网关时,数据的采集和分析时不可少的。tcpdumplinux中强大的网络数据采集分析工具之一。 用简单的话来定义tcpdump就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 作为互联网上的经典的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成
Linuxtcpdump抓包命令详解
专注自动化、性能测试、测试架构学习交流
06-07 1万+
Tcpdum是Linux上强大的网络数据采集分析工具
Linux网络抓包工具tcpdump
123
07-06 1万+
tcpdump 指令可列出经过指定网络界面的数据包文件头,可以将网络中传送的数据包的 “头” 完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助你摘取有用信息。由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备 root 权限的用户可以直接执行它来获取网络上的信息。
linux使用tcpdump抓包
mteng59101的博客
12-06 894
linux使用tcpdump抓包
Linux使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
linux系统下使用tcpdump进行抓包方法
09-15
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行抓包的方法和相关知识点,需要的朋友们学习下。
Linux基础学习之利用tcpdump抓包实例代码
09-15
tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的wireshark抓包工具一样, 支持抓取指定网口、指定...下面这篇文章主要给大家介绍了关于Linux基础学习之利用tcpdump抓包的相关资料,需要的朋友可以参考下。
linux下的进程通信
最新发布
羊羊羊
05-12 671
进程通信详解、管道、命名管道、匿名管道...
Linux】文件内容相关的命令,补充:管道符
yannan20190313的博客
05-07 1112
Linux】文件内容相关的命令,补充:管道符
Linux 第二十三章
一怀明月的博客
05-08 946
回顾文件 fopen() fwrite fputs >文件名 追加重定向 认识系统接口 open linux中常见的函数传参数 umask write read 语言和系统的区别 文件描述符
Linux查看Oracle数据库的环境变量
早安,朝气蓬勃的你
05-09 453
脚本通常用于交互式shell会话中,它们会提示用户选择要使用的Oracle实例(SID)。这些脚本不会直接显示当前设置的环境变量值,但你可以通过查看它们的代码来了解它们是如何工作的。在Linux上查看Oracle数据库的环境变量,通常涉及检查当前shell会话中已设置的环境变量。的shell脚本,用于设置Oracle的环境变量。你可以运行这些脚本来设置环境变量,但也可以使用。来查看它们的内容,以了解它们是如何设置环境变量的。(可能包含Oracle二进制文件的路径)等。这些文件通常包含设置环境变量的命令。
如何在 Ubuntu 22.04 或 20.04 Linux 上安装MobaXterm
u010879745的博客
05-08 1135
如何在 Ubuntu 22.04 或 20.04 Linux 上安装MobaXterm
linux怎么使用tcpdump抓包
06-07
使用tcpdump命令可以在Linux系统中抓包。下面是使用tcpdump抓包的基本步骤: ...需要注意的是,tcpdump抓包需要一定的网络知识和技能,使用不当可能会对网络造成影响,建议在专业人士的指导下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值