如何使用 tcpdump 分析网络请求?

最新推荐文章于 2024-07-23 14:52:36 发布
最新推荐文章于 2024-07-23 14:52:36 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: # linux性能优化 文章标签: tcpdump 网络 linux wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenmingxueIT/article/details/117425558
版权

文章目录

写在前面
tcpdump 是我们常用的网络抓包的工具,更是分析网络性能必不可少的利器。一般在分析网络性能时,先用 tcodump 抓包,然后用 WireSharks 分析

  • tcpdump 仅支持命令行格式,但是是服务服务器中抓取和分析网络包必不可少的。
  • WireSharks 除了能够抓包之外,还提供了强大的图形界面和汇总分析工具。

安装tcpdump 和 WireSharks

工欲善其事必先利其器,我们可以先用以下命令在服务器安装 tcpdump:

ubuntu@VM-0-2-ubuntu:~/code/Code/newcode$ sudo apt install tcpdump

由于云服务器或者Linux系统都是基于命令行的,所以我们需要在本地主机安装WireShark:

https://share.weiyun.com/YYrB0D1X

之后一路点下一步,安装就好。

tcpdump

tcpdump 是最常用的网络分析工具。它基于libpcap,利用内核中的AF_PACKET套接字,抓取网络接口中的网络包,并且提供强大的过滤机制,帮助我们从大量的网络包中选择最想要的信息。

tcpdump 工具本身,它的基本使用方法还是比较简单的,即tcpdump [选项][过滤表达式],选项和表达式的外面都加了中括号,表示其是可选的。

以下是 tcpdump 的几个常用选项:

选项示例说明
- itcpdump -i eth0指定网络接口,默认是0号接口,any表示所有接口
- nntcpdump -nn不解析IP地址和端口号的名称
- ctcpdump -c5限制要抓取网络包的个数
- Atcpdump -A以ASCII格式显示网络包内容
- wtcpdump -w file.pcap保存到文件中,文件名以.pcap为后缀
- etcpdump -e输出链路层的头部信息

以下是 tcpdump 的常用过滤表达式:
在这里插入图片描述
网络中不同会导致最后 tcpdump 展示的格式也不同。

使用 tcpdump 抓ping命令的包

熟悉计算机的同学都知道,ping 命令是用来检测和服务端通信是否正常的,我们今天就来抓几个ping 命令的包来看看。

以下是个正常使用ping命令的例子,可以看到,当我们访问www.csdn.net的时候,实际上是跟39.106.226.142这台主机进行交互:

ubuntu@VM-0-2-ubuntu:~/code/Code/newcode$ ping -c3 www.csdn.net
PING www.csdn.net (39.106.226.142) 56(84) bytes of data.
64 bytes from 39.106.226.142 (39.106.226.142): icmp_seq=1 ttl=87 time=29.3 ms
64 bytes from 39.106.226.142 (39.106.226.142): icmp_seq=2 ttl=87 time=29.1 ms
64 bytes from 39.106.226.142 (39.106.226.142): icmp_seq=3 ttl=87 time=29.2 ms

--- www.csdn.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 29.198/29.250/29.335/0.206 ms

然后我们在另一个中断运行以下命令开启一个 tcpdump 持续监听网卡进行抓包:

ubuntu@VM-0-2-ubuntu:~/code/Code/newcode$ sudo tcpdump -nn udp port 53 or host 39.106.226.142

我们先来解读一下这条命令:

  • -nn:表示不解析抓包中的域名、协议以及端口号
  • udp port 53:表示只显示UDP协议的端口号为53的包
  • host 39.106.226.142:表示只显示IP地址为39.106.226.142的包

然后回车,在另一个中断中输入以下命令:

ubuntu@VM-0-2-ubuntu:~/code/Code/newcode$ ping -c3 www.csdn.net

之后,抓包的中断中会显示如下信息:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:26:02.184802 IP 172.17.0.2.35272 > 183.60.82.98.53: 54162+ A? www.csdn.net. (30)
19:26:02.185136 IP 172.17.0.2.47974 > 183.60.82.98.53: 16910+ AAAA? www.csdn.net. (30)
19:26:02.186215 IP 183.60.82.98.53 > 172.17.0.2.35272: 54162 1/0/0 A 39.106.226.142 (46)
19:26:02.191823 IP 183.60.82.98.53 > 172.17.0.2.47974: 16910 0/1/0 (100)
19:26:02.192159 IP 172.17.0.2 > 39.106.226.142: ICMP echo request, id 13369, seq 1, length 64
19:26:02.221492 IP 39.106.226.142 > 172.17.0.2: ICMP echo reply, id 13369, seq 1, length 64
19:26:02.221756 IP 172.17.0.2.47639 > 183.60.82.98.53: 63347+ PTR? 142.226.106.39.in-addr.arpa. (45)
19:26:02.287888 IP 183.60.82.98.53 > 172.17.0.2.47639: 63347 NXDomain 0/1/0 (116)
19:26:03.192914 IP 172.17.0.2 > 39.106.226.142: ICMP echo request, id 13369, seq 2, length 64
19:26:03.222132 IP 39.106.226.142 > 172.17.0.2: ICMP echo reply, id 13369, seq 2, length 64
19:26:04.194210 IP 172.17.0.2 > 39.106.226.142: ICMP echo request, id 13369, seq 3, length 64
19:26:04.223431 IP 39.106.226.142 > 172.17.0.2: ICMP echo reply, id 13369, seq 3, length 64

这次输出中,前两行,表示 tcpdump 的选项以及接口的基本信息。从第三行开始,就是抓取到的网络包的输出。这些输出的格式,都是 时间戳 协议 源地址.源端口 > 目的地址.目的端口 网络包详细信息

解析 tcpdump 抓取的包

下面我们就来解读一下这些信息:

19:26:02.184802 IP 172.17.0.2.35272 > 183.60.82.98.53: 54162+ A? www.csdn.net. (30)
  • 54162+:表示查询标识值,他也会出现在响应中,加号表示启用递归查询
  • A?:表示查询 A 记录
  • www.csdn.net.:表示带查询的域名
  • 30:表示报文长度
19:26:02.186215 IP 183.60.82.98.53 > 172.17.0.2.35272: 54162 1/0/0 A 39.106.226.142 (46)

这一行是从183.60.82.98.53返回回来的应答信息,表示找到了www.csdn.net.的A记录值为39.106.226.142

19:26:02.192159 IP 172.17.0.2 > 39.106.226.142: ICMP echo request, id 13369, seq 1, length 64
19:26:02.221492 IP 39.106.226.142 > 172.17.0.2: ICMP echo reply, id 13369, seq 1, length 64

这两行是ICMP请求包和ICMP回复包,响应包的时间戳相减就是这个时延。

19:26:02.221756 IP 172.17.0.2.47639 > 183.60.82.98.53: 63347+ PTR? 142.226.106.39.in-addr.arpa. (45)

这一行是反向地址解析PTR请求。

可视化抓包工具:WireShark

可以看到 tcpdump 的输出还是不够直观,我们可以使用WireShark这个可视化工具来查看包。

首先,我们需要运行以下命令将抓包内容输出到文件ping.pcap

ubuntu@VM-0-2-ubuntu:~/code/Code/newcode$ sudo tcpdump -nn udp port 53 or host 39.106.226.142 -w ping.pcap

之后,我们在Windows的cmd上输入以下命令将这个ping.pcap文件下载到主机:
在这里插入图片描述
然后在WireShark中打开这个文件:
在这里插入图片描述
在WireShark的界面中,我可以发现,它不仅以更规整的格式,展示了各个网络包的头部信息;还用了不同颜色,展示DNS和ICMP这两种不同的协议。点击每一条我们还能看到详细的信息。
在这里插入图片描述

参考文献

[1] 倪朋飞.Linux性能优化实战.极客时间

shenmingik
关注
专栏目录
使用tcpdump查看HTTP请求响应
03-14 7366
https://www.jianshu.com/p/3cca9a74927ctcpdump安装在Ubuntu/Debian系统上,执行如下命令安装tcpdump工具:sudo apt-get install tcpdump 在CentOS系统上,执行如下命令安装tcpdump工具:sudo yum install tcpdump 安装完tcpdump后,就可以使用man命令查看tcpdump的文档...
全面分析前端的网络请求方式(对ajax理解的勘误)
Tommy__li的博客
02-22 359
在掘金看到一篇关于ajax和fetch以及aixos的文章,才发现自己对ajax的理解是错误的,一直以为ajax就是js中xhr对象,把他们两之间画上了等号,殊不知从根本上就理解错了。这里就不对原生的xhr和jQuery中的ajax封装进行分析了,如果要了解则看第二个链接,里面有所以就决定重新梳理一遍前端中使用到的网络请求方式,真的弄懂,也作为自己的八股,因为我感觉这一块肯定是重点!你知道Ajax、Fetch、Axios三者的区别吗?- 掘金 (juejin.cn)
5个好用的网络故障排除工具分享,看完篇就足够了
最新发布
Button12138的博客
07-23 1013
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
linux查看某个进程ip,[相当有用]Linux下用tcpdump查看某进程请求某个IP的端口情况。...
weixin_31199559的博客
04-28 1500
[相当有用]Linux下用tcpdump查看某进程请求某个IP的端口情况。作者: 向东博客  更新时间:2016-08-19 15:17:31  原文链接杨永(杨永) 08-19 15:14:56tcpdump -vnn host要挂载服务器的IP杨永(杨永) 08-19 15:15:07tcpdump -vnn host 192.168.151.201杨永(杨永) 08-19 15:17:0...
网站排障分析常用命令
weixin_34007879的博客
07-26 132
系统连接状态篇:1.查看TCP连接状态netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rnnetstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’ 或netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {fo...
tcp/http 分析
github_31020161的博客
07-14 179
tcp tcpdump异常请求分析来源ip tcpdump -s 0 -A 'tcp dst port 9200 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' http tcpdump查看HTTP流量 查看HTTP GET请求 sudo tcpdump -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' 查
如何利用tcpdump来确定外部设备是否连接到服务器?
timchen525的专栏
07-27 1587
如何利用tcpdump来确定外部设备是否连接到服务器?
38怎么使用tcpdumpWireshark分析网络流量1
08-03
TCPdumpWireshark分析网络流量】 网络性能优化是一个重要的任务,特别是在互联网服务中,任何微小的延迟都可能影响用户体验。TCPdumpWireshark是两款强大的网络诊断工具,能够帮助我们深入理解网络流量,排查...
linux网络请求抓包,使用TCPDump和Ethereal抓包分析HTTP请求中的异常情况
weixin_28832121的博客
05-05 1108
在测试功能的过程中,出现这样一种现象.前端js发起ajax请求后,在浏览器的审查元素网络状态中可以看到status为pending,等15秒以后js会把当前超时的请求取消掉,变成了红色的cancel.针对这一现象,我在本地Windows电脑和远程Linux测试机进行了网络抓包分析.由于出现的几率很随机,但是出现频率挺高,我先在Linux测试机中使用tcpdump进行的抓包分析,可以看到正常的请求是...
三十八、Linux性能优化实战学习笔记-案例篇:怎么使用 tcpdumpWireshark 分析网络流量?
MyySophia的博客
01-26 1060
tcpdumpWireshark 就是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。 tcpdump 仅支持命令行格式使用,常用在服务器中抓取和分析网络包。 Wireshark 除了可以抓包外,还提供了强大的图形界面和汇总分析工具,在分析复杂的网络情景时,尤为简单和实用。 案例准备 ...
Android中使用tcpdumpwireshark进行抓包并分析技术介绍
09-03
启动Wireshark,打开刚刚从Android设备拉取的pcap文件,开始分析网络通信。 3. **使用过滤器**: Wireshark提供了强大的过滤功能,可以快速筛选出特定类型的通信。例如,如果你想查看所有HTTP协议的数据包,并且...
iOS小技能:截获分析网络数据包( tcpdumpWireshark的原理和基本使用使用Charles联调测试)
iOS逆向与安全
08-30 1832
抓取http/https的,建议使用Charles;如果是socket,推荐使用Wireshark
tcpdump抓包分析
daidadeguaiguai的博客
08-17 2334
转:tcpdump抓包分析(强烈推荐) 转自:https://mp.weixin.qq.com/s?__biz=MzAxODI5ODMwOA==&mid=2666539134&idx=1&sn=5166f0aac718685382c0aa1cb5dbca45&scene=5&srcid=0527iHXDsFlkjBlkxHbM2S3E#rd 转自:http://www.jianshu.com/p/8d9accf1d2f1 1 起因 前段时间,一直在调线上的
实战!我用“大白鲨”让你看见 TCP
架构师小秘圈
05-21 541
每日一句英语学习,每天进步一点点:前言“哈?啥是大白鲨?”咳咳,主要是因为网络分析工具 Wireshark 的图标特别像大白鲨顶部的角。不信你看:Wireshark“为什么拖了怎么久才发...
tcpdump抓包分析详解
owen-li
06-07 1317
Linux操作系统tcpdump抓包分析详解   PS:tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Li
tcpdump 数据抓包,排查网络故障问题(转载)
一个老菜鸟的学习分享
03-04 5200
转载链接https://linux.cn/article-10191-1.html tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服
抓包神器TCPDUMP分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 5043
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
网络:抓包分析ping的原理
热门推荐
OceanStar的博客
10-22 1万+
控制报文协议(Internet Control Message Protocol,ICMP)是 TCP/IP 协议族的一个子协议。ICMP 协议用于在 IP 主机和路由器之间传递控制消息,描述网络是否通畅、主机是否可达、路由器是否可用等网络状态。 由于IP协议简单,数据传输天然存在不可靠,无连接等特点,为了解决数据传输出现的问题,人们引入了ICMP协议。虽然ICMP协议的数据包并不传输用户数据,但是对于用户数据的传递有着重要的作用 ping一下 ping是基于ICMP协议工作的,所以要明白ping的..
Linux tcpdump 网关抓包秘籍
游荡边缘的博客
10-21 1204
tcpdump tcpdump - dump traffic on a network tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息 命令格式 tcpdump [...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shenmingik

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值