如何利用tcpdump来确定外部设备是否连接到服务器?

最新推荐文章于 2025-05-16 14:07:54 发布
最新推荐文章于 2025-05-16 14:07:54 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/timchen525/article/details/76168008
版权

问题:在项目部署过程中,外部设备需要与你部署的Linux服务器上的某个服务进行通信,如果Linux上的服务正常启动,如何确认外部设备是否连接到Linux服务器上呢?

知识点:

(1)监听网络接口:tcpdump -i etho[eth1],默认是eth0

(2)监听指定主机:tcpdump host 监听设备ip地址

(3)监听指定端口:tcpdump 服务器端口号port

实现步骤如下:

步骤一:确定网络接口

确定要监听的网络接口号,因为有些机器有两个网络接口,比如同时存在内网端口号eth0和外网端口号eth1,输入:ifconfig,效果如下:


可以看到有两个网络接口eth0和eth1,其中eth0连接的是内网ip,eth1是外网ip,如果要对外网的设备进行监控则用网络接口eth1,反之内网接口用eht0。这里,我们用的是外部设备所以用的网络接口为eth1。

步骤二:确定监听设备的ip地址

确定外部设备的ip地址:在百度输入ip,有如下:

可以看到外部终端设备的ip地址为:220.249.162.176

另外由于该设备与我们要连接的服务器不在统一局域网,所以网络接口用eth1。

步骤三:确定网络端口号

通过命令netstat -tlunp确定下具体是外部设备要接入哪个端口号。

步骤四:结合上面几部的分析执行tcpdump命令

sudo tcpdump -i eth1 port 80 and host 220.249.162.176

效果如下:

设备未连入之前:


设备连入之后:


总结:

(1)注意要监听的网络接口号。是eth0还是eth1,可以通过命令ifconfig查当前ip地址

(2)注意要监听的端口号。因为现在很多Linux服务器对外只是开发80端口,内部的端口号比如:8003,是通过Nginx进行跳转的,所以此时如果还是监听8003,则监听不到数据。


Linux服务器中毒?教你一步步精准判断和快速处置!
网络技术联盟站
01-18 277
在当今网络安全威胁日益严峻的环境下,Linux虽然以其安全性著称,但也并非“刀枪不入”。许多黑客利用服务器漏洞、弱口令、过期软件等方式,渗透并植入恶意代码。一旦服务器被攻陷,可能导致数据泄露、资源滥用,甚至被用作攻击其他系统的“跳板”。本文将详细介绍如何通过系统日志、性能监控、文件完整性检查等多种手段,判断你的Linux服务器是否中毒。
tcpdump详解&实战
my的博客
05-03 2295
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
tcpdump_获取网络设备
FebruaryBird的专栏
03-31 612
#include #include /* * 获取所有网络设备 *//* * defined in pcap.h *#define PCAP_ERRBUF_SIZE 256*//* * Item in a list of interfaces. * defined in pcap.h *struct pcap_if { struct pc
怎么知道服务器上的网站是否连通,如何查看Linux服务器的网络连接情况
weixin_34736362的博客
08-06 8300
在查看Linux服务器的网络连接情况时,可以使用ifconfig、ping、netstat等命令查看。这些方式都可以查看网络连接情况,也较为实用。下面众合联云小编就为大家介绍这些命令。1.ifconfig命令ifconfig命令是用来显示所有网络接口的详细情况的,可以显示/设置IP地址、子网掩码、广播地址等,由于它只是暂时生效,所以我还是推荐大家使用网卡文件来设置。此命令和Windows的ipco...
静态ip详解
z10_14的博客
03-01 235
相对于动态IP地址(由DHCP自动分配的临时IP地址),静态IP地址在分配后不会更改,适用于需要稳定、可预测网络地址的情况,如服务器、网络设备、远程访问等。DNS解析: 对于需要被公共网络访问的服务,如网站或邮件服务器,静态IP地址可以更容易地进行DNS解析,使得服务能够被域名访问而不受IP地址变化的影响。网络安全性: 使用静态IP地址时,需要注意网络安全性,尤其是暴露在公共网络中的服务,应加强防火墙和安全配置。IP地址冲突: 确保设置的静态IP地址不与网络中其他设备的IP地址冲突,避免造成网络连接问题。
如何使用 tcpdump 分析网络请求?
0 error(s)
05-31 1437
文章目录安装tcpdump 和 WireSharkstcpdump使用 tcpdump 抓ping命令的包解析 tcpdump 抓取的包可视化抓包工具:WireShark参考文献 写在前面: tcpdump 是我们常用的网络抓包的工具,更是分析网络性能必不可少的利器。一般在分析网络性能时,先用 tcodump 抓包,然后用 WireSharks 分析。 tcpdump 仅支持命令行格式,但是是服务服务器中抓取和分析网络包必不可少的。 WireSharks 除了能够抓包之外,还提供了强大的图形界面和汇总分
tcp的连接状态及tcpdump
lysinely的博客
01-08 1913
###命令-查看tcp状态 netstat -nat  查看TCP各个状态的数量 lsof  -i:port  可以检测到打开套接字的状况 sar -n SOCK 查看tcp创建的连接tcpdump -iany tcp port 9000 对tcp端口为9000的进行抓包 ##关于tcpdump的用法 host,net,port, 例如 host 210.27.48.2,
服务器抓包-tcpdump使用简介
yogima的博客
10-14 4041
tcpdumpLinux里的字符界面的数据抓包分析软件,用tcpdump抓到的数据包可以使用绝大多主流分析软件进行分析,例如wireshark。
tcpdump显示udp包_Tcpdump过滤数据包实例
weixin_29385641的博客
12-23 1143
Tcpdump过滤数据包实例笔者维护的一台邮件服务器,发现老是有人上来连接25端口,用了几种软件,如iptraf及wireshark,etherape发现效果均不理想,还是Tcpdump更直观方便,如命令tcpdump tcp port 25 and host 211.147.1.11 > awstat.txt,即可生成一份详细的连接报告。感觉tcpdump还是很实用的,下面举出例子说明下它...
Linux-tcpdump指令
最新发布
gongwanzhang的博客
05-16 1054
tcpdumpLinux和其他类Unix系统中用于捕获和分析网络流量的命令行工具。它被广泛应用于网络诊断、故障排除、安全分析以及网络流量监控等场景中。
接口请求到服务器端响应的时间,接口响应时间剖析
weixin_29864831的博客
08-05 4788
在日常工作过程中,我们经常需要关注接口的响应时间,优化接口的时延,那么接口的响应时间由哪些部分组成呢?先给出一个公式:接口响应时间 = 请求机器与服务器之间包往返时间 RTT * N + 业务处理处理时间通过下面的一组实验数据,我们可以完整地解析出从请求接口,到接口返回最后一个字节的数据,所用的时间,下面是测试环境:请求机器 ip:10.145.67.55请求机器端口:51830服务器 ip:10...
tcpdump 数据抓包,排查网络故障问题(转载)
一个老菜鸟的学习分享
03-04 5670
转载链接https://linux.cn/article-10191-1.html tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。 以我作为管理员的经验,在网络连接中经常遇到十分难以排查的故障问题。对于这类情况,tcpdump 便能派上用场。 tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服
DNAT转换与tcpdump抓包
qq_62462797的博客
09-16 1201
DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问拓展:客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器
tcpdump命令详解
热门推荐
wj31932的博客
06-05 12万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump 抓两个地址的数据_网络/命令行抓包工具tcpdump详解
weixin_35097945的博客
01-05 4968
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要roo...
服务器建立TCP连接的工具
冲吧,不要停!
08-31 5272
工具个人知道的,和服务器建立TCP连接的工具有两个: telnet nc 使用方法在看《Java核心卷2》的Socket使用方法时,看到书上例子是使用 telnet 进行测试的。上网看了一下 telnet 原理。telnet 其实就是一个建立TCP连接,并且能向服务器发送和接收“字符流”的工具。前一段时间,看到了nc命令,这个也可以建立 TCP 监听,并且还可以连接 TCP。所以,下面使用 teln
使用巨控GRM530模块远程通信连接TIA WINCC(异地组网)SIMATIC NET与S7-200 SMART 集成以太网口OPC 通信
weixin_41218231的博客
12-23 6239
使用巨控GRM530模块远程通信连接TIA WINCC(异地组网)SIMATIC NET与S7-200 SMART 集成以太网口OPC 通信 硬件: S7-200 SMART SR40 PC 机 ( 集成以太网卡) GRM533YW-C(巨控智能网关) 软件: STEP 7-Micro/WIN SMART V2.5 STEP 7 Professional(TIA Portal V16) SIMATIC NET V16 GVCOM3.9(远程连接PLC) 操作系统 Windows 10 Profess
上述服务均没开启,dhcp也未开启,还有什么可能openwrt会主动与其他设备通信?
03-16
<think>好的,用户之前已经检查了UPnP、LLDP和ICMP检测服务,发现它们都没有开启,甚至DHCP也没开。现在用户想知道,除了这些之外,OpenWrt还可能主动与其他设备通信的原因是什么。我需要帮他找出其他可能的原因。 首先,我得回忆一下OpenWrt有哪些常见的服务或功能可能导致主动通信。用户提到的DHCP没开,可能是指DHCP服务器未开启,但可能还有其他服务。比如,mDNS(Avahi)服务,用于局域网内的服务发现,默认情况下可能运行。还有NTP客户端,用来同步时间,可能会向外部服务器发送请求。另外,DNS转发器如dnsmasq即使没有DHCP,也可能进行DNS查询。 然后,用户可能还安装了其他插件,比如DDNS(动态DNS)客户端,定期更新IP地址。或者有软件包自动更新检查,虽然这可能不会直接与其他设备通信,但会连接外部服务器。还有像Samba或FTP这样的文件共享服务,如果开启的话,会主动广播自己的存在。 另外,考虑默认的防火墙规则是否允许某些通信。比如,OpenWrt默认允许来自局域网的某些流量,可能设备在响应ARP请求或者其他二层协议。还有可能是有流氓设备伪装成网关,但这种情况可能性较低,属于安全威胁。 用户之前检查了crontab,但可能还有其他定时任务或者脚本在运行,比如备份脚本或者自定义的监控脚本。此外,检查系统日志(logread)可能会发现一些线索,比如未知的连接尝试或服务活动。 还要考虑IPv6相关的服务,比如路由器通告(RA)或者DHCPv6,即使用户关闭了IPv4的DHCP,IPv6可能仍然活跃。另外,像SSH或HTTP管理界面如果暴露在局域网,可能会有心跳包或保持活动的连接。 最后,用户可能没有提到的其他服务,比如UPnP的IPv6版本,或者某些厂商特定的服务。此外,检查进程列表(ps命令)可能会发现一些后台进程,比如dropbear(SSH)、uhttpd(Web服务器)等,这些服务虽然不主动通信,但会响应请求,但如果是主动通信的话,可能需要进一步排查。 总结下来,可能的点包括:mDNS/NTP/DNS转发、DDNS、软件包更新、IPv6服务、已安装的插件或服务、定时任务、系统日志中的异常、防火墙规则、以及ARP等二层通信。需要逐一检查这些方面,帮助用户定位问题。</think>--- ### **OpenWrt 主动通信的潜在原因分析** 即使 UPnP、LLDP、ICMP 检测和 DHCP 均未启用,OpenWrt 仍可能因以下原因主动与其他设备通信: --- #### **1. 服务发现协议** - **mDNS/Avahi**(多播 DNS): 用于局域网设备发现(如打印机、智能家居设备)。 **检测方法**: ```bash ps | grep avahi # 检查进程 uci get avahi-daemon.enabled # 查看配置状态 ``` **关闭方法**: ```bash /etc/init.d/avahi-daemon stop uci set avahi-daemon.enabled=0 uci commit ``` - **SSDP**(简单服务发现协议): 部分插件可能依赖此协议,即使 UPnP 关闭也可能残留。 **检测方法**: ```bash tcpdump -i br-lan udp port 1900 # 抓取 SSDP 广播流量 ``` --- #### **2. 系统维护行为** - **NTP 时间同步**: OpenWrt 默认通过 NTP 同步时间,可能向外部服务器发送请求。 **检测方法**: ```bash cat /etc/ntp.conf # 查看 NTP 服务器配置 logread | grep ntp # 检查时间同步日志 ``` **关闭方法**: ```bash /etc/init.d/sysntpd stop uci set system.ntp.enabled=0 uci commit ``` - **DNS 转发查询**: 即使 DHCP 关闭,`dnsmasq` 仍可能响应 DNS 请求并向上游服务器查询。 **检测方法**: ```bash netstat -nulp | grep :53 # 检查 DNS 服务端口 ``` **关闭方法**: ```bash uci set dhcp.@dnsmasq[0].port=0 # 禁用 DNS 服务 uci commit /etc/init.d/dnsmasq restart ``` --- #### **3. 已安装插件或后台服务** - **动态 DNS (DDNS)**: 若安装了 `luci-app-ddns`,会定期向 DDNS 提供商发送更新请求。 **检测方法**: ```bash opkg list-installed | grep ddns crontab -l | grep ddns ``` **关闭方法**: ```bash /etc/init.d/ddns stop uci set ddns.@service[0].enabled=0 uci commit ``` - **流量监控插件**(如 `nlbwmon`): 可能通过 SNMP 或自定义协议收集数据。 **检测方法**: ```bash ps | grep nlbwmon uci get nlbwmon.@collector[0].enabled ``` --- #### **4. 底层网络协议** - **IPv6 相关服务**: - **路由器通告 (RA)**: IPv6 默认发送 RA 报文,用于地址自动配置。 **检测方法**: ```bash uci get network.lan.ra ``` **关闭方法**: ```bash uci set network.lan.ra='disabled' uci commit /etc/init.d/network restart ``` - **DHCPv6**: 独立于 DHCPv4,需单独关闭。 ```bash uci set dhcp.lan.dhcpv6=disabled ``` - **ARP 协议**: OpenWrt 作为网关会主动发送 ARP 响应,维护局域网 ARP 表。 **特性**:此为正常二层通信,无法禁用。 --- #### **5. 隐蔽后台进程** - **厂商定制服务**: ImmortalWrt 等改版可能集成额外服务(如 `omcproxy` 用于组播代理)。 **检测方法**: ```bash ps | grep -E "omcproxy|uqmi|modemmanager" # 检查冷门进程 ``` - **恶意软件**: 若设备曾暴露于公网,可能被植入后门程序。 **检测方法**: ```bash netstat -tulpn | grep ESTABLISHED # 检查异常连接 top -b -n 1 | grep -E "100% CPU|可疑进程名" ``` --- ### **排查流程图** ```plaintext 1. 检查运行中的服务 └─ ps aux | grep -Ev "grep|lighttpd|dropbear" # 过滤常见进程 2. 分析网络流量 └─ tcpdump -i br-lan -n -c 50 # 捕获 LAN 口流量 3. 审查计划任务和启动项 └─ crontab -l └─ ls /etc/rc.local /etc/init.d/ 4. 验证防火墙规则 └─ iptables -nvL # 检查是否有放行未知流量 ``` --- ### **总结与建议** | **类别** | **潜在原因示例** | **验证命令** | |----------------|--------------------------|----------------------------------| | 服务发现 | mDNS/SSDP | `ps \| grep avahi` | | 系统维护 | NTP/DNS 转发 | `logread \| grep ntp` | | 插件行为 | DDNS/流量监控 | `opkg list-installed \| grep -E "ddns|nlbwmon"` | | 网络协议 | IPv6 RA/DHCPv6 | `uci get network.lan.ra` | | 安全风险 | 恶意软件/后门 | `netstat -tulpn \| grep ESTABLISHED` | **推荐操作**: 1. 使用 `tcpdump` 抓包定位具体通信内容和目标 IP。 2. 检查 `/etc/config/` 下所有配置文件,确认无隐藏服务启用。 3. 更新到最新固件,避免因漏洞导致的异常通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值