记录一次奇怪的tcpdump

最新推荐文章于 2024-08-28 14:11:40 发布
最新推荐文章于 2024-08-28 14:11:40 发布
阅读量3.1k 收藏
点赞数 1
分类专栏: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/81697553
版权
网络 同时被 2 个专栏收录
26 篇文章 1 订阅
订阅专栏
linux
22 篇文章 2 订阅
订阅专栏

tmpdump在我们日常的工作中经常使用,先介绍一下基本使用

tcpdump -i eth0 icmp

-i 是指定网卡, icmp是协议。
还有一些其他常用参数譬如
-b在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。tcpdump -b arp 将只显示网络中的arp即地址转换协议信息;

-l使标准输出变为缓冲行形式,如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中;

-n不进行IP地址到主机名的转换;

-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

-vv输出详细的报文信息;
再举例一些常用的,

抓取包含特点主机的数据包

tcpdump -i eth0 -vnn host 10.10.10.10
如果是源地址 src host 
如果是目的地址 dst host
还可以通过 and  or 组合多个条件

特定端口

tcpdump -i eth0 -vnn port 22

特定协议

tcpdump -i eth0 -vnn icmp/udp/ip/arp

保存或者读取文件

tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100
tcpdump –i eth0 -vnn -r  /tmp/fil1 ( 筛选主机追加:host  10.10.10.10

介绍完tcpdump的基本使用后,我们回到今天抓包的奇怪现象,在抓包的时候回会出现,我在抓包DNS时候发现

sudo tcpdump -i eth0 -vvv -nn udp dst port 53
 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
 17:04:48.145904 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 61)
 10.0.0.2.56497 > 10.0.0.1.53: [bad udp cksum 0x8f54 -> 0xb8fc!] 30234+ AAAA? www.twitter.com. (33)
 17:04:48.145925 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 61)
 10.0.0.2.56497 > 10.0.0.1.53: [bad udp cksum 0x224d -> 0x2604!] 30234+ AAAA? www.twitter.com. (33)

虽然域名能解析但出现了一些bad udp之类的数据包,很奇怪,后来深入了解了一下网卡的checksum offloading 机制,它是负责计算需要发送或者接收到的TCP/UDP消息的校验和,从而节省CPU的计算开销的一种机制,CheckSum Offload实际上是将传输层的一部分工作交给了硬件完成,以节约系统的CPU资源。微软的测试表明它可以最多节约30%的CPU资源。
对于Tx,设置Checksum Offload有效之后,传输层将随机填充TCP校验和,因此在本机上抓取的数据包是Bad CheckSum。然后,网卡会自动计算正确的校验码然后发送,因此对方收到的仍然是正确的TCP/UDP包。
对于Rx,设置Checksum Offload有效之后,网卡在接收数据时,会填充一个NDIS_TCP_IP_CHECKSUM_PACKET_INFO 结构并设置标志位;如果由于某种原因失败,则不设置标志位,由TCP/IP协议栈来完成数据校验。

可以查看一下

sudo ethtool -k eth0 | grep on
 rx-checksumming: on
 tx-checksumming: on
 scatter-gather: on
 generic-segmentation-offload: on
 generic-receive-offload: on
 rx-vlan-offload: on
 tx-vlan-offload: on

关闭后再测试一下

sudo ethtool -K eth0 tx off rx off

udo tcpdump -i eth0 -vvv -nn udp dst port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:06:09.355411 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 57)
10.0.0.2.18964 > 10.0.0.1.53: [udp sum ok] 292+ AAAA? twitter.com. (29)
17:06:09.355431 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 57)
10.0.0.2.18964 > 10.0.0.1.53: [udp sum ok] 292+ AAAA? twitter.com. (29)

就没有发现这个问题了。当然这个功能还是需要开启,毕竟通过网络分担cpu的部分计算是非常好的设计

柳清风09
关注
专栏目录
udp cksum
jishublog
12-28 5855
目前碰到一个奇怪的现象,某台机器(就叫hostA吧)上面tx-checksumming是开启状态下,所有本地发出去的UDP报文用tcpdump -vvv udp抓出来,凡是从这台主机发出去的包所有包全部显示bad udp cksum,收到的UDP包则没有一个是bad udp cksum的。 而在另外一台机器(就叫hostB吧)上面,则没有一个bad udp cksum的包,抓包不多,1000...
tcpdump抓包提示bad udp cksum
weixin_44147924的博客
07-06 2534
问题:使用tcpdump在服务端抓包时发现,客户端发给服务端的udp报文可以接收到,但服务端发给客户端的udp报文会报错bad udp cksum。服务端执行命令:ethtool --offload ens160 tx off(关闭tx cksum),再次抓包就没问题了。抓包命令:tcpdump -vv -i any udp -n。背景:一台应用服务端,一台用户客户端,均能上外网。
一次bad udp checksum故障
最新发布
一名运维开发工程师的日常记录
08-28 530
用户反馈 client 访问某服务 的 udp 端口 1107 访问异常,使用tcpdump在服务端抓包时发现,客户端发给服务端的udp报文可以接收到,但服务端发给客户端的udp报文会报错bad udp cksum。发现是打开了,关闭了再抓包就发现正常了,这可能和宿主机网卡有某些关系吧。服务跑在虚拟机上,查询虚机 tx checksumming 参数。
tcpdump抓包
翔云
04-13 1223
tcpdump是抓包常用的工具,可以直接从数据链路层抓取网络数据进行分析。tcpdmp提供了很多命令行参数,提供定制的数据捕获功能。 下面首先会介绍其命令行参数,接着以一个使用场景为例说明使用方法。 1.tcpdump使用说明 1.1 命令行参数 i interface 网络接口,例如lo0, en0, eth0等 c count 指定抓包的个数,如果没有提供,则一直监听并抓取 X 以十六进制和...
限制内核 udp bad checksum 失败告警信息
龙瑜的博客
06-13 3840
问题描述 UDP: bad checksum. From 10.66.245.93:61525 to 255.255.255.255:137 ulen 58 相关代码 include/net/sock.h #define LIMIT_NETDEBUG(fmt, args…) do { if (net_msg_warn && net_ratelimit()) printk(fmt,##args); } while(0) net_ratelimit 函数 net/core/utils.c i
内存泄露专题(4)mtrace内存追踪
禹鼎侯的博客
06-28 2213
等内存申请释放的调用处,插入自己的一些代码,用来记录内存的信息,包括指针的地址,内存块的大小等。的内存信息,其中包含有内存申请的地址,内存申请的大小,释放内存的地址,释放内存的大小。内存并没有释放,所以这段程序是会内存泄漏的。行,它告诉我们下面这些内存是没有被释放的,其次可以看到从第。系统内核自带的一个内存追踪的函数,它会在每个内存申请函数。工具集中的一个,所以如果系统没有该命令的话,可以使用。的位置记录下信息,并在每个内存释放的位置记录下。函数取消内存使用记录。大小的内存没有被释放,这个大小,转成。
mtrace 详解
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-13 1145
mtrace 详解
udpcksum 编译 问题的解决方案
yzj19870824的专栏
10-20 1752
1 安装了libpcap (www.tcpdump.org)和libnet(http://www.packetfactory.net/libnet/dist/libnet.tar.gz)如果无法下载发邮件至yzj19870824@126.com 2 运行udpcksum中的Makefile后,出现一下情况: 1 udphdr 没有定义 uh_sum。解决方法参见http://blog.csdn
Nginx一次奇怪的502 报错探究1
08-03
标题中的“Nginx一次奇怪的502 报错探究1”指的是在Nginx服务器运行过程中出现的502 Bad Gateway错误,这通常表示Nginx作为反向代理无法从上游服务器(在此情况中是PHP-FPM)获取有效的响应。描述中提到,这个错误在...
linux抓取tcp为3302的数据包,tcpdump在bond环境下抓到重复报文的问题说明
weixin_28880179的博客
05-12 1221
文章目录[隐藏]环境说明网络结构问题说明分析处理总结近期在排查问题时, 使用 tcpdump 抓包发现一个很奇怪的现象, 所有抓到的包都有重复的一份, 使用 wireshark 查看则表现为 tcp out of order, tcp dup ack 以及 tcp retransmission 这三种提示特别多, 如下图所示:我们在 centos 6 和 centos 7 系统中验证都有这样的问题...
一次kubernetes集群异常:kubelet连接apiserver超时
小米云技术
06-11 4993
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。 上篇文章回顾:一文读懂HBase多租户 背 景 kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etc...
62-udpcksum.rar
12-17
网络编程从大的方面说就是对信息的发送到接收,中间传输为物理线路的作用。网络编程最主要的工作就是在发送端把信息通过规定好的协议进行组装包,在接收端按照规定好的协议把包进行解析,从而提取出对应的信息,达到通信的目的。
线上nginx的一次“no live upstreams while connecting to upstream ”分析
weixin_33755847的博客
08-30 3654
先描述一下环境,前段的负载均衡转发给nginx,nginx再转发给后端的应用服务器。nginx配置文件如下:upstream ads { server ap1:8888 max_fails=1 fail_timeout=60s; server ap2:8888 max_fails=1 fail_timeout=60s;}出现的现象是:日志里面每隔一...
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
干货丨农行信创之容器云适配经验分享
weixin_54750412的博客
08-18 1453
本文章转自@twt社区 **【导读】**我国正在大力推动政府、国防、金融、交通等关键领域的信息化产品尽快实现国产化替代,并发布了多个重要政策来保障国产化的实施,加速实现信息核心技术的自主可控。信创国产化云的建设也是当下的重要任务,但在云计算平台软件与国芯物理服务器、国产操作系统的适配方面有不少的问题与挑战。本文分享了几个典型案例,为大家的信创实施之路提供参考和借鉴。 【作者】郑宇光、周思远 当前国内的信息技术的核心和标准大多数都由国外公司掌握和制定,因此存在诸多的安全风险。随着我国加快推进信息网络等新型.
内存泄漏定位工具之 mtrace(一)
大橙子的博客
08-18 4111
mtrace(memory trace),是 GNU Glibc 自带的内存问题检测工具,它可以用来协助定位内存泄露问题。它的实现源码在glibc源码的malloc目录下,其基本设计原理为设计一个函数 void mtrace (),函数对 libc 库中的 malloc/free 等函数的调用进行追踪,由此来检测内存是否存在泄漏的情况。
Dokcer Swarm 集群容器无法跨节点访问端口问题
blacksiders的博客
03-17 1725
假设一台manager节点和一台worker节点,各自包含一个服务容器监听tcp 9999,通过overlay网络互联,在worker节点上的服务容器无法访问manager上的服务容器的tcp 9999端口,但是可以ping通。显示udp报文异常:bad udp cksum 0x174d -> 0x4773,原因是linux默认开启了内核计算cksum和网卡计算cksum,此处一般为网卡计算cksum错误,需要关闭网卡计算的功能。
linux更改源地址发送数据包,发往Docker容器内的数据包源地址被修改的研究
weixin_29221753的博客
05-14 884
引言此文档是对发往Docker容器内的数据包源地址被修改的研究做的实践记录。实践环境一Centos7.2+Docker1.12.6关闭firewalld:systemctl stop firewalld设置selinux为Permissive模式:setenforce 0/etc/docker/daemon.json内容:{"userland-proxy": true}创建名为python的容器:...
写一段回访tcpdump脚本
03-31
最近我写了一个tcpdump脚本,用来捕获网络流量并进行分析。我想和你分享一下这个脚本的一些特点和使用情况。 首先,这个脚本可以捕获指定IP地址或端口号的网络流量,并将其保存为PCAP文件。同时,它还可以对捕获的流量进行过滤,以便更精确地分析。 其次,这个脚本还可以自动解析捕获的PCAP文件,并生成相关的统计数据。例如,它可以显示每个IP地址或端口号的流量情况,以及流量的协议类型等信息。这些统计数据可以帮助我们更好地了解网络流量,从而更好地保护网络安全。 最后,这个脚本使用简单,只需要输入几个参数即可开始捕获和分析网络流量。同时,它还有详细的帮助文档,方便用户使用。 总之,这个tcpdump脚本是一个非常实用的工具,可以帮助我们更好地了解和保护网络安全。如果你也需要进行网络流量分析,不妨试试这个脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值