记录一次奇怪的tcpdump

最新推荐文章于 2025-04-01 09:29:26 发布
最新推荐文章于 2025-04-01 09:29:26 发布
阅读量3.6k 收藏
点赞数 1
分类专栏: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/81697553
版权

tmpdump在我们日常的工作中经常使用,先介绍一下基本使用

tcpdump -i eth0 icmp

-i 是指定网卡, icmp是协议。
还有一些其他常用参数譬如
-b在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。tcpdump -b arp 将只显示网络中的arp即地址转换协议信息;

-l使标准输出变为缓冲行形式,如tcpdump -l >tcpcap.txt将得到的数据存入tcpcap.txt文件中;

-n不进行IP地址到主机名的转换;

-v输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

-vv输出详细的报文信息;
再举例一些常用的,

抓取包含特点主机的数据包

tcpdump -i eth0 -vnn host 10.10.10.10
如果是源地址 src host 
如果是目的地址 dst host
还可以通过 and  or 组合多个条件

特定端口

tcpdump -i eth0 -vnn port 22

特定协议

tcpdump -i eth0 -vnn icmp/udp/ip/arp

保存或者读取文件

tcpdump –i eth0 -vnn -w  /tmp/fil1 -c 100
tcpdump –i eth0 -vnn -r  /tmp/fil1 ( 筛选主机追加:host  10.10.10.10

介绍完tcpdump的基本使用后,我们回到今天抓包的奇怪现象,在抓包的时候回会出现,我在抓包DNS时候发现

sudo tcpdump -i eth0 -vvv -nn udp dst port 53
 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
 17:04:48.145904 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 61)
 10.0.0.2.56497 > 10.0.0.1.53: [bad udp cksum 0x8f54 -> 0xb8fc!] 30234+ AAAA? www.twitter.com. (33)
 17:04:48.145925 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 61)
 10.0.0.2.56497 > 10.0.0.1.53: [bad udp cksum 0x224d -> 0x2604!] 30234+ AAAA? www.twitter.com. (33)

虽然域名能解析但出现了一些bad udp之类的数据包,很奇怪,后来深入了解了一下网卡的checksum offloading 机制,它是负责计算需要发送或者接收到的TCP/UDP消息的校验和,从而节省CPU的计算开销的一种机制,CheckSum Offload实际上是将传输层的一部分工作交给了硬件完成,以节约系统的CPU资源。微软的测试表明它可以最多节约30%的CPU资源。
对于Tx,设置Checksum Offload有效之后,传输层将随机填充TCP校验和,因此在本机上抓取的数据包是Bad CheckSum。然后,网卡会自动计算正确的校验码然后发送,因此对方收到的仍然是正确的TCP/UDP包。
对于Rx,设置Checksum Offload有效之后,网卡在接收数据时,会填充一个NDIS_TCP_IP_CHECKSUM_PACKET_INFO 结构并设置标志位;如果由于某种原因失败,则不设置标志位,由TCP/IP协议栈来完成数据校验。

可以查看一下

sudo ethtool -k eth0 | grep on
 rx-checksumming: on
 tx-checksumming: on
 scatter-gather: on
 generic-segmentation-offload: on
 generic-receive-offload: on
 rx-vlan-offload: on
 tx-vlan-offload: on

关闭后再测试一下

sudo ethtool -K eth0 tx off rx off

udo tcpdump -i eth0 -vvv -nn udp dst port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:06:09.355411 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 57)
10.0.0.2.18964 > 10.0.0.1.53: [udp sum ok] 292+ AAAA? twitter.com. (29)
17:06:09.355431 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 57)
10.0.0.2.18964 > 10.0.0.1.53: [udp sum ok] 292+ AAAA? twitter.com. (29)

就没有发现这个问题了。当然这个功能还是需要开启,毕竟通过网络分担cpu的部分计算是非常好的设计

史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
Linux服务器收到SYN请求包没有回应ACK导致客户端无法建立TCP连接
热门推荐
dvlinker的技术专栏
05-18 2万+
问题描述: 最近测试同事反馈一个很奇怪的问题,电子白板客户端加入白板会议后,经常出现下载同步文件失败的问题。下载同步文件使用的是https请求,经抓包得知,在试图建立TCP连接时,客户端发送三次握手申请的SYN包,但是服务器没有回应ACK,然后客户端触发了TCP的丢包重转,重发SYN包,但服务器始终没回ACK,导致无法完成建立TCP连接,所以无法下载同步文件。SYN包从本端网卡发出...
tcpdump抓包提示bad udp cksum
weixin_44147924的博客
07-06 3216
问题:使用tcpdump在服务端抓包时发现,客户端发给服务端的udp报文可以接收到,但服务端发给客户端的udp报文会报错bad udp cksum。服务端执行命令:ethtool --offload ens160 tx off(关闭tx cksum),再次抓包就没问题了。抓包命令:tcpdump -vv -i any udp -n。背景:一台应用服务端,一台用户客户端,均能上外网。
udp cksum
jishublog
12-28 5977
目前碰到一个奇怪的现象,某台机器(就叫hostA吧)上面tx-checksumming是开启状态下,所有本地发出去的UDP报文用tcpdump -vvv udp抓出来,凡是从这台主机发出去的包所有包全部显示bad udp cksum,收到的UDP包则没有一个是bad udp cksum的。 而在另外一台机器(就叫hostB吧)上面,则没有一个bad udp cksum的包,抓包不多,1000...
内存泄漏定位工具之 mtrace(一)
最新发布
shimly123456的博客
04-01 181
【代码】内存泄漏定位工具之 mtrace(一)
tcpdump抓包
翔云
04-13 1276
tcpdump是抓包常用的工具,可以直接从数据链路层抓取网络数据进行分析。tcpdmp提供了很多命令行参数,提供定制的数据捕获功能。 下面首先会介绍其命令行参数,接着以一个使用场景为例说明使用方法。 1.tcpdump使用说明 1.1 命令行参数 i interface 网络接口,例如lo0, en0, eth0等 c count 指定抓包的个数,如果没有提供,则一直监听并抓取 X 以十六进制和...
限制内核 udp bad checksum 失败告警信息
龙瑜的博客
06-13 4142
问题描述 UDP: bad checksum. From 10.66.245.93:61525 to 255.255.255.255:137 ulen 58 相关代码 include/net/sock.h #define LIMIT_NETDEBUG(fmt, args…) do { if (net_msg_warn && net_ratelimit()) printk(fmt,##args); } while(0) net_ratelimit 函数 net/core/utils.c i
一次bad udp checksum故障
一名运维开发工程师的日常记录
08-28 1200
用户反馈 client 访问某服务 的 udp 端口 1107 访问异常,使用tcpdump在服务端抓包时发现,客户端发给服务端的udp报文可以接收到,但服务端发给客户端的udp报文会报错bad udp cksum。发现是打开了,关闭了再抓包就发现正常了,这可能和宿主机网卡有某些关系吧。服务跑在虚拟机上,查询虚机 tx checksumming 参数。
mtrace 详解
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-13 1253
mtrace 详解
干货丨农行信创之容器云适配经验分享
weixin_54750412的博客
08-18 1548
本文章转自@twt社区 **【导读】**我国正在大力推动政府、国防、金融、交通等关键领域的信息化产品尽快实现国产化替代,并发布了多个重要政策来保障国产化的实施,加速实现信息核心技术的自主可控。信创国产化云的建设也是当下的重要任务,但在云计算平台软件与国芯物理服务器、国产操作系统的适配方面有不少的问题与挑战。本文分享了几个典型案例,为大家的信创实施之路提供参考和借鉴。 【作者】郑宇光、周思远 当前国内的信息技术的核心和标准大多数都由国外公司掌握和制定,因此存在诸多的安全风险。随着我国加快推进信息网络等新型.
Nginx一次奇怪的502 报错探究1
08-03
标题中的“Nginx一次奇怪的502 报错探究1”指的是在Nginx服务器运行过程中出现的502 Bad Gateway错误,这通常表示Nginx作为反向代理无法从上游服务器(在此情况中是PHP-FPM)获取有效的响应。描述中提到,这个错误在...
一次kubernetes集群异常:kubelet连接apiserver超时
小米云技术
06-11 5068
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。 上篇文章回顾:一文读懂HBase多租户 背 景 kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etc...
线上nginx的一次“no live upstreams while connecting to upstream ”分析
weixin_33755847的博客
08-30 3796
先描述一下环境,前段的负载均衡转发给nginx,nginx再转发给后端的应用服务器。nginx配置文件如下:upstream ads { server ap1:8888 max_fails=1 fail_timeout=60s; server ap2:8888 max_fails=1 fail_timeout=60s;}出现的现象是:日志里面每隔一...
Linux 下 mtrace 的详细介绍
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
01-13 537
Linux 下 mtrace 的详细介绍
mtrace使用
xl715的博客
08-09 3502
mtrace 使用介绍 一旦发现系统有这个 “苗头”,当务之急就是要找到代码里哪里忘记归还了动态分配的内存。 而 “内存分配跟踪(malloc tracing)” 机制则是帮助我们检查 “内存泄露” 的好帮手,本文就来给大家介绍一下这个工具的使用,习惯上这个工具我们简称为 mtrace,下文也直接用 mtrace 指称这个工具。 mtrace 工具的主要思路是在我们的调用内存分配和释放的函数中装载 “钩子(hook)” 函数,通过 “钩子(hook)” 函数打印的日志来帮助我们分析对内存的使用是否存在问题。
linux-内存泄漏检测(mtrace)
weixin_43074937的博客
04-09 294
mtrace(memory trace),是 GNU Glibc 自带的内存问题检测工具,它可以用来协助定位内存泄露问题。它的实现源码在glibc源码的malloc目录下,其基本设计原理为设计一个函数 void mtrace (),函数对 libc 库中的 malloc/free 等函数的调用进行追踪,由此来检测内存是否存在泄漏的情况。
linux ip包路由超时,结合tcpdump命令对traceroute深入分析(示例代码)
weixin_42136791的博客
05-04 870
昨天突然被问到traceroute的原理,一时竟也说不出来,有些命令平时虽然经常在用,但实际原理确并不了解,趁这次机会就来梳理一下。traceroute:是网络诊断中,用来分析IP包经过那些路由的命令。学前知识:IP包中有个字段TTL,这个是最大跳转次数的字段,每经过一个路由器,值会-1,当值为0的时候,这个包就会被路由器丢弃,并返回ICMP-超时包给请求主机。实现原理:1、traceroute首...
UDP协议源码解析之接收
标子 的专栏
02-17 788
下面是入口函数 static int sock_recvfrom(int fd, void * buff, int len, unsigned flags, struct sockaddr *addr, int *addr_len) { struct socket *sock; struct file *file; char address[MAX_SOCK_ADDR]; i...
tcpdump 1分钟抓一个包
01-23
### 使用 `tcpdump` 每分钟捕获一次网络数据包 为了实现每分钟仅捕获一个数据包的目标,可以利用 Linux 的定时任务工具 `cron` 结合 `tcpdump` 来完成此操作。具体方法如下: #### 利用 cron 定时执行命令 通过编辑 crontab 文件来设置定时任务,使得系统每隔一分钟运行一次特定的 `tcpdump` 命令。 ```bash * * * * * /usr/sbin/tcpdump -c 1 -w /path/to/save/capture_$(date +\%F_\%T).pcap ``` 这条指令表示每一分钟触发一次 `tcpdump` 抓包动作,并且只抓取单个数据包 `-c 1`,并将结果保存到指定路径下的文件中,文件名包含了日期时间戳以便区分不同时间段的数据[^1]。 对于更复杂的过滤条件或者不同的接口需求,则可以在上述基础上调整 `tcpdump` 参数。例如针对某个特定源地址进行监听: ```bash * * * * * /usr/sbin/tcpdump -i eth0 src host specific_hostname -c 1 -w /path/to/save/capture_$(date +\%F_\%T)_src.pcap ``` 这里指定了网卡名称 `-i eth0` 和源主机名为 `specific_hostname` 进行精确匹配并同样限制数量为一[-3]。 如果希望进一步限定协议类型或其他特性,比如 ICMP 请求,也可以加入相应的表达式: ```bash * * * * * /usr/sbin/tcpdump 'icmp and ether dst host MAC_ADDRESS' -c 1 -w /path/to/save/capture_icmp_$(date +\%F_\%T).pcap ``` 此处使用了复合条件 `'icmp and ... '` 对应于具体的硬件地址 (MAC ADDRESS)[^4]。 需要注意的是当网络流量非常大时,即使设置了 `-c 1` 只获取单一报文,仍可能存在因网卡过载而导致丢弃的情况;此时可考虑增加 `-s snaplen` 设置快照长度减少内存占用,或是优化服务器性能以应对高负载环境[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值