【原创】如何选择“定时抓包”方案

最新推荐文章于 2023-12-20 17:47:31 发布
最新推荐文章于 2023-12-20 17:47:31 发布
阅读量1.5k 收藏 5
点赞数 1
文章标签: python c# 运维
原文链接:https://my.oschina.net/moooofly/blog/808430
版权
本文介绍了如何选择定时抓包方案,包括基于tcpdump的参数实现定时、定制shell脚本通过信号停止tcpdump、基于timeout的定时功能杀tcpdump以及tshark的定时参数。通过实验验证了不同方案在无网络流量、少量和大量流量情况下的表现,指出这些方法在实现精准定时上的局限性。
摘要由CSDN通过智能技术生成

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

需求:能抓取指定时间长度的包,比如抓取 10s 长度的包;

可选方案:

  • 使用 tcpdump 命令的 -G-W 参数;
  • 自己通过脚本实现在指定时间到达后通过 kill 命令杀掉 tcpdump 抓包进程;
  • 使用 tshark 命令的 -a duration:xx 参数;

基于 tcpdump-G -W 参数实现定时的方案

因为 tcpdump 太有名了,所以一般人十有八九会先想到这个工具;

查阅 tcpdump 的 man 手册可以发现与定时功能相关的参数如下:

-G rotate_seconds

如果设置了该参数,tcpdump 将会以 rotate_seconds 为周期对通过 -w 选项指定命名的 dump 文件进行轮转;保存文件命名通过 -w 选项指定,并且应该包含符合 strftime(3) 定义的时间戳格式;如果未指定时间格式,则每一个新产生的文件将会覆盖之前的文件;

如果和 -C 选项配合使用,文件命名将会采用 'file<count>' 格式;

-W

-C 选项配合使用,可以将创建文件数目限制指定值,并且咋达到该数值后,从头开始进行文件覆盖;从行为上,类似于实现了一个 'rotating' buffer 的功能;另外,该选项会在为文件命名时使用足够多的前导 0 , 以便正确支持我们要求的最大数目,同时允许基于该数值进行正确排序;

-G 选项配合使用,可以将 rotated dump 文件的数目限制在指定值,并在达到该数值的时候以状态码 0 退出;如果与 -C 选项配合使用,the behavior will result in cyclical files per timeslice.

-C file_size

在将 raw packet 写入存储文件前,会先检查当前文件的大小是否超过了 file_size 值;如果是,则关闭当前存储文件,并重开一个新文件;在首个保存文件之后,文件命名的构成变成 -w 指定内容加上一个从 1 开始的数字;file_size 的单位为兆字节(是 1,000,000 字节,不是 1,048,576 字节);

看似只要使用 -G-W 参数就可以实现指定抓包时间长度的功能;试验如下:

验证没有网络流量时的情况

说明:

time 用于计算 tcpdump 执行的时间; 通过 tcpdump 抓取 22 端口上的 ssh 通信包; -G 3 -W 1 用于设置只抓取一次 3 秒长度的通信包;

试验步骤:启动如下命令后,不进行任何操作,过了 N 久后敲击 enter 键;

root@vagrant-ubuntu-trusty:~# time tcpdump -i any tcp port 22 -G 3 -W 1 -w timer_test.pcap
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

(什么都不做,等了 N 久后敲一下 enter)

Maximum file limit reached: 1

real	0m28.999s    -- 可以看到过去的时间远远超过 3 秒
user	0m0.008s
sys	    0m0.000s
root@vagrant-ubuntu-trusty:~#
root@vagrant-ubuntu-trusty:~# capinfos timer_test.pcap
File name:           timer_test.pcap
File type:           Wireshark/tcpdump/... - pcap
File encapsulation:  Linux cooked-mode capture
Packet size limit:   file hdr: 262144 bytes
Number of packets:   0    -- 一个包也没抓到
File size:           24 bytes
Data size:           0 bytes
Capture duration:    n/a
Start time:          n/a
End time:            n/a
Data byte rate:      0 bytes/s
Data bit rate:       0 bits/s
Average packet size: 0.00 bytes
Average packet rate: 0 packets/sec
SHA1:                25b620a6d7e275a5b06401559e9c06bfd2e0f975
RIPEMD160:           60b5d5287c6e8fbd298ff2dac91e5a802e4b706a
MD5:                 3ad37ddb8fad5d769e0df74c7678ba15
Strict time order:   True
root@vagrant-ubuntu-trusty:~#

查看包的内容发现:确实一个包也没抓到;

root@vagrant-ubuntu-trusty:~# tshark -r timer_test.pcap
Running as user "root" and group "root". This could be dangerous.
root@vagrant-ubuntu-trusty:~#

验证存在少量网络流量时的情况

试验步骤:启动如下命令后,按照大概每秒一次的速度敲击 enter 键;

root@vagrant-ubuntu-trusty:~# time tcpdump -i any tcp port 22 -G 3 -W 1 -w timer_test.pcap
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

(enter)
(enter)
(enter)

Maximum file limit reached: 1

real	0m3.000s   -- 这次刚好运行了 3 秒
user	0m0.000s
sys	    0m0.004s
root@vagrant-ubuntu-trusty:~#
root@vagrant-ubuntu-trusty:~# capinfos timer_test.pcap
File name:           timer_test.pcap
File type:           Wireshark/tcpdump/... - pcap
File encapsulation:  Linux cooked-mode capture
Packet size limit:   file hdr: 262144 bytes
Number of packets:   3      -- 抓到了 3 个数据包
File size:           318 bytes
Data size:           246 bytes
Capture duration:    0 seconds
Start time:          Fri Dec 16 14:21:39 2016
End time:            Fri Dec 16 14:21:39 2016
Data byte rate:      719 kBps
Data bit rate:       5752 kbps
Average packet size: 82.00 bytes
Average packet rate: 8768 packets/sec
SHA1:                3edbbc777b6732fdc8817f9da1ce0f0f98542936
RIPEMD160:           95bbc3c5b4bdab0cfe1d719dcff30e757fe47c79
MD5:                 147792c10dbe9595cbfc63bf6fb8fe1b
Strict time order:   True
root@vagrant-ubuntu-trusty:~#

查看包的内容发现:抓取到 3 个包,3 个包均在 0.001 秒内发生;

root@vagrant-ubuntu-trusty:~# tshark -r timer_test.pcap
Running as user "root" and group "root". This could be dangerous.
  1   0.000000     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
  2   0.000136    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
  3   0.000342     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=37 Ack=37 Win=65535 Len=0
root@vagrant-ubuntu-trusty:~#

验证存在大量网络流量时的情况

试验步骤:启动如下命令后,按照大概每秒 3~4 次的速度连续敲击 enter 键;

root@vagrant-ubuntu-trusty:~# time tcpdump -i any tcp port 22 -G 3 -W 1 -w timer_test.pcap
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

(enter)
(enter)
(enter)
(enter)
(enter)
(enter)
...
(enter)
(enter)
(enter)
(enter)
(enter)
(enter)

Maximum file limit reached: 1

real	0m2.998s    -- 这次也刚好运行了 3 秒
user	0m0.000s
sys 	0m0.000s
root@vagrant-ubuntu-trusty:~#
root@vagrant-ubuntu-trusty:~# capinfos timer_test.pcap
File name:           timer_test.pcap
File type:           Wireshark/tcpdump/... - pcap
File encapsulation:  Linux cooked-mode capture
Packet size limit:   file hdr: 262144 bytes
Number of packets:   18    -- 抓到了 18 个数据包
File size:           1788 bytes
Data size:           1476 bytes
Capture duration:    1 seconds
Start time:          Fri Dec 16 14:29:33 2016
End time:            Fri Dec 16 14:29:34 2016
Data byte rate:      1955 bytes/s
Data bit rate:       15 kbps
Average packet size: 82.00 bytes
Average packet rate: 23 packets/sec
SHA1:                3d4c457b55ac7f496c5c15b1fbf60775aaab23e7
RIPEMD160:           b4a009650d64e5aa90e405d39a735e47e3f904e5
MD5:                 426dba1247972b13257eb12fea76817e
Strict time order:   True
root@vagrant-ubuntu-trusty:~#

查看包的内容发现:抓取到 18 个包,18 个包在 1 秒内发生;

root@vagrant-ubuntu-trusty:~# tshark -r timer_test.pcap
Running as user "root" and group "root". This could be dangerous.
  1   0.000000     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
  2   0.000138    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
  3   0.000303     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=37 Ack=37 Win=65535 Len=0
  4   0.149969     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
  5   0.150119    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
  6   0.150323     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=73 Ack=73 Win=65535 Len=0
  7   0.302591     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
  8   0.302728    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
  9   0.302907     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=109 Ack=109 Win=65535 Len=0
 10   0.449231     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
 11   0.449369    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
 12   0.449550     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=145 Ack=145 Win=65535 Len=0
 13   0.600790     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
 14   0.600929    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
 15   0.601112     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=181 Ack=181 Win=65535 Len=0
 16   0.754338     10.0.2.2 -> 10.0.2.15    SSH 92 Client: Encrypted packet (len=36)
 17   0.754482    10.0.2.15 -> 10.0.2.2     SSH 92 Server: Encrypted packet (len=36)
 18   0.754697     10.0.2.2 -> 10.0.2.15    TCP 62 53815→22 [ACK] Seq=217 Ack=217 Win=65535 Len=0
root@vagrant-ubuntu-trusty:~#

小结

上面费了那么多劲,其实就是想要告诉你,使用 tcpdump-G -W 参数实现抓取指定时间长度的功能不那么靠谱~~

定制 shell 脚本通过 kill 实现 tcpdump 的退出

该方案在网上能搜出很多,基本上大同小异;这里想要说明的问题是,使用哪种信号停止 tcpdump 的运行是靠谱的~

脚本是组内小伙写的,简单讲经历了三次主要变更:

初级阶段

a. 后台(&)启动 tcpdump 进行抓包;

b. 通过 sleep 进行定时;

c. 在时间到达后通过 kill -9 杀掉 tcpdump 进程;

中级阶段

将上述步骤 c 中的 kill -9 换成 kill -2

或者换成先 kill

最低0.47元/天 解锁文章
weixin_33894640
关注
Spring Boot进阶(92):一文教你快速实现Spring Boot与SkyWalking整合
**My Coding Family**
10-28 4414
一文教你快速实现Spring Boot与SkyWalking整合,还不赶紧进来学习!
Spring Boot进阶(62):Redis魔法:用发布订阅功能打造高效消息队列!
**My Coding Family**
08-30 9239
如何使用Redis的发布订阅功能实现消息队列?手把手教学,还不赶紧来学!
Tcpdump 详解(抓包
weixin_46837396的博客
10-07 2183
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息包的代码以c语言程序段的
通过crontab 指定时间抓包时间间隔抓包
qq_21193587的博客
06-08 3万+
运维的的时候经常有些 某时间段网络不稳定或应用异常。为了可以休息不用守时间抓包 但一直抓几个小时放一个包里,开开很慢或打不开。所以通过crontab 指定时间抓包时间间隔抓包就很有必要了。命令如下 tcpdum 抓包 定时任务 * * * * * tcpdump -i eth0 -s0 -G 60 -Z root -w %Y_%m%d_%H%M_%S.pcap tcpdump -i eth1 -s0 -G 60 -Z root -w /data/%Y_%m%d_%H%M_%S.pcap ...
python分析pcap文件_使用Python scapy分析pcap文件的一些记录
weixin_39938165的博客
11-30 547
2019-02-28 遇到的一点小问题安装方法网上很多,懒得贴了。就是电脑上Python环境太多,一开始安装插件的环境不是现在当前使用的这个,后面到Python Interpreter确认了一下,重新安装了一下。然后就是在win10系统上使用时遇到问题:ImportError: cannot import name 'NPCAP_PATH' from 'scapy.arch.pcapdn...
tcpdump 抓包命令及使用
herofantacy的博客
12-14 2690
1.抓取所有接收、发送UDP消息 tcpdump -i any udp -s 0 -w any.pcap 参考资料 tcpdump 复杂过滤规则_Benny_27_51CTO博客
5. PKI - SSH建立安全信道的过程
ttyy1112的专栏
07-29 2123
SSH建立安全连接的过程参考 参考 Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol
谈谈HTTPS安全认证,抓包与反抓包策略
weixin_43243583的博客
09-21 1867
文章原创于公众号:程序猿周先森。本平台不定时更新,喜欢我的文章,欢迎关注我的微信公众号。 协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。HTTP协议,即超文本传输协议是一种详细规定了浏览器和万维网服务器之间互相通信的规则,通过因特网传送万维网文档的...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
tcpdump持续抓包
fs交流的博客
06-21 418
tcpdump持续抓包
tcpdump命令详解
热门推荐
wj31932的博客
06-05 12万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
tcpdump抓包技巧
最新发布
locahuang的博客
12-20 3118
它主要针对的是 HTTP 协议和 HTTPS 协议, 可以确认我们的网络数据包的一个状态, 通过分析请求和响应报文里面的内容, 分析出来请求数据和响应数据是否正确, 定位问题是前端问题还是后端问题。它不仅可以分析http/https的数据,它还可以分析网络2层以上都可以看到,比如tcp的三次握手等,但是如果你只是分析http协议,可以不用这么专业的工具,以免增加筛选请求成本和学习成本。-s 0则是设置为最大上限,即是262144字节,-s 0可防止截断包,抓到完整的数据包,但是相对应的,会增加处理时间
信息安全—利用Wireshark抓取SSH认证协议数据包
qq_44725217的博客
05-30 8923
请利用Wireshark抓取SSH认证协议数据包
tcpdump时间抓包
yasi_xi的专栏
04-02 1万+
tcpdump -i eth0 -s 1514 -C 20 -W 50 -w 61.pcap -W: 最多写入多少个抓包文件,编号从00到19,19号写满后,从00号文件重新开始循环写 -C: 每个文件的大小上限,以M为单位;-C 20 -W 50 就是说,最多写入50个pcap文件,每个文件大小最大20M(总共最多占磁盘1G),编号从00到19,循环写入 -s: 指定每个包抓多
Linux怎么抓包时间,linux下利用tcpdump实现24小时自动抓包
weixin_36054213的博客
05-12 1558
tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark等软件进行查看,下面我们就来看一个tcpdump实现24小时自动抓包实现例子.安装tcpdump,代码如下:# yum install tcpdump脚本里有注释#diy的,表示下一行需自定义修改,脚本都放在home目录下,cro...
tcpdump抓包
mayue_web的博客
10-31 3万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
CTF实践
AZXYZNPY的博客
11-21 164
(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。找到一个似乎和网络流量有关的目录(路径)。能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。2.利用NMAP扫描目标主机,发现目标主机端口开放、服务情况,截图并说明目标提供的服务有哪些?
WLAN技术分析:信道选择抓包案例
本文主要探讨了中国移动在WLAN(无线局域网)环境下的信道资源管理和抓包案例分析,涉及信道选择策略、802.11标准的演进以及WLAN的新技术应用。 在WLAN网络中,信道资源的管理是至关重要的。在启动时,设备会通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值