tcpdump 抓两个地址的数据_tcpdump内容抓取和基于IP统计流量

最新推荐文章于 2023-09-11 23:35:15 发布
最新推荐文章于 2023-09-11 23:35:15 发布
阅读量1.2k 收藏
点赞数
文章标签: tcpdump 抓两个地址的数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39621185/article/details/111852498
版权
本文介绍了如何使用tcpdump在机器A和B之间抓取数据,并通过iptables进行流量转发。通过tcpdump的零拷贝方式实现高效抓包,抓包文件使用Wireshark读取。此外,还分享了一种基于IP统计流量的方法,包括使用tcpdump的-G选项按时间分割文件,然后通过shell脚本tcp-audit.sh和tcp-reduce.sh进行流量统计。最后,使用cron定时执行流量统计任务。
摘要由CSDN通过智能技术生成

一、内容抓取

被抓取机器A(各种系统,各种盒子,各种电视机):

IP:192.168.100.111

网关:192.168.100.24

(tcpdump执行机)抓取机器B:

IP:192.168.100.24

B机器:

#echo 1 > /proc/sys/net/ipv4/ip_forward

#iptables -t nat -A POSTROUTING -s 192.168.100.111 -j MASQUERADE

#tcpdump -i eth0 -nn -vv -tttt -s 65535 host 192.168.100.111 -w tcpdump.txt

1

2

3

#echo 1 > /proc/sys/net/ipv4/ip_forward

#iptables -t nat -A POSTROUTING -s 192.168.100.111 -j MASQUERADE

#tcpdump -i eth0 -nn -vv -tttt -s 65535 host 192.168.100.111 -w tcpdump.txt

抓取的tcpdump.txt文档可以通过wireshark读取内容

二、基于IP统计流量

问题:基于ip统计流量。

硬件:学校集群

难点:

1.当使用高速网卡(千兆或IB)并且网卡满负荷时丢包率如何

2.程序的cpu占用率如何

3.日志文件过大

方案及分析:

1.抓包的实现方式有多种,如用libpcap库、采用零拷贝方式、使用PF_RING接口、直接使用系统函数

我看了一些文章并测试了netsniff-ng程序(基于零拷贝),我认为零拷贝方式效率最高,丢包率最低。但是我

测试tcpdump时发现其效率也较高(测试时网卡几乎满负荷),并且几乎没有丢包,又由于其方便使用等其他

因素最终选用tcpdump。

2.测试tcpdump抓包时cpu占用率4%左右

3.tcpdump由于记录每个数据包,虽然我们可以限制每个包记录的字节数(-s选项),但是由于网卡满负荷,

所以包的数量格外大。 如下,60秒已经抓到748168个包,导致pcap文件也格外大

Number of packets: 748168

File size: 58394582 bytes

Data size: 3900660165 bytes

Capture duration: 59.963470 seconds

因此,我使用-G选项每分钟记录一个pcap文件然后自己统计删减其中数据,最后删掉该pcap文件。即每分钟

生成一个如下的文件(时间间隔可以根据需要改)

File name: /public/home/wangvsa/software/tcp-audit/2012-07-16,12:54:54.pcap

File encapsulation: Ethernet

Number of packets: 748168

File size: 58394582 bytes

Data size: 3900660165 bytes

Capture duration: 59.963470 seconds

Start time: Mon Jul 16 12:54:53 2012

End time: Mon Jul 16 12:55:53 2012

Data rate: 65050607.75 bytes/s

Data rate: 520404861.98 bits/s

IPv4 total packet: 748037

source ip port dir dest ip port proto flow

10. 10. 10. 61: 9090 > 10. 10. 10. 49: 27884 tcp 1793

0. 0. 0. 0: 68 > 255.255.255.255: 67 UDP 5310

10. 10. 10. 49: - > 10. 10. 10. 62: - ICMP 234 10. 10. 10. 49: 22 > 10. 10. 10. 61: 47051 tcp 117124 10. 10. 10. 48: 38906 > 10. 10. 10. 49: 16797 tcp 44288974

10. 10. 10. 48: 64468 > 10. 10. 10. 49: 45094 tcp 171

10. 10. 10. 61: 47051 > 10. 10. 10. 49: 22 tcp 5406

10. 10. 10. 49: 27884 > 10. 10. 10. 61: 9090 tcp 2112

10. 10. 10. 49: 45094 > 10. 10. 10. 48: 64468 tcp 108

10. 10. 10. 62: - > 10. 10. 10. 49: - ICMP 234

10. 10. 10. 49: 16797 > 10. 10. 10. 48: 38906 tcp 3856230180

具体实现:

1.编写针对pcap文件的统计脚本(如果对效率要求高可以写成c语言程序),共两个文件tcp-audit.sh 和

tcp-reduce.sh。在tcp-audit.sh中调用了tcp-reduce.sh,自己不要直接调用。

先看tcp-audit.sh,这个文件从ready.txt中读取内容,每一行都是一个要统计的pcap文件的文件名,稍后

讨论如何得到的ready.txt文件。

#!/bin/bash

# tcp-audit.sh

# 读取ready.txt文件,每次读取一行

# 将其内容作为参数传给tcp-reduce.sh

# 执行完后删除该行

DIR="/home/wangchen/shell_ex/"

while read line

do

# tcp-reduce.sh处理

$DIR/tcp-reduce.sh ${line}

# 删除该pcap文件

rm $DIR/${line}

# 删除该行

sed -i '1d' $DIR/ready.txt

done < $DIR/ready.txt

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

#!/bin/bash

# tcp-audit.sh

# 读取ready.txt文件,每次读取一行

# 将其内容作为参数传给tcp-reduce.sh

# 执行完后删除该行

DIR="/home/wangchen/shell_ex/"

whilereadline

do

# tcp-reduce.sh处理

$DIR/tcp-reduce.sh${line}

# 删除该pcap文件

rm$DIR/${line}

# 删除该行

sed-i'1d'$DIR/ready.txt

done<$DIR/ready.txt

再看tcp-reduce.sh,这个脚本完成了所有的统计操作并且输出到日志文件中。这个脚本中使用了grep和sed命令

来格式话pcap文件的输出方便之后awk程序的使用。还是用了capinfos这个程序提供的一些分析数据。

注:tcpdump 和 capinfos 版本不同,其参数选项要注意修改。如capinfos 的-x在旧版本中是用-i

#!/bin/bash

# tcp-reduce.sh

DIR="/home/wangchen/shell_ex"

# 根据pcap文件名构造出日志文件名(以时间命名)

tmp1=$*

tmp2=(${tmp1//./ })

LOG_FILE_NAME=${tmp2[0]}".log"

# 输出文件信息,即网卡信息

capinfos -a -c -d -e -E -s -u -x -y $DIR/$* >> $DIR/$LOG_FILE_NAME

# 将tcpdump文件生成可读文本

# 由grep,sed执行过滤、替换处理后交给awk

# 使用awk语言处理数据行,统计基于ip的流量信息

tcpdump -q -n -e -t -r $DIR/$* \

| grep "IPv4" | sed 's/,/ /g; s/>/ /g; s/://g' \

| awk '

BEGIN {

printf("\n")

}

{

# $5:packet length

# $6:source ip.port

# $7:destination ip.port

# $8:proto

# array_flow是数组记录每个方向的流量

# 其下标是数据传输方向(字符串)

count++

way = $6"."$7"."$8

for(x in arr_total_flow)

{

if(way==x)

{

arr_total_flow[way] += $5

next

}

}

arr_total_flow[way] = $5

}

END {

printf("\nIPv4 total packet: %d\n",NR)

printf("%16s%6s%6s%19s%6s\tproto\tflow\n","source ip","port","dir","dest ip","port")

for(x in arr_total_flow)

{

# 格式化输出

split(x,chunks,".")

if(chunks[9]=="ICMP")

{

printf("%3s.%3s.%3s.%3s:%6s > %3s.%3s.%3s.%3s:%6s\t%s\t%d\n",

chunks[1],chunks[2],chunks[3],chunks[4],"-", # 源地址 : 端口

chunks[5],chunks[6],chunks[7],chunks[8],"-", # 目的地址 : 端口

chunks[9],arr_total_flow[x])      # 协议 总流量

}

else

{

printf("%3s.%3s.%3s.%3s:%6s > %3s.%3s.%3s.%3s:%6s\t%s\t%d\n",

chunks[1],chunks[2],chunks[3],chunks[4],chunks[5], # 源地址 : 端口

chunks[6],chunks[7],chunks[8],chunks[9],chunks[10], # 目的地址 : 端口

chunks[11],arr_total_flow[x])       # 协议 总流量

}

}

}

' >> $DIR/$LOG_FILE_NAME

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

#!/bin/bash

# tcp-reduce.sh

DIR="/home/wangchen/shell_ex"

# 根据pcap文件名构造出日志文件名(以时间命名)

tmp1=$*

tmp2=(${tmp1//./ })

LOG_FILE_NAME=${tmp2[0]}".log"

# 输出文件信息,即网卡信息

capinfos-a-c-d-e-E-s-u-x-y$DIR/$*>>$DIR/$LOG_FILE_NAME

# 将tcpdump文件生成可读文本

# 由grep,sed执行过滤、替换处理后交给awk

# 使用awk语言处理数据行,统计基于ip的流量信息

tcpdump-q-n-e-t-r$DIR/$*\

|grep"IPv4"|sed's/,/ /g; s/>/ /g; s/://g'\

|awk'

BEGIN {

printf("\n")

}

{

# $5:packet length

# $6:source ip.port

# $7:destination ip.port

# $8:proto

# array_flow是数组记录每个方向的流量

# 其下标是数据传输方向(字符串)

count++

way = $6"."$7"."$8

for(x in arr_total_flow)

{

if(way==x)

{

arr_total_flow[way] += $5

next

}

}

arr_total_flow[way] = $5

}

END {

printf("\nIPv4 total packet: %d\n",NR)

printf("%16s%6s%6s%19s%6s\tproto\tflow\n","source ip","port","dir","dest ip","port")

for(x in arr_total_flow)

{

# 格式化输出

split(x,chunks,".")

if(chunks[9]=="ICMP")

{

printf("%3s.%3s.%3s.%3s:%6s > %3s.%3s.%3s.%3s:%6s\t%s\t%d\n",

chunks[1],chunks[2],chunks[3],chunks[4],"-", # 源地址 : 端口

chunks[5],chunks[6],chunks[7],chunks[8],"-", # 目的地址 : 端口

chunks[9],arr_total_flow[x])      # 协议 总流量

}

else

{

printf("%3s.%3s.%3s.%3s:%6s > %3s.%3s.%3s.%3s:%6s\t%s\t%d\n",

chunks[1],chunks[2],chunks[3],chunks[4],chunks[5], # 源地址 : 端口

chunks[6],chunks[7],chunks[8],chunks[9],chunks[10], # 目的地址 : 端口

chunks[11],arr_total_flow[x])       # 协议 总流量

}

}

}

'>>$DIR/$LOG_FILE_NAME

2.接下来就是如何运行的问题,首先用root权限执行tcpdump抓包程序,我使用的命令如下:

sudo tcpdump -i eth3 -s 84 -G 60 -z ./tcp-add.sh -w %F,%T.pcap

1

sudotcpdump-ieth3-s84-G60-z./tcp-add.sh-w%F,%T.pcap

参数分析:-i eth3 在eth3上抓包; -s 84每个包最多记录84字节; -G 60 每60秒就在打开一个文件记录;

-z  ./tcp-add.sh配合-G使用,每次记录完一个文件后执行./tcp-add.sh脚本(后面讲这个脚本)

-w %F,%T.pcap 输出,文件名有时间组成%F表示年月日,%T表示时分秒,如2012-07-16,12:54:54.pcap

再来看这个tcp-add.sh,这个脚本十分简单,实际就是将刚才的记录完的pcap文件名写到ready.txt文件中。

#!/bin/bash

# 作为tcpdump的-z参数使用

# 将已经存储完的pcap文件名加入ready.txt等待处理

echo $* >> ready.txt

1

2

3

4

#!/bin/bash

# 作为tcpdump的-z参数使用

# 将已经存储完的pcap文件名加入ready.txt等待处理

echo$*>>ready.txt

这样就会每分钟生成一个pcap文件,并将其文件名写到ready.txt文件中。

3.下面就要用到cron来定时执行我们的统计任务。在开启crond服务后执行如下命令

sudo crontab -e

此命令打开一个文件,在最后一行加入如下,之后保存退出

*/2 * * * * /home/wangchen/shell_ex/tcp-audit.sh

这一条表示每两分钟(时间随意定)执行一次tcp-audit.sh脚本。

weixin_39621185
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump数据及分析
10-09
tcpdump和Wireshark是两个在该领域常用的工具,本篇文章将详细探讨它们的使用和分析方法。 tcpdump是一款强大的命令行网络数据嗅探工具,广泛应用于各种Unix-like系统(括Linux和macOS)。它的主要功能是实时...
tcpdump 两个地址数据_网络/命令行工具tcpdump详解
weixin_35097945的博客
01-05 4838
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据进行截获的分析工具。tcpdump可以将网络中传送的数据的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要roo...
Java实用程序设计课后习题 西安电子科技大学
shuaishuai5213的博客
10-28 4667
先点赞、先点赞、先点赞!!!!!!!!! 第二章 3.尝试将下表中的浮点数相除运算填写完整 说明: 这里的有穷正数和有穷负数,我分别使用的是100和-100来表示,还有就是Infinity和NaN,我使用的是diea,可以直接使用,而我同学使用的是eclipse,他们不能正确显示,可以使用第二十至二十一页里面的来替代 代码 import static java.lang.Double....
tcpdump 两个地址数据_tcpdump 基于mac地址抓取数据
weixin_39869959的博客
12-22 500
1、刚刚接触tcpdump时,常用tcpdump -i eth1 host 192.168.1.1 这个命令基于ip地址抓取数据信息。tcpdump -i eth1(接口名称) host 192.168.1.1(计算机IP地址)2、在分析客户的网络中,经常会用到设备中自带的tcpdump软件,再配合PC端的wireshark软件来简单检查分析客户的网络情况。这时候经常用到的tcpdump参数为:...
Tcpdump:如何同时抓取多个网卡的数据
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
09-11 3367
虽然tcpdump原生并不支持同时抓取多个网卡的数据,但通过运行多个实例或使用any接口,我们还是可以达到这个目的。根据具体需求和系统环境,可以选择最适合的方法。如果你觉得这篇文章有用,欢迎分享给更多的读者。这样,更多人可以了解这一主题并从中受益。
python调用tcpdump过滤的方法
09-20
在Python编程中,有时我们需要对网络流量进行和分析,这时可以借助于命令行工具如tcpdump。本文将详细讲解如何使用Python调用tcpdump进行过滤,并提供了一个简单的示例代码。 tcpdump是一个强大的网络封...
tcpdump和libpcap(2020年11月20日)
11-20
TCPDump和Libpcap是两个至关重要的工具,它们在这一领域扮演着不可或缺的角色。 TCPDump是一款强大的网络分析工具,源自BSD操作系统,广泛应用于各类Unix-like系统以及Windows平台。它的主要功能是实时地捕获并显示...
Android中使用tcpdump、wireshark进行并分析技术介绍
09-03
这只是tcpdump和Wireshark基本功能的简单介绍,实际上,这两个工具提供了丰富的选项和高级特性,如查看TCP/IP协议栈的详细信息、解码各种网络协议、自定义过滤规则等。在实际工作中,熟练掌握这些工具能够帮助开发者...
tcpdump源码分享
04-21
这个资源含了tcpdump的4.0和3.9两个版本的源代码,对于理解网络协议、学习网络监控以及进行网络调试具有极高的价值。 在tcpdump的源码中,你可以探索以下几个重要的知识点: 1. **libpcap库**:tcpdump依赖于...
tcpdump 主机到两个ip之间的_IoT渗透之5法
weixin_39793105的博客
12-01 2586
近期我们对一些智能家电设备进行了渗透测试,其中一个目标设备是某公司的智能插座产品。拿到产品后我们一般会进行下面的两步操作:第一步设备配网,即插座绑定;第二步通过APP实现智能插座的远程通电和断电操作。前面的操作都很顺利,但当我们用Burpsuite设置代理到进行分析时,发现基本不到什么https和http。经过一番头脑风暴后,我们找到了不到的原因,APP与设备之间很可能使用了...
tcpdump高级过滤表达式
lepton126的专栏
11-08 1万+
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt   tcpdump advanced filters ======================== Sebastien Wains http://www.wains.be $Id: tcpdump_advanced_filters.txt 34
小记录:tcpdump的常用命令
见牛羊的博客
09-11 517
基本的命令, 从eth0 抓取,保存到xxx.pcap。# 可以按照协议抓取,如udp,ip,arp等。# 抓取ip 或目的 ip。# 抓取多个源ip
服务器-tcpdump使用简介
yogima的博客
10-14 3617
tcpdump是Linux里的字符界面的数据分析软件,用tcpdump到的数据可以使用绝大多主流分析软件进行分析,例如wireshark。
tcpdump+wireshark:网络故障排查与分析指南
qq_38658567的博客
09-25 5311
网络数据采集分析工具TcpDump 可以将网络中传送的数据的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 1、安装tcpdump ## yum安装 yum -y install tcpdump ## apk方式 apk update apk add tcpdump 2、HTTP/TCP 用 wget 获取一个网站的首页文件(index.html),同时 tcpdump ,对到的网络流量进行分析: wg
网络数据抓取工具_如何抓取网络两个方法告诉你
weixin_39891438的博客
11-30 4452
显形“不可见”的网络网络世界中的数据交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。还别说,我自己在大学的时候,也是如此。直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据,呈现在我们眼前,一目了然。唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵...
tcpdump常用与高级过滤方法整理
wfj_uestc的博客
05-06 8028
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
tcpdump 详细使用指南(请尽情食用)
热门推荐
叮当猫的喵i
09-06 2万+
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
linux过滤端口_测试必杀技之linux神器-tcpdump
weixin_39688870的博客
12-20 224
作为测试人员因为要分析定位问题,总是不可避免的需要使用各种工具,所以市面上的工具也非常多:比如代理型的工具 fiddler 和 Charles,比如功能强大的 Burpsuite,也有浏览器自带的 F12,还有专注于网络协议报文的 wireshark 等等。这些工具各有所长,但是他们都有一个共同的特点,就是都有图形化界面可操作,使用相对来说都还比较简单。那么,如果在 Linux 操作系...
tcpdump怎么同时抓取端口和IP
07-12
要同时捕获特定端口和IP的网络流量,可以使用tcpdump命令的过滤器选项来实现。下面是一个示例命令: ``` tcpdump -i <interface> port <port> and host <IP> ``` 请将 `<interface>` 替换为要捕获流量的网络接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值