簡(jiǎn)介
網(wǎng)絡(luò)數(shù)據(jù)包截獲分析工具。支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾。并提供and、or、not等邏輯語(yǔ)句幫助去除無(wú)用的信息。
tcpdump - dump traffic on a network
例子
不指定任何參數(shù)
監(jiān)聽(tīng)第一塊網(wǎng)卡上經(jīng)過(guò)的數(shù)據(jù)包。主機(jī)上可能有不止一塊網(wǎng)卡,所以經(jīng)常需要指定網(wǎng)卡。
tcpdump
監(jiān)聽(tīng)特定網(wǎng)卡
tcpdump -i en0
監(jiān)聽(tīng)特定主機(jī)
例子:監(jiān)聽(tīng)本機(jī)跟主機(jī)182.254.38.55之間往來(lái)的通信包。
備注:出、入的包都會(huì)被監(jiān)聽(tīng)。
tcpdump host 182.254.38.55
特定來(lái)源、目標(biāo)地址的通信
特定來(lái)源
tcpdump src host hostname
特定目標(biāo)地址
tcpdump dst host hostname
如果不指定src跟dst,那么來(lái)源 或者目標(biāo) 是hostname的通信都會(huì)被監(jiān)聽(tīng)
tcpdump host hostname
特定端口
tcpdump port 3000
監(jiān)聽(tīng)TCP/UDP
服務(wù)器上不同服務(wù)分別用了TCP、UDP作為傳輸層,假如只想監(jiān)聽(tīng)TCP的數(shù)據(jù)包
tcpdump tcp
來(lái)源主機(jī)+端口+TCP
監(jiān)聽(tīng)來(lái)自主機(jī)123.207.116.169在端口22上的TCP數(shù)據(jù)包
tcpdump tcp port 22 and src host 123.207.116.169
監(jiān)聽(tīng)特定主機(jī)之間的通信
tcpdump ip host 210.27.48.1 and 210.27.48.2
210.27.48.1除了和210.27.48.2之外的主機(jī)之間的通信
tcpdump ip host 210.27.48.1 and ! 210.27.48.2
稍微詳細(xì)點(diǎn)的例子
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置,用來(lái)過(guò)濾數(shù)據(jù)報(bào)的類型
(2)-i eth1 : 只抓經(jīng)過(guò)接口eth1的包
(3)-t : 不顯示時(shí)間戳
(4)-s 0 : 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-S 0 后可以抓到完整的數(shù)據(jù)包
(5)-c 100 : 只抓取100個(gè)數(shù)據(jù)包
(6)dst port ! 22 : 不抓取目標(biāo)端口是22的數(shù)據(jù)包
(7)src net 192.168.1.0/24 : 數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
抓http包
TODO
限制抓包的數(shù)量
如下,抓到1000個(gè)包后,自動(dòng)退出
tcpdump -c 1000
保存到本地
備注:tcpdump默認(rèn)會(huì)將輸出寫(xiě)到緩沖區(qū),只有緩沖區(qū)內(nèi)容達(dá)到一定的大小,或者tcpdump退出時(shí),才會(huì)將輸出寫(xiě)到本地磁盤(pán)
tcpdump -n -vvv -c 1000 -w /tmp/tcpdump_save.cap
也可以加上-U強(qiáng)制立即寫(xiě)到本地磁盤(pán)(一般不建議,性能相對(duì)較差)
實(shí)戰(zhàn)例子
先看下面一個(gè)比較常見(jiàn)的部署方式,在服務(wù)器上部署了nodejs server,監(jiān)聽(tīng)3000端口。nginx反向代理監(jiān)聽(tīng)80端口,并將請(qǐng)求轉(zhuǎn)發(fā)給nodejs server(127.0.0.1:3000)。
瀏覽器 -> nginx反向代理 -> nodejs server
問(wèn)題:假設(shè)用戶(183.14.132.117)訪問(wèn)瀏覽器,發(fā)現(xiàn)請(qǐng)求沒(méi)有返回,該怎么排查呢?
步驟一:查看請(qǐng)求是否到達(dá)nodejs server -> 可通過(guò)日志查看。
步驟二:查看nginx是否將請(qǐng)求轉(zhuǎn)發(fā)給nodejs server。
tcpdump port 8383
這時(shí)你會(huì)發(fā)現(xiàn)沒(méi)有任何輸出,即使nodejs server已經(jīng)收到了請(qǐng)求。因?yàn)閚ginx轉(zhuǎn)發(fā)到的地址是127.0.0.1,用的不是默認(rèn)的interface,此時(shí)需要顯示指定interface
tcpdump port 8383 -i lo
備注:配置nginx,讓nginx帶上請(qǐng)求側(cè)的host,不然nodejs server無(wú)法獲取 src host,也就是說(shuō),下面的監(jiān)聽(tīng)是無(wú)效的,因?yàn)榇藭r(shí)對(duì)于nodejs server來(lái)說(shuō),src host 都是 127.0.0.1
tcpdump port 8383 -i lo and src host 183.14.132.117
步驟三:查看請(qǐng)求是否達(dá)到服務(wù)器
tcpdump -n tcp port 8383 -i lo and src host 183.14.132.117
鏈接:https://www.cnblogs.com/chyingp/p/linux-command-tcpdump.html
-
Linux
+關(guān)注
關(guān)注
87文章
11300瀏覽量
209397 -
數(shù)據(jù)包
+關(guān)注
關(guān)注
0文章
261瀏覽量
24388
原文標(biāo)題:Linux運(yùn)維必備技能:手把手教你用tcpdump精準(zhǔn)抓包!
文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論