tcpdump常用用法+wireshark分析cap包
发表于:2025-01-23 作者:千家信息网编辑
千家信息网最后更新 2025年01月23日,工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host
千家信息网最后更新 2025年01月23日tcpdump常用用法+wireshark分析cap包
工作中的常用用法
一、tcpdump常用用法:
1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;
抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn
2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;
抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -i ethX host 192.168.1.100 and tcp port 22(端口号) -vnn
3, -c 指定抓取报文的数量, 用 -w 把抓取的数据包写入文件;
抓取某网口50个包并写入dump.cap(为什么是 .cap?因为wireshark识别此扩展名)文件:tcpdump -i ethX -c 50 -w /root/dump.cap
4,可以用关键字 src 或者 dst 表示 源 或者 目的;
抓取源端口号为22(tcp协议)的报文tcpdump -i ethX tcp src port 22(端口号) -vnn
以上为常用用法,可以根据实际情况灵活组合。
二、wireshark分析报文:
1,淡紫色数据包为正常数据包,包括数据包和ACK包
2,黑色为异常包,包括丢包ACK、重传等
2.1 Packet Size limited during capture 这个标志说明数据包并没被完全抓到,而只是抓到了一部分。这种情况多数是由于抓包方式引起,在某些系统中tcpdump只抓每个帧的前96个字节。我们可以"-s"参数来指定想要的字节数。 2.2 TCP previous segment not captured TCP传输过程中同一台主机发出的数据应该是连续的,即后一个数据包的Sequence应该等一前一个数据包的sequence+len,如果后面捕捉到的数据包不符合这样的规律,即sequence比前一个包的sequence+len大的话,我们就可以认定中间的数据包就没有抓到,导致这个数据包没有按时到达的原因可能有乱序或者丢包导致。 2.3 TCP ACKed unseen segment 当WireShark发现被ACK的那个包没被抓到,就会提示[TCP ACKed unseen segment],这种提示一般没有什么问题,就是WireShark漏抓了。 2.4 TCP Dup ACK 当出现乱序或者丢包等情况的时候,本来应该收到的数据包没有收到,反而收到了一些Sequence号比较大的数据包,这时候客户端就会回复一个ACK,ACK本应该收到却没有收到的包,如果后面来的还不是所期望的数据包,那么客户端每收到一个其他数据包就会回复一个ACK,由于这些ACK是重复的,所以就会提示[TCP Dup ACK]。 2.5 TCP Out-of-Order TCP传输过程中数据包的Sequence号应该是持续递增的,也就是说每个数据包之间应该只差一个Len的数据,但是在传输过程中如果Sequence比较大的数据包比Sequence比较小的数据包先到达的话,就会触发[TCP Previous Segment not cpatured],然后如果在后续收到了"迟到"的数据包,就会被标记[TCP Out-of-order]。 2.6 TCP Fast Retransmission 当服务器收到3个或以上的[TCP Dup ACK]后就会判定所ACK的包丢失了,哪怕还没有超过定时器的规定,都会立即重新发送,客户端收到后会标记为[TCP fast retransmission]。 2.7 TCP Retransmission 一般来说一个数据包丢失后又没有足够的后续数据包来触发[TCP Fast Retransmission]的话,超过定时器的时限后就会触发超时重传,这时候客户端收到的数据包就会被标记[TCP Retransmission]。 2.8 TCP Zerowindow 在TCP数据包中,Info那一栏的中的"win=XX"中XX代表了接收窗口的大小,代表了这个信息的源地址的主机还有多少数据可以接收,或者说缓存区还有多少空间。当win=0的时候就会给相应ACK打上[TCP Zerowindow]的标志,告诉发送方我没有数据可以接收了。 2.9 TCP window full 当出现这个标志的时候证明发送方已发送的但还没有确认的数据包已经达到了接收方接收窗口的上限,也就是说这个时候发送方就会停止发送数据,而不是等接收方回复[TCP Zerowindow]后才停止发送。所以[TCP window full]针对的是发送方没法发送数据,而[TCP Zerowindow]指的是接收方没法接收数据,不管出现哪一种情况,都会中断数据的传输,直到缓存区有新的空间存放数据。
3,数据包的标签从左到右依次为:
数据包编号---时间---源地址---目标地址---协议类型---长度---总长度---数据包序号---下一个数据包序号---ACK号---身份识别码---RTT---一些窗口参数
4,再点击一个报文后,我们在WireShark的下端可以看到更为详细的信息:
分别对应OSI七层模型的,数据链路层、网络层、传输层、应用层
数据
报文
传输
常用
客户
客户端
情况
时候
网口
信息
口号
地址
收方
标志
过程
提示
主机
也就是
也就是说
代表
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
海南网络技术服务热线
社交网络安全推广营销计划
汕尾无线软件开发价格
网络安全适合翻转课堂的主题
计算机三级网络技术教学
公安部门网络安全保卫
武汉定制软件开发解决方案
服务器连接怎么删除
互联网下的金融科技
wow服务器人口普查2022
软件开发服务合同的主体
数据库 原则
VS菜鸟级软件开发
学网络安全的就业工资
服务器关机后重启会短路吗
手机软件开发的公司
软件开发管理论文参考文献
万象读取数据库很慢
什么因素对服务器安全
武汉软件开发方案
数据库NFS存储性能
齐星网络技术
工控网络安全应急预案
数据库管理系统的设计
西安全美食互联网科技电话号
高速交警网络安全管理
app软件开发电话多少
头条号后台显示服务器异常
民办的计算机软件开发费用
保定传众网络技术有限公司