本文详细介绍了如何使用Linux命令tcpdump进行网络数据包的抓取、过滤、分类和分析,包括交互分析和统计分析,提供了一系列awk脚本辅助深入解析数据包的交互模型和性能指标。
1.盲抓
盲抓就是瞎抓,尤其在你接触到一台陌生机器,感觉有点抓瞎的时候,应当使用本节中的方法,其目的是找出这台机器上的重点网络服务是哪些ip和端口。如果你明确的知道要抓的包是哪个ip,哪个端口,可以直接跳至下一小节。
在目标机器上抓取任意tcp数据(需要root权限):
tcpdump -i any -nn tcp > 123.pkg.head.txt
分析目标机器上热点ip:port(按数据包数量统计):
cat 123.pkg.head.txt | awk 'NF>5 && $2=="IP" {print $3,"[out]"; print substr($5,1,length($5)-1), "[in]"}' | sort | uniq -c | awk '{buf[NR]=$0;sum+=$1} END{for(i=1;i<=NR;i++) print buf[i], sum}' | awk '{printf("%s %s %s %.2f %%\n",$1, $2, $3, 100*$1/$4)}' | sort -nr -k 4 | less
示例:
2359 10.71.28.21.80 [in] 23.59 %
2057 10.71.28.21.80 [out] 20.57 %
331 10.71.28.20.8080 [in] 3.31 %
253 10.71.28.20.8080 [out] 2.53 %
190 218.92.220.60.39147 [out] 1.90 %
154 218.92.220.60.39147 [in] 1.54 %
106 218.92.220.56.60503 [ou
订阅专栏 解锁全文
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
