linux下抓包学习--tcpdump的使用

最新推荐文章于 2020-11-19 22:44:19 发布

转载最新推荐文章于 2020-11-19 22:44:19 发布 · 85 阅读

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/grey-wolf/p/9923012.html

文章标签：

本文阐述了抓包在问题排查中的重要性，通过案例说明如何使用tcpdump进行网络包捕捉，包括指定端口号、host及协议的高级用法，帮助读者掌握网络故障定位技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、为什么需要学这个

很多时候，开发环境上不会出现问题。但在测试或者现场时，总是会有很多莫名其妙的问题。

这时候，能在出问题的环境上，开启抓包，然后再去重现问题的话，这时候，就可以拿到第一手的资料了。

这对我们解决问题，是至关重要的。

以前在华为工作时，遇到一次问题，是电信客户投诉，一个第三方公司和我司都是电信的客户。第三方公司和我方通信的是一个

boss系统，通信是soap协议。

问题大概是boss系统对我方进行了请求，然后我方设备的应答不对。

当时还是新员工的我，心慌得一匹，傻傻地找自己系统的问题，日志看过来看过去都没问题。后来，找到一线的技术支持，

坚持要抓包才能方便分析问题后，技术支持给我抓了包。

结果一看，对方boss系统的参数有问题，我方是按照协议开发的。我方没问题。

然后就变成了第三方公司去向电信解释，当初为啥没按照协议开发，各种追责。。。

所以，抓包的重要性毋庸置疑。它既能协助我们快速定位一个bug，也能在问题发生时，将不是自己的锅甩出去。

下面就看看简单的tcpdump抓包吧。

这里可以查看其在linux中的manpage：

也可以参考这里：

tcpdump的命令的语法大概是：

一共两部分，前面那个大框里，都是各类选项。

其实真正重要的是第二个，expression。这个expression就是指定一个捕获时的过滤表达式，比如host 192.168.19.22，

这就是一个表达式，这个表达式的意思是：抓取本机和192.168.19.22之间的网络包。

如果你不指定的话，那就会把和所有机器间的网络包都捕获。

另外，最好能按照先选项，再表达式的顺序来写命令。因为表达式可以写得很复杂，和选项揉在一起，实在是不好看。

我觉得端口号其实很常用，在服务器端，一般我们都知道应用对外开放的端口号，比如spring boot应用，tomcat应用这些，端口号是我们再熟悉不过的。

只要监听指定端口号的包，基本也就差不多了。

这两天折腾ftp，ftp有两个端口，20和21，一个是控制信号传输，一个是真正的数据传输。下面以ftp为例：

tcpdump -i eth1  -w ftp20  port 20 or port  21


表示：在eth1上网卡上监听（可以ifconfig查看），端口号为20或21，-w表示将包抓取到文件ftp20中。因为我们打算将文件传输到windows机器上，用wireshark分析。

服务端通常会接收来自各个客户端的请求，如果自己在现上环境抓包，我们可能希望只抓取和某台主机间的通信包。当然，端口号还是要指定的。

tcpdump   21 -i eth1 -w ftp21 host 10.15.4.46 and port 20 or port


表示：和上面差不多。主要是监听和10.15.4.46之间的包。

如第二步所述，基本可以抓到我们想要的包。如下图，我们其实只关心ftp协议包，但是呢，抓下来的包里面，包含了各种协议，还需要我用ftp这种表达式去过滤：

能不能只抓ftp协议包？

当然可以。(这部分待更新)

转载于:https://www.cnblogs.com/grey-wolf/p/9923012.html