《神探tcpdump第四招》-linux命令五分钟系列之三十八
==
本文會(huì)是“選項(xiàng)內(nèi)容”的最后一期講解,主要會(huì)講講-w和-r兩個(gè)選項(xiàng)。tcpdump的選項(xiàng)很多,多達(dá)50個(gè),其他我沒(méi)有涉及的選項(xiàng),還是要大家自己通過(guò)man tcpdump的方式來(lái)學(xué)習(xí)了。實(shí)在研究不懂的,可以找我探討:)
==
做過(guò)網(wǎng)絡(luò)流量分析的同學(xué),或許都有一個(gè)共同的需求,那就是“流量保存”和“流量回放”,這就恰好對(duì)應(yīng)了今天要講解的-w選項(xiàng)和-r選項(xiàng)。
“流量保存”就是把抓到的網(wǎng)絡(luò)包能存儲(chǔ)到磁盤(pán)上,保存下來(lái),為后續(xù)使用。
“流量回放”就是把歷史上的某一時(shí)間段的流量,重新模擬回放出來(lái),用于流量分析。
【-w選項(xiàng)】- 將流量保存到文件中
?
| 12345 | # tcpdump -i eth0 -w flowdatatcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes^C327 packets captured327 packets received by filter0 packets dropped by kernel |
通過(guò)上面的例子可以看到,通過(guò)-w選項(xiàng)將流量都存儲(chǔ)在了flowdata文件中了。大家是否有興趣less下flowdata,看看里面都是什么東東?
?
| 12 | # less flowdata"flowdata" may be a binary file. See it anyway? |
悲劇,原來(lái)都是二進(jìn)制格式的,無(wú)法直接通過(guò)文本方式查看。嗯,買了個(gè)關(guān)子,把真像告訴大家吧!
tcpdump的-w方式是把raw packets(原始網(wǎng)絡(luò)包)直接存儲(chǔ)到文件中了,也就是存儲(chǔ)的都是結(jié)構(gòu)體形式,而非是分析之后的文本格式的信息,因此大家是無(wú)法直接通過(guò)less命令查看的。
那么,怎么查看呢?大家想必也想到了,就是用-r選項(xiàng)。
【-r選項(xiàng)】- 讀取raw packets文件
?
| 12345678 | # tcpdump -r flowdatareading from file flowdata, link-type EN10MB (Ethernet)16:43:36.202443 IP 116.255.245.206.snapenetio > 61.135.169.73.52414: Flags [P.], seq 4082702792:4082702924, ack 3248983965, win 291, length 13216:43:36.222033 IP 61.135.169.73.52414 > 116.255.245.206.snapenetio: Flags [.], ack 132, win 61, length 016:43:36.277407 IP 116.255.245.62 > ospf-all.mcast.net: OSPFv2, Hello, length 4816:43:36.370846 ARP, Request who-has 116.255.245.203 tell 116.255.245.254, length 6416:43:36.521947 ARP, Request who-has 116.255.245.203 tell 116.255.245.253, length 6416:43:36.635472 ARP, Request who-has 116.255.245.214 tell 116.255.245.253, length 64 |
其實(shí)上面的命令就是在不知不覺(jué)中進(jìn)行了“流量回放”,你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)包被“抓”的速度都按照歷史進(jìn)行了回放,真像一個(gè)“時(shí)光機(jī)”啊!
由于是按raw packets來(lái)存儲(chǔ)的,所以你完全可以使用-e、-l和過(guò)濾表達(dá)式來(lái)對(duì)輸出信息進(jìn)行控制,十分方便。
==
預(yù)告,第五招開(kāi)始,會(huì)講解過(guò)濾表達(dá)式了,會(huì)比較有意思,敬請(qǐng)期待。
謝謝!
轉(zhuǎn)載于:https://blog.51cto.com/358845/1693618
總結(jié)
以上是生活随笔為你收集整理的《神探tcpdump第四招》-linux命令五分钟系列之三十八的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: IOS委托设计模式(摘自IOS开发指南)
- 下一篇: Bazel发布Beta版本,增加对Gro