公眾號關(guān)注?「奇妙的 Linux 世界」設(shè)為「星標(biāo)」，每天帶你玩轉(zhuǎn) Linux ！

本文將展示如何使用 tcpdump 抓包，以及如何用 tcpdump 和 wireshark 分析網(wǎng)絡(luò)流量。文中的例子比較簡單，適合作為入門參考。

1. 基礎(chǔ)環(huán)境準(zhǔn)備

為方便大家跟著上手練習(xí)，本文將搭建一個容器環(huán)境。

1.1 Pull Docker 鏡像

$ sudo docker pull alpine:3.8

1.2 運(yùn)行容器

$ sudo docker run -d --name ctn-1 alpine:3.8 sleep 3600d$ sudo docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES233bc36bde4b alpine:3.8 "sleep 3600d" 1 minutes ago Up 14 minutes ctn-1

進(jìn)入容器：

$ sudo docker exec -it ctn-1 sh

查看容器網(wǎng)絡(luò)信息：

/ # ifconfigeth0 Link encap:Ethernet HWaddr 02:42:AC:11:00:09 inet addr:172.17.0.9 Bcast:0.0.0.0 Mask:255.255.0.0

1.3 安裝 tcpdump

/ # apk update/ # apk add tcpdump

2.?HTTP/TCP 抓包

接下來我們用 wget 獲取一個網(wǎng)站的首頁文件(index.html)，同時 tcpdump 抓包，對抓 到的網(wǎng)絡(luò)流量進(jìn)行分析。

2.1 HTTP 請求：下載測試頁面

example.com 是一個測試網(wǎng)站，wget 是一個 linux 命令行工 具，可以下載網(wǎng)絡(luò)文件。

如下命令可以下載一個 example.com 網(wǎng)站的首頁文件 index.html：

/ # wget http://example.comConnecting to example.com (93.184.216.34:80)index.html 100% |*****************************| 1270 0:00:00 ETA

雖然這看起來極其簡單，但背后卻涵蓋了很多復(fù)雜的過程，例如：

域名查找：通過訪問 DNS 服務(wù)查找 example.com 服務(wù)器對應(yīng)的 IP 地址

TCP 連接參數(shù)初始化：臨時端口、初始序列號的選擇等等

客戶端(容器)通過 TCP 三次握手協(xié)議和服務(wù)器 IP 建立 TCP 連接

客戶端發(fā)起 HTTP GET 請求

服務(wù)器返回 HTTP 響應(yīng)，包含頁面數(shù)據(jù)傳輸

如果頁面超過一個 MTU，會分為多個 packet 進(jìn)行傳輸(后面會看到，確實超過 MTU 了)

TCP 斷開連接的四次揮手

2.2 抓包：打到標(biāo)準(zhǔn)輸出

用下面的 tcpdump 命令抓包，另一窗口執(zhí)行 wget http://example.com，能看到如下類 似的輸出。為了方便后面的討論，這里將一些字段去掉了，并做了適當(dāng)?shù)膶R：

/ # tcpdump -n -S -i eth0 host example.com1 02:52:44.513700 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [S] , seq 3310420140, length 02 02:52:44.692890 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [S.], seq 1353235534, ack 3310420141, length 03 02:52:44.692953 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353235535, length 04 02:52:44.693009 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [P.], seq 3310420141:3310420215, ack 1353235535, length 74: HTTP: GET / HTTP/1.15 02:52:44.872266 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , ack 3310420215, length 06 02:52:44.873342 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , seq 1353235535:1353236983, ack 3310420215, length 1448: HTTP: HTTP/1.1 200 OK7 02:52:44.873405 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353236983, length 08 02:52:44.874533 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [P.], seq 1353236983:1353237162, ack 3310420215, length 179: HTTP9 02:52:44.874560 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353237162, length 010 02:52:44.874705 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [F.], seq 3310420215, ack 1353237162, length 011 02:52:45.053732 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , ack 3310420216, length 012 02:52:45.607825 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [F.], seq 1353237162, ack 3310420216, length 013 02:52:45.607869 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353237163, length 0

參數(shù)說明：

• -n：打印 IP 而不是 hostname，打印端口號而不是協(xié)議(例如打印 80 而不是 http)

• -S：打印絕對時間戳

• -i eth0：指定從 eth0 網(wǎng)卡抓包

• host example.com：抓和 example.com 通信的包(雙向)

更多 tcpdump 的常用命令，可以參考tcpdump: An Incomplete Guide。

2.3 抓包：存文件

-w 命令可以將抓到的包寫到文件，注意這和用重定向方式將輸出寫到文件是不同的。后者寫的只是標(biāo)準(zhǔn)輸出打印的 LOG，而 -w 寫的是原始包。

/ # tcpdump -i eth0 host example.com -w example.pcap^C13 packets captured13 packets received by filter0 packets dropped by kernel

生成的 pcap 文件可以用 tcpdump 或者 wireshark 之類的網(wǎng)絡(luò)流量分析工具打開。

3. 流量分析: tcpdump

如果不指定輸出的話，tcpdump 會直接將信息打到標(biāo)準(zhǔn)輸出，就是我們上面看到的那樣。從 這些輸出里，我們看到很多信息。

3.1 每列說明

第 1 列是為了討論方便而加的行號，實際的 tcpdump 輸出并沒有這一列。接下來將用 # 號加數(shù)字表示第幾個包，例如 #3 表示第 3 個包。

接下來依次為：

• packet 時間戳，例如 02:52:44.513700 表示抓到這個包的時間是** 02 時 52 分 44 秒 513 毫秒**

• packet 類型，這里是 IP 包

• 源 (SRC) IP 和端口，目的 (DST) IP 和端口

• packet TCP flags，其中

  • S 表示 syn 包

  • . 表示 ack 包

  • F 表示 fin 包

  • P 表示 push 包(發(fā)送正常數(shù)據(jù))

• 序列號(seq)

• 應(yīng)答號(ack)

• 包的 payload 長度

• 包的部分內(nèi)容(ASCII)

3.2 三次握手(1～3)

wget 是基于 HTTP 協(xié)議，因此它在下載文件之前，必定要和服務(wù)端建立一個連接。

而 TCP 建立連接的過程就是著名的三次握手 [4]：

client -> server: SYN

server -> client: SYN+ACK

client -> server: ACK

我們可以看到，這剛好對應(yīng)于前三個包：

1 02:52:44.513700 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [S] , seq 3310420140, length 02 02:52:44.692890 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [S.], seq 1353235534, ack 3310420141, length 03 02:52:44.692953 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353235535, length 0

第一次握手: SYN

#1 包含以下信息：

02:52:44.513700 時刻，客戶端主動向 server(93.184.216.34)發(fā)起一個 SYN 請求，請求建立連接

客戶端請求的服務(wù)端端口是 80(HTTP 服務(wù)默認(rèn) 80 端口)，客戶端使用的是臨時端口(大于 1024)41038

#1 序列號是 3310420140，這是客戶端的初始序列號(客戶端和服務(wù)端分別維護(hù)自己的序列號，兩者沒有關(guān)系；另外，初始序列號是系統(tǒng)選擇的，一般不是 0)

#1 length 為 0，因為 SYN 包不帶 TCP payload，所有信息都在 TCP header

第二次握手: SYN+ACK

#2 的 ack 是 3310420140，等于 #1 的 seq 加 1，這就說明，#2 是 #1 的應(yīng) 答包。

這個應(yīng)答包的特點：

TCP flags 為 S.，即 SYN+ACK

length 也是 0，說明沒有 payload

seq 為 1353235534，這是服務(wù)端的初始序列號

到達(dá) eth0 的時間為 02:52:44.692890，說明時間過了 18ms

第三次握手: ACK

同理，#3 的 ack 等于 #2 的 seq 加 1，說明 #3 是 #2 的應(yīng)答包。

這個包的特點：

TCP flags 為 .，即 ACK

長度為 0，說明沒有 TCP payload

至此，三次握手完成。

3.3 正常數(shù)據(jù)傳輸

三次握手完成后，client 和 server 開始 HTTP 通信，客戶端通過 HTTP GET 方法下載 index.html。

4 02:52:44.693009 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [P.], seq 3310420141:3310420215, ack 1353235535, length 74: HTTP: GET / HTTP/1.15 02:52:44.872266 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , ack 3310420215, length 06 02:52:44.873342 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , seq 1353235535:1353236983, ack 3310420215, length 1448: HTTP: HTTP/1.1 200 OK7 02:52:44.873405 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353236983, length 08 02:52:44.874533 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [P.], seq 1353236983:1353237162, ack 3310420215, length 179: HTTP9 02:52:44.874560 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353237162, length 0

這里可以看到：

#4: client 向 server 發(fā)起 HTTP GET 請求，請求路徑為根路徑(/)，這個 packet 長度為 74 字節(jié)

#5: 發(fā)送了 ACK 包，對 #4 進(jìn)行確認(rèn)

#6: 發(fā)送了 1448 字節(jié)的數(shù)據(jù)給 client

#7: client 對 server 的 #6 進(jìn)行應(yīng)答

#8: server 向 client 端繼續(xù)發(fā)送 179 字節(jié)數(shù)據(jù)

#9: client 對 server 的 #8 進(jìn)行應(yīng)答

3.4 四次揮手

最后是四次揮手 [5]：

client -> server: FIN (我們看到的是 FIN+ACK，這是因為這個 FIN 包除了正常的關(guān)閉連接功能之外，還被用于應(yīng)答 client 發(fā)過來的前一個包)

server -> client: ACK

client -> server: FIN+ACK

server -> client: ACK

10 02:52:44.874705 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [F.], seq 3310420215, ack 1353237162, length 011 02:52:45.053732 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [.] , ack 3310420216, length 012 02:52:45.607825 IP 93.184.216.34.80 > 172.17.0.9.41038: Flags [F.], seq 1353237162, ack 3310420216, length 013 02:52:45.607869 IP 172.17.0.9.41038 > 93.184.216.34.80: Flags [.] , ack 1353237163, length 0

4. 流量分析: wireshark

tcpdump 可以指定 -r 讀取 pcap 文件，并以指定的格式輸出包的信息，最后輸出的內(nèi)容 和上面看到的類似。我們上面的流量非常簡單，所以看 tcpdump 的輸出就夠了。

對于復(fù)雜的 pcap，例如，其中包含了上百個 IP 地址、上千個端口、上萬個連接的 pcap， 通過 tcpdump 看輸出可能就比較低效了。

這時，wireshark 這樣帶圖形用戶界面，且功能強(qiáng)大的網(wǎng) 絡(luò)流分析工具就派上了用場。

wireshark 支持強(qiáng)大的過濾功能，支持按 IP、端口、協(xié)議、連接、TCP flag 以及它們的各 種組合進(jìn)行過濾，然后進(jìn)行分析，大大節(jié)省網(wǎng)絡(luò)排障的時間。

wireshark 官方維護(hù)了一個 sample pcap列表 ，我們拿 iperf-mptcp-0-0.pcap 作為例子來展示如何使用 wireshark。

4.1?追蹤 TCP 流

下載后雙擊就可以用 wireshark 打開?？吹接兄貍?TCP Retransmition)的包：

在重傳的包上，右鍵 -> Follow -> TCP Stream，會過濾出只屬于這個連接的包：

我們看到，這個連接只有 3 個包：

#1 在 08:00:05.125 發(fā)送出去，請求建立連接

大約 1s 后，客戶端仍然沒有收到服務(wù)端的 ACK 包，觸發(fā)客戶端 TCP 超時重傳

又過了大約 2s，仍然沒有收到 ACK 包，再次觸發(fā)超時重傳

這里其實還可以看出 TCP 重傳的機(jī)制：指數(shù)后退，比如第一次等待 1s，第二次等 待 2s，第三次等待 4s，第四次 8s

因此，從這個抓包文件看，這次連接沒有建立起來，而直接原因就是 client 沒有收到 server 的應(yīng)答包。要跟進(jìn)這個問題，就需要在 server 端一起抓包，看應(yīng)答包是否有發(fā)出來 。本文不對此展開。

4.2 過濾流

上面的截圖我們看到 wireshark 里有 tcp.stream eq 1，這其實就是其強(qiáng)大的過濾表達(dá)式。

我們可以直接手寫表達(dá)式，然后回車，符合條件的包就會顯示出來。而且，在編輯表達(dá)式的 時候，wireshark 有自動提示，還是比較方便的。這些表達(dá)式和 tcpdump 的 filter 表達(dá) 式很類似，如果熟悉 tcpdump，那這里不會有太大困難。

下面舉一些例子：

ip.addr == 192.168.1.1 過濾 SRC IP 或 DST IP 是 192.168.1.1 的包

ip.src_host == 192.168.1.1 and ip.dst_host == 192.168.1.2 過濾 SRC IP 是 192.168.1.1，并且 DST IP 是 192.168.1.2 的包

tcp.port == 80 源端口或目的端口是 80 的包

tcp.flags.reset == 1 過濾 TCP RST 包。先找到 RST 包，然后右鍵 Follow -> TCP Stream 是常用的排障方式

tcp.analysis.retransmission 過濾所有的重傳包

4.3 導(dǎo)出符合條件的包

有時 pcap 文件太大，導(dǎo)致 wireshark 非常慢，而大部分?jǐn)?shù)據(jù)包可能是不需要的。在這種情況 下，可以先用過濾條件篩選出感興趣的包，然后 File -> Export Specified Packets ... ，彈出的對話框里，可以選擇當(dāng)前顯示的包，或者某個指定區(qū)間的包另存為新 pcap。

然后就可以關(guān)閉原來的 pcap，打開新的 pcap 進(jìn)行分析。

5. 總結(jié)

tcpdump 和 wireshark 功能非常強(qiáng)大，組合起來更是網(wǎng)絡(luò)排障的首選利器。這里介紹的內(nèi) 容只是九牛一毛，更多的時候，你需要 tcpdump+wireshark+google。

References

Man Page of tcpdump

Wireshark

Wireshark: Sample Pcaps

TCP 3-way Handshaking

TCP 4-times Close

tcpdump: An Incomplete Guide

本文轉(zhuǎn)載自：「ARTHURCHIAO'S BLOG」，原文：https://url.cn/5yCrirJ，版權(quán)歸原作者所有。歡迎投稿，投稿郵箱: editor@hi-linux.com 。

你可能還喜歡

點擊下方圖片即可閱讀

天天都在用的 Iptables 你真的了解嗎？5 分鐘帶你看懂其底層架構(gòu) Netfilter！

點擊上方圖片，打開小程序，加入「玩轉(zhuǎn) Linux」圈子

更多有趣的互聯(lián)網(wǎng)新鮮事，關(guān)注「奇妙的互聯(lián)網(wǎng)」視頻號全了解！

總結(jié)

以上是生活随笔為你收集整理的tcpdump 抓二层包_可能是我见过的最简单易懂且实用的 TCPDump 和 Wireshark 抓包及分析教程！( 强烈建议收藏 )...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。