全部產品
Search
文件中心

:網路異常時如何抓取資料包

更新時間:Nov 27, 2024

本文主要介紹了在Linux和Windows環境下如何使用抓包工具進行抓包的操作步驟。

背景資訊

如果原始伺服器訪問目標伺服器時出現異常,您可以抓包擷取最原始的互動資料進行排查分析。在介紹常用的抓包工具以及如何抓包的詳細資料前,請參見以下文檔排查和分析問題。

Linux環境中的抓包工具

Linux環境中通常使用TCPDump工具進行抓包和分析,TCPDump工具是所有Linux發行版本預裝的資料包抓取和分析工具。有關TCPDump工具的擷取和安裝方法,請參見TCPDump官方文檔

關於tcpdump命令的說明如下所示(命令中區分大小寫)。

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 
[ -c count ] 
[ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
[ --number ] [ -Q in|out|inout ] 
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] 
[ -W filecount ] 
[ -E spi@ipaddr algo:secret,... ] 
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
[ --time-stamp-precision=tstamp_precision ] 
[ --immediate-mode ] [ --version ] 
[ expression ]
  • -s:用於設定資料包抓取長度。如果-s為0,則表示自動選擇合適的長度來抓取資料包。

  • -w:用於將抓包結果匯出到檔案,而不是在控制台進行分析和列印輸出。

  • -i:用於指定需要監聽的介面(網卡)。

  • -vvv:用於輸出詳細的互動資料。

  • expression:是一個Regex,用於過濾報文,主要包含如下幾類:

    • 指定類型的關鍵字:包括host(主機)、net(網路)和port(連接埠)。

    • 指定傳輸方向的關鍵字:包括src(源)、dst(目標)、dst or src(源或目標)和dst and src(源和目標)。

    • 指定協議的關鍵字:包括ICMP、IP、ARP、RARP、TCP和UDP等協議類型。

  • 關於其他參數說明及用法,請參見tcpdump的Manpage

關於tcpdump命令常見用法和樣本輸出的詳細資料如下:

  • 執行以下命令,抓取eth0網卡22連接埠的互動資料。

    tcpdump -s 0 -i eth0 port 22

    系統顯示類似如下。

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
    20:24:59.414951 IP 172.xx.xx.226.ssh > 42.xx.xx.107.43414: Flags [P.], seq 442372:442536, ack 53, win 141, length 164
    20:24:59.415002 IP 172.xx.xx.226.ssh > 42.xx.xx.107.43414: Flags [P.], seq 442536:442700, ack 53, win 141, length 164
    20:24:59.415052 IP 172.xx.xx.226.ssh > 42.xx.xx.107.43414: Flags [P.], seq 442700:442864, ack 53, win 141, length 164
    20:24:59.415103 IP 172.xx.xx.226.ssh > 42.xx.xx.107.43414: Flags [P.], seq 442864:443028, ack 53, win 141, length 164

  • 執行以下命令,抓取eth1網卡發送給22連接埠的互動資料,並在控制台輸出詳細互動資訊。

    tcpdump -s 0 -i eth1 -vvv port 22

    系統顯示類似如下。

    tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
    20:24:20.991006 IP (tos 0x10, ttl 64, id 22747, offset 0, flags [DF], proto TCP (6), length 316)
    172.xx.xx.226.ssh > 42.xx.xx.107.43414: Flags [P.], cksum 0x2504 (incorrect -> 0x270d), seq 133624:133900, ack 1, win 141, length 276
    20:24:20.991033 IP (tos 0x0, ttl 53, id 2348, offset 0, flags [DF], proto TCP (6), length 92)
    42.xx.xx.107.43414 > 172.xx.xx.226.ssh: Flags [P.], cksum 0x4759 (correct), seq 1:53, ack 129036, win 15472, length 52

  • 執行以下命令,抓取eth1網卡發送至指定IP地址的PING互動資料,並輸出詳細互動資料。

    tcpdump -s 0 -i eth1 -vvv dst 223.xx.xx.5 and icmp

    系統顯示類似如下。

    tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
    20:26:00.368958 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.xx.xx.226 > public1.alidns.com: ICMP echo request, id 55097, seq 341, length 64
    20:26:01.369996 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.xx.xx.226 > public1.alidns.com: ICMP echo request, id 55097, seq 342, length 64
    20:26:02.371058 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.xx.xx.226 > public1.alidns.com: ICMP echo request, id 55097, seq 343, length 64
    20:26:03.372181 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.xx.xx.226 > public1.alidns.com: ICMP echo request, id 55097, seq 344, length 64

  • 執行以下命令,抓取系統內所有介面資料並儲存到指定檔案。

    tcpdump -i any -s 0 -w test.cap
    說明

    您如果通過 catvim命令查看儲存的檔案,都顯示為亂碼,此時,您可以執行 tcpdump -r test.cap命令,查看資訊,您也可以使用Wireshark工具查看資訊。

    系統顯示類似如下。

    tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

Windows環境中的抓包工具

Windows環境中一般使用免費的較為流行的Wireshark開源工具進行抓包和分析。請參見Wireshark官方網站,擷取並安裝Wireshark工具,然後進行抓包。

  1. 安裝並開啟Wireshark工具。

  2. 選擇捕獲 > 選項

  3. Wireshark 捕獲介面頁面,根據介面名稱或對應的IP地址選擇需要進行抓包的網卡,然後單擊開始

  4. 抓取足量資料包後,選擇捕獲 > 停止

  5. 選擇檔案 > 儲存,將抓包結果儲存到指定檔案。

說明

更多有關Wireshark工具使用和資料分析方法,請參見Wireshark官方網站

抓包分析流程

出現異常時,您可以抓取資料包進行分析。抓包時請確保從原始伺服器和目標伺服器同時並行作業,以便進行對比分析,具體操作步驟如下:

  1. 確認原始伺服器和目標伺服器進行資料互動通過的網卡。

  2. 如果原始伺服器通過NAT共用方式訪問公網,則訪問淘寶IP地址庫,擷取本網對應的公網IP地址。

  3. 利用前文所述工具,從原始伺服器對目標伺服器地址的目標連接埠和網卡進行抓包,或者進行完整抓包。

  4. 利用前文所述工具,從目標伺服器對原始伺服器地址和網卡進行抓包,或者進行完整抓包,然後進行分析。