tcpdump常⽤⽤法+wireshark分析cap包
⼯作中的常⽤⽤法
⼀、tcpdump常⽤⽤法:
1,-i 指定⽹⼝ -vnn 常⽤选项,显⽰详细信息并且不解析IP,端⼝ ;
抓取某个⽹⼝上发往或来⾃某个IP的报⽂全自动挤出中空吹塑机
tcpdump -i ethX host 192.168.1.100 -vnn
2,可以⽤or 或者and 连接多个过滤条件,port前的tcp表⽰tcp协议,也可为udp;
抓取某个⽹⼝上发往或来⾃某个IP、并且指定端⼝的报⽂
tcpdump -i ethX host 192.168.1.100 and tcp port 22(端⼝号) -vnn
3, -c 指定抓取报⽂的数量, ⽤ -w 把抓取的数据包写⼊⽂件; 抓取某⽹⼝50个包并写⼊dump.cap(为什么是 .cap?因为wireshark识别此扩展名)⽂件:
tcpdump -i ethX -c 50 -w /root/dump.cap
4,可以⽤关键字 src 或者 dst 表⽰ 源 或者 ⽬的;
抓取源端⼝号为22(tcp协议)的报⽂
tcpdump -i ethX tcp src port 22(端⼝号) -vnn
以上为常⽤⽤法,可以根据实际情况灵活组合。
⼆、wireshark分析报⽂:
1,淡紫⾊数据包为正常数据包,包括数据包和ACK包
2,⿊⾊为异常包,包括丢包ACK、重传等
2.1 Packet Size limited during capture
这个标志说明数据包并没被完全抓到,⽽只是抓到了⼀部分。这种情况多数是由于抓包⽅式引起,在某些系统中tcpdump只抓每个帧的前96个字节。我们可以”-s”参数木制工艺品加工
2.2 TCP previous segment not captured
TCP传输过程中同⼀台主机发出的数据应该是连续的,即后⼀个数据包的Sequence应该等⼀前⼀个数据包的sequence+len,如果后⾯捕捉到的数据包不符合这样的 2.3 TCP ACKed unseen segment
当WireShark发现被ACK的那个包没被抓到,就会提⽰[TCP ACKed unseen segment],这种提⽰⼀般没有什么问题,就是WireShark漏抓了。 2.4 TCP Dup ACK
当出现乱序或者丢包等情况的时候,本来应该收到的数据包没有收到,反⽽收到了⼀些Sequence号⽐较⼤的数据包,这时候客户端就会回复⼀个ACK,ACK本应该海鲜蒸柜
2.5 TCP Out-of-Order
TCP传输过程中数据包的Sequence号应该是持续递增的,也就是说每个数据包之间应该只差⼀个Len的数据,但是在传输过程中如果Sequence⽐较⼤的数据包⽐S
2.6 TCP Fast Retransmission
当服务器收到3个或以上的[TCP Dup ACK]后就会判定所ACK的包丢失了,哪怕还没有超过定时器的规定,都会⽴即重新发送,客户端收到后会标记为[TCP fast re
2.7 TCP Retransmission
⼀般来说⼀个数据包丢失后⼜没有⾜够的后续数据包来触发[TCP Fast Retransmission]的话,超过定时器的时限后就会触发超时重传,这时候客户端收到的数据包
2.8 TCP Zerowindow稀土氧化物
在TCP数据包中,Info那⼀栏的中的”win=XX”中XX代表了接收窗⼝的⼤⼩,代表了这个信息的源地址的主机还有多少数据可以接收,或者说缓存区还有多少空间。 2.9 TCP window full
当出现这个标志的时候证明发送⽅已发送的但还没有确认的数据包已经达到了接收⽅接收窗⼝的上限,也就是说这个时候发送⽅就会停⽌发送数据,⽽不是等接收
3,数据包的标签从左到右依次为:
数据包编号---时间---源地址---⽬标地址---协议类型---长度---总长度---数据包序号---下⼀个数据包序号---ACK号---⾝份识别码---RTT---⼀
雨水利用系统些窗⼝参数
电压比较器电路4,再点击⼀个报⽂后,我们在WireShark的下端可以看到更为详细的信息:分别对应OSI七层模型的,数据链路层、⽹络层、传输层、应⽤层
