工作中的常用用法
一、tcpdump常用用法：

創(chuàng)新互聯(lián)建站：從2013年開始為各行業(yè)開拓出企業(yè)自己的“網(wǎng)站建設(shè)”服務(wù)，為成百上千家公司企業(yè)提供了專業(yè)的成都網(wǎng)站設(shè)計、做網(wǎng)站、網(wǎng)頁設(shè)計和網(wǎng)站推廣服務(wù)， 定制網(wǎng)站建設(shè)由設(shè)計師親自精心設(shè)計，設(shè)計的效果完全按照客戶的要求，并適當(dāng)?shù)奶岢龊侠淼慕ㄗh，擁有的視覺效果，策劃師分析客戶的同行競爭對手，根據(jù)客戶的實際情況給出合理的網(wǎng)站構(gòu)架，制作客戶同行業(yè)具有領(lǐng)先地位的。

1，-i 指定網(wǎng)口 -vnn 常用選項，顯示詳細信息并且不解析IP，端口 ；
抓取某個網(wǎng)口上發(fā)往或來自某個IP的報文
tcpdump -i ethX host 192.168.1.100 -vnn

2，可以用or 或者and 連接多個過濾條件，port前的tcp表示tcp協(xié)議，也可為udp；
抓取某個網(wǎng)口上發(fā)往或來自某個IP、并且指定端口的報文
tcpdump -i ethX host 192.168.1.100 and tcp port 22(端口號) -vnn

3， -c 指定抓取報文的數(shù)量， 用 -w 把抓取的數(shù)據(jù)包寫入文件；
抓取某網(wǎng)口50個包并寫入dump.cap(為什么是 .cap？因為wireshark識別此擴展名)文件：
tcpdump -i ethX -c 50 -w /root/dump.cap

4，可以用關(guān)鍵字 src 或者 dst 表示 源 或者 目的；
抓取源端口號為22(tcp協(xié)議)的報文
tcpdump -i ethX tcp src port 22(端口號) -vnn

以上為常用用法，可以根據(jù)實際情況靈活組合。

二、wireshark分析報文：

1，淡紫色數(shù)據(jù)包為正常數(shù)據(jù)包，包括數(shù)據(jù)包和ACK包

2，黑色為異常包，包括丟包ACK、重傳等

    2.1 Packet Size limited during capture
   這個標(biāo)志說明數(shù)據(jù)包并沒被完全抓到，而只是抓到了一部分。這種情況多數(shù)是由于抓包方式引起，在某些系統(tǒng)中tcpdump只抓每個幀的前96個字節(jié)。我們可以”-s”參數(shù)來指定想要的字節(jié)數(shù)。

   2.2 TCP previous segment not captured
   TCP傳輸過程中同一臺主機發(fā)出的數(shù)據(jù)應(yīng)該是連續(xù)的，即后一個數(shù)據(jù)包的Sequence應(yīng)該等一前一個數(shù)據(jù)包的sequence+len，如果后面捕捉到的數(shù)據(jù)包不符合這樣的規(guī)律，即sequence比前一個包的sequence+len大的話，我們就可以認(rèn)定中間的數(shù)據(jù)包就沒有抓到，導(dǎo)致這個數(shù)據(jù)包沒有按時到達的原因可能有亂序或者丟包導(dǎo)致。

   2.3 TCP ACKed unseen segment
      當(dāng)WireShark發(fā)現(xiàn)被ACK的那個包沒被抓到，就會提示[TCP ACKed unseen segment]，這種提示一般沒有什么問題，就是WireShark漏抓了。

   2.4 TCP Dup ACK
      當(dāng)出現(xiàn)亂序或者丟包等情況的時候，本來應(yīng)該收到的數(shù)據(jù)包沒有收到，反而收到了一些Sequence號比較大的數(shù)據(jù)包，這時候客戶端就會回復(fù)一個ACK，ACK本應(yīng)該收到卻沒有收到的包，如果后面來的還不是所期望的數(shù)據(jù)包，那么客戶端每收到一個其他數(shù)據(jù)包就會回復(fù)一個ACK，由于這些ACK是重復(fù)的，所以就會提示[TCP Dup ACK]。

    2.5 TCP Out-of-Order
      TCP傳輸過程中數(shù)據(jù)包的Sequence號應(yīng)該是持續(xù)遞增的，也就是說每個數(shù)據(jù)包之間應(yīng)該只差一個Len的數(shù)據(jù)，但是在傳輸過程中如果Sequence比較大的數(shù)據(jù)包比Sequence比較小的數(shù)據(jù)包先到達的話，就會觸發(fā)[TCP Previous Segment not cpatured]，然后如果在后續(xù)收到了“遲到”的數(shù)據(jù)包，就會被標(biāo)記[TCP Out-of-order]。

    2.6 TCP Fast Retransmission
      當(dāng)服務(wù)器收到3個或以上的[TCP Dup ACK]后就會判定所ACK的包丟失了，哪怕還沒有超過定時器的規(guī)定，都會立即重新發(fā)送，客戶端收到后會標(biāo)記為[TCP fast retransmission]。

    2.7 TCP Retransmission
      一般來說一個數(shù)據(jù)包丟失后又沒有足夠的后續(xù)數(shù)據(jù)包來觸發(fā)[TCP Fast Retransmission]的話，超過定時器的時限后就會觸發(fā)超時重傳，這時候客戶端收到的數(shù)據(jù)包就會被標(biāo)記[TCP Retransmission]。

    2.8 TCP Zerowindow
      在TCP數(shù)據(jù)包中，Info那一欄的中的”win=XX”中XX代表了接收窗口的大小，代表了這個信息的源地址的主機還有多少數(shù)據(jù)可以接收，或者說緩存區(qū)還有多少空間。當(dāng)win=0的時候就會給相應(yīng)ACK打上[TCP Zerowindow]的標(biāo)志，告訴發(fā)送方我沒有數(shù)據(jù)可以接收了。

    2.9 TCP window full
      當(dāng)出現(xiàn)這個標(biāo)志的時候證明發(fā)送方已發(fā)送的但還沒有確認(rèn)的數(shù)據(jù)包已經(jīng)達到了接收方接收窗口的上限，也就是說這個時候發(fā)送方就會停止發(fā)送數(shù)據(jù)，而不是等接收方回復(fù)[TCP Zerowindow]后才停止發(fā)送。所以[TCP window full]針對的是發(fā)送方?jīng)]法發(fā)送數(shù)據(jù)，而[TCP Zerowindow]指的是接收方?jīng)]法接收數(shù)據(jù)，不管出現(xiàn)哪一種情況，都會中斷數(shù)據(jù)的傳輸，直到緩存區(qū)有新的空間存放數(shù)據(jù)。

3，數(shù)據(jù)包的標(biāo)簽從左到右依次為：
數(shù)據(jù)包編號---時間---源地址---目標(biāo)地址---協(xié)議類型---長度---總長度---數(shù)據(jù)包序號---下一個數(shù)據(jù)包序號---ACK號---身份識別碼---RTT---一些窗口參數(shù)

4，再點擊一個報文后，我們在WireShark的下端可以看到更為詳細的信息：
分別對應(yīng)OSI七層模型的，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層

網(wǎng)站題目：tcpdump常用用法+wireshark分析cap包
分享URL：http://jinyejixie.com/article20/iicejo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、搜索引擎優(yōu)化、微信公眾號、虛擬主機、做網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)