linux下一分钟掌握网络抓包(tcpdump)
“tcpdump是网络数据采集分析工具,tcpdump可以将网络中传送的数据包完全截获下来提供分析析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。”
项目常常会遇到一些设备接入问题、网络请求问题、接口调用问题等等,但是又不知道如何分析具体原因,此时需要借助我们的抓包命令tcpdump进行抓包分析。此邮件列举日常常用的抓包方式、请各位惠存并推广!
一、过滤端口抓包 (应用场景:ncg级联需要抓信令端口7100,ehome设备注册7660)
①、过滤端口(包括tcp&udp)
命令格式:tcpdump -i 网卡 port 端口 -v -w 文件保存路径 ----过滤指定网卡指定端口抓包,保存文件到指定路径 (网卡信息通过ifconfig命令获取,如果不清楚可以用-i any 抓所有网卡)
实战截图:过滤网卡eth0 端口 7660 保存文件到/home/hik/7660.pcap
命令:tcpdump -i eth0 port 7660 -v -w /home/hik/7660.pcap
扩展命令:tcpdump -i any port 7660 -v -w /home/hik/7660.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any (不清楚情况优先用-i any)
②、过滤TCP端口
命令格式:tcpdump -i 网卡 tcp port 端口 -v -w 文件保存路径 ----过滤指定网卡指定端口抓包,保存文件到指定路径
实战截图:过滤网卡eth0 tcp端口 7660 保存文件到/home/hik/7660.pcap
命令:tcpdump -i eth0 tcp port 7660 -v -w /home/hik/7660.pcap
扩展命令:tcpdump -i any tcp port 7660 -v -w /home/hik/7660.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any
③、过滤UDP端口
命令格式:tcpdump -i 网卡 udp port 端口 -v -w 文件保存路径 ----过滤指定网卡指定端口抓包,保存文件到指定路径
实战截图:过滤网卡eth0 udp端口 7660 保存文件到/home/hik/7660.pcap
命令:tcpdump -i eth0 udp port 7660 -v -w /home/hik/7660.pcap
扩展命令:tcpdump -i any udp port 7660 -v -w /home/hik/7660.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any
④、过滤端口段抓包
命令格式:tcpdump -i 网卡 portrange 端口段 -v -w 文件保存路径 ----过滤指定网卡指定端口抓包,保存文件到指定路径
实战截图:过滤网卡eth0 端口段 27000-28999 保存文件到/home/hik/123.pcap
命令:tcpdump -i eth0 portrange 27000-28999 -v -w /home/hik/123.pcap
扩展命令:tcpdump -i any portrange 27000-28999 -v -w /home/hik/123.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any
二、过滤ip抓包 (应用场景:现场已经明确设备ip、或者下级级联ip)
命令格式:tcpdump -i 网卡 host ip -v -w 文件保存路径 ----过滤指定网卡指定ip抓包,保存文件到指定路径
实战截图:过滤网卡eth0 ip 192.168.1.100 保存文件到/home/hik/ip100.pcap
命令:tcpdump -i eth0 host 192.168.1.100 -v -w /home/hik/ip100.pcap
扩展命令:tcpdump -i any host 192.168.1.100 -v -w /home/hik/ip100.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any
三、端口ip组合抓包
命令格式:tcpdump -i 网卡 host ip or port 端口 -v -w 文件保存路径 ----过滤指定网卡指定ip或者端口抓包,保存文件到指定路径
实战截图:过滤网卡eth0 ip 192.168.1.100 端口 17000 保存文件到/home/hik/ip_port.pcap
命令:tcpdump -i eth0 host 192.168.1.100 or port 17000 -v -w /home/hik/ip_port.pcap
扩展命令:tcpdump -i any host 192.168.1.100 or port 17000 -v -w /home/hik/ip_port.pcap 不区分哪个网卡,过滤所有网卡抓包 -i any
四、ehome抓包案例分析
①、ehome设备和平台交互问题
可以抓包过滤端口7660分析对应设备注册,上报gps等信令
通过命令:tcpdump -i eth0 port 7660 -v -w /home/hik/port.pcap