网络-tcpdump-dump导入导出与wireshark解析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
⽹络-tcpdump-dump导⼊导出与wireshark解析1. 概述
1. dump ⽂件导⼊导出
2. wireshark 解析
2. 背景
1. tcpdump 能看清的东西, 其实很有限
1. 基本上只有 ip 层的内容
2. ⽽且命令⾏上看, 很不⽅便
2. 刚好隔壁 wireshark 可以帮忙
3. 环境
1. os
1. centos7
2. docker-engine
1. 19.03.12
3. docker-compose
1. 1.26.2
4. image
1. ubuntu
1. 19.04. 环境
5. wireshark
1. 3.
2.5
1. 思路
1. 概述
1. 思路
2. 思路
1. ⽤ tcpdump 产⽣ dump ⽂件
2. ⽤ wireshark 读取
2. 准备
1. 概述
1. 准备
1. compose
1. 之前的 docker-compose 环境, 懒得写了
2. ping
1. 宿主机向 docker 容器发起 ping
3. tcpdump
1. 宿主机抓包
3. dump ⽂件导出
1. 概述
1. 抓包
2. 命令
# 通常⽂件的格式, 是 cap
> tcpdump -i <network_card> -c <size> host <host> -w <resultfile>
4. dump ⽂件导⼊
1. 概述
1. 导⼊
2. 命令
# 可以直接读取现成的 cap ⽂件
> tcpdump -i <network_card> -c <size> host <host> -r <resultfile>
3. 问题
1. 内容
1. 抓取的内容, 在命令⾏上显⽰, 其实很略
2. 如果交给 wireshark 处理, 可以看到更多细节
5. wireshark 使⽤
1. 概述
1. wireshark 使⽤
2. 步骤
1. 将开始收集到的 .cap ⽂件, 拷贝到 wireshark 所在的机器
2. ⽤ wireshark 打开即可
3. 其他
1. 抓包时的参数
1. -v, -vv, -vvv
1. 对于抓包来说, 影响不⼤
2. -n, -nn
1. 对于抓包来说, 影响不⼤
ps
1. ref
1.
2. 后续
1. 我的虚拟机上, ⽹卡有点多
1. ip 命令对我来说, 好像有点太⼤了
1. 有空看看 ip 命令吧
2. icmp
1. 包抓下来了, 可以看看协议了
1. 这个可能会拖得⽐较久, 因为对于协议来说, 我⽬前真的没什么好⼊⼝。