常用選項(xiàng)通過上述的實(shí)戰(zhàn)案例,相信大家已經(jīng)掌握的 tcpdump 基本用法,在這里來詳細(xì)總結(jié)一下常用的選項(xiàng)參數(shù)。
(一)基礎(chǔ)選項(xiàng)
-i:指定接口
-D:列出可用于抓包的接口
-s:指定數(shù)據(jù)包抓取的長度
-c:指定要抓取的數(shù)據(jù)包的數(shù)量
-w:將抓包數(shù)據(jù)保存在文件中
-r:從文件中讀取數(shù)據(jù)
-C:指定文件大小,與 -w 配合使用
-F:從文件中讀取抓包的表達(dá)式
-n:不解析主機(jī)和端口號(hào),這個(gè)參數(shù)很重要,一般都需要加上
-P:指定要抓取的包是流入還是流出的包,可以指定的值 in、out、inout
(二)輸出選項(xiàng)
-e:輸出信息中包含數(shù)據(jù)鏈路層頭部信息
-t:顯示時(shí)間戳,tttt 顯示更詳細(xì)的時(shí)間
-X:顯示十六進(jìn)制格式
-v:顯示詳細(xì)的報(bào)文信息,嘗試 -vvv,v 越多顯示越詳細(xì)
過濾表達(dá)式
tcpdump 強(qiáng)大的功能和靈活的策略,主要體現(xiàn)在過濾器(BPF)強(qiáng)大的表達(dá)式組合能力。
(一)操作對(duì)象
表達(dá)式中可以操作的對(duì)象有如下幾種:
type,表示對(duì)象的類型,比如:host、net、port、portrange,如果不指定 type 的話,默認(rèn)是 host
dir:表示傳輸?shù)姆较颍扇〉姆绞綖椋簊rc、dst。
proto:表示協(xié)議,可選的協(xié)議有:ether、ip、ip6、arp、icmp、tcp、udp。
(二)條件組合
表達(dá)對(duì)象之間還可以通過關(guān)鍵字 and、or、not 進(jìn)行連接,組成功能更強(qiáng)大的表達(dá)式。
or:表示或操作
and:表示與操作
not:表示非操作
建議看到這里后,再回頭去看實(shí)戰(zhàn)篇章的示例,相信必定會(huì)有更深的理解。如果是這樣,那就達(dá)到了我預(yù)期的效果了!
到這里就不再加新知識(shí)點(diǎn)了,分享一些工作中總結(jié)的經(jīng)驗(yàn):
1. 我們要知道 tcpdump 不是萬能藥,并不能解決所有的網(wǎng)絡(luò)問題。
2. 在高流量場景下,抓包可能會(huì)影響系統(tǒng)性能,如果是在生產(chǎn)環(huán)境,請(qǐng)謹(jǐn)慎使用!
3. 在高流量場景下,tcpdump 并不適合做流量統(tǒng)計(jì),如果需要,可以使用交換機(jī)鏡像的方式去分析統(tǒng)計(jì)。
4. 在 Linux 上使用 tcpdump 抓包,結(jié)合 wireshark 工具進(jìn)行數(shù)據(jù)分析,能事半功倍。
5. 抓包時(shí),盡可能不要使用 any 接口來抓包。
6. 抓包時(shí),盡可能指定詳細(xì)的數(shù)據(jù)包過濾表達(dá)式,減少無用數(shù)據(jù)包的拷貝。
7. 抓包時(shí),盡量指定 -n 選項(xiàng),減少解析主機(jī)和端口帶來的性能開銷。
-
嵌入式
+關(guān)注
關(guān)注
5087文章
19145瀏覽量
306134 -
Linux
+關(guān)注
關(guān)注
87文章
11320瀏覽量
209849 -
端口
+關(guān)注
關(guān)注
4文章
978瀏覽量
32103 -
數(shù)據(jù)包
+關(guān)注
關(guān)注
0文章
263瀏覽量
24414
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論