您好,欢迎来到小侦探旅游网。
搜索
您的当前位置:首页tcpdump基础

tcpdump基础

来源:小侦探旅游网


tcpdump基础

Tcpdump常用命令及基础故障定位3板斧!

在老4k系统和TOS中的.1平台和.8平台(猎豹)支持TCPDUMP命令。

Tcpdump中and、not、or、host、port、grep、-e、-vv参数的使用:

例1:在eth1口抓包,只显示地址为10.1.1.1和icmp协议的报文。

Tcpdump –i eth1 host 10.1.1.1 and icmp

例2:在所有的接口抓包,不显示4000端口的管理报文,和23端口的telnet报文。

Tcpdump –i any not port 4000 and not port 23 (在同时管理的时候很实用)

例3:在eth1口抓包,显示地址为211.1.1.1或10.1.1.1的报文。

Tcpdump –i eth1 host 211.1.1.1 or host 10.1.1.1 (针对MAP前后的地址同时抓包定位时非常实用)

例4:在所有的接口抓包,显示地址为10.1.1.1报文。

Tcpdump |grep host 10.1.1.1 (在adls环境中非常实用,封装了PPPOE的报文也

能抓到,但是TOS不支持grep的参数了)

在tos系统中,X86的平台下才有抓包的工具,-n表示不需要域名解析,加快抓包的速度。

并且-evv比老的4k系统中,能抓到更多的信息,其中还包括校验和。

例5:System tcpdump –i any –evv -n (TOS系统中最后必须加-n的参数,才能保证抓包的速度)

例6:System tcpdump –i ipsec0 -n (TOS支持在ipsec0中抓包,来判断数据流是否进入隧道)

例7:System tcpdump –i ppp0 -n (TOS支持在ppp0中抓包,来判断数据流是否进入PPPoE的封装)

下面的4个实例,详细阐述了目的地址转换时如何通过TCPDUMP抓包来快速定位故障点。

现场通过抓包来定位故障原因是最准确高效的方法:

下面抓包中,客户端源地址为168.36.126.1 MAP地址为209.136.47.12 服务器真实地址为11.68.21.12

对于目的地址转换,天融信也俗称为MAP转换。

例1、如果业务、ping都不通,抓包时只有第一个请求报文,没有匹配MAP转换,说明:

A: 防火墙没有到真实服务器的路由,而导致不能匹配MAP策略。

B: 或者是防火墙上没有开放对应的访问策略。

TOS# system tcpdump -i any host 168.36.126.1 -n

04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length

例2、如果业务、ping都不通,抓包是匹配了MAP转换策略,说明:

A: 对方的服务没有回应。

B: 或者对方回应了但是路由错误,回应数据包没有到防火墙。

TOS# system tcpdump -i any host 168.36.126.1 -n

04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length

04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length

例3、如果业务、ping都不通,抓包显示最后一个报文没有正常转换,说明:

A: 防火墙上没有回指路由,而导致最后的报文没有发出。

TOS# system tcpdump -i any host 168.36.126.1 -n

04:19:03.400000 IP 168.36.126.1 >209.136.47.12: ICMP echo request, id 10706, seq 4161, length

04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length

04:19:03.400000 IP 11.68.21.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length

例4、如果业务、ping都不通,抓包显示报文正常转发,说明

A: TOS发出了数据包,但是匹配了错误的回指路由。

TOS# system tcpdump -i any host 168.36.126.1 -n

04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length

04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length

04:19:03.400000 IP 11.68.21.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length

04:19:03.404365 IP 209.136.47.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length

各位现场工程如果能掌握tcpdump的这3板斧,逐步养成遇到故障,自己先抓包分析定位一下,将对自己能力提高有很大的帮助。

接下来我们将给出tcpdump抓包如果来分析应用建立是否正常:

1、TCP建立时的3次握手过程。syn,syn ack,ack包的判断。

2、TCP传输报文push包的判断。

3、TCP正常拆除连接的4次握手过程。双向FIN、FIN ack包的判断。

4、TPC非正常拆除连接的报文RST包的判断。

1、TCP建立连接时3次握手的报文。(syn,syn ack,ack包)

05:03:36.632472 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: S 21321858:21321858(0) win 16384

05:03:36.6326 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: S 4728885:4728885(0) ack 21321859 win 17520

05:03:36.97 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: . ack 1 win 17520

2、TCP连接建立后,传输数据的PUSH报文。

05:03:36.9578 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: P 1:73(72) ack 1 win 17520

05:03:36.650170 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: P 1:33(32) ack 73 win 17448

3、TCP拆除连接时4次握手的报文。(双向FIN、FIN ack包)

05:03:36.650204 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: F 33:33(0) ack 73 win 17448

05:03:36.666213 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: F 73:73(0) ack 33 win 17488

05:03:36.666241 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: . ack 34 win 17488

05:03:36.666335 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: . ack 74 win 17448

例5、根据源地址、目的地址来抓取数据包

Firewall-主# system tcpdump -ni any src host 220.191.253.107 and dst host 220.191.253.107

tcpdump: WARNING: Promiscuous mode not supported on the \"any\" device

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked), capture size 68 bytes

10:57:08.044114 X@eth15 IP 220.191.253.107.62058 > 220.191.253.107.62058: UDP, length 16

10:57:08.044349 R@eth15 IP 220.191.253.107.62058 > 220.191.253.107.62058:

UDP, length 16

10:57:09.1859 X@eth15 IP 220.191.253.107.57156 > 220.191.253.107.57156: UDP, length 16

10:57:09.165117 R@eth15 IP 220.191.253.107.57156 > 220.191.253.107.57156: UDP, length 16

10:57:09.478165 X@eth15 IP 220.191.253.107.619 > 220.191.253.107.619: UDP, length 16

注:X@eth15 代表数据包从这个端口转发;R@eth15 代表数据包从这个端口接收; (Receive)

因篇幅问题不能全部显示,请点此查看更多更全内容

Copyright © 2019- xiaozhentang.com 版权所有 湘ICP备2023022495号-4

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务