tcpdump基础
Tcpdump常用命令及基础故障定位3板斧!
在老4k系统和TOS中的.1平台和.8平台(猎豹)支持TCPDUMP命令。
Tcpdump中and、not、or、host、port、grep、-e、-vv参数的使用:
例1:在eth1口抓包,只显示地址为10.1.1.1和icmp协议的报文。
Tcpdump –i eth1 host 10.1.1.1 and icmp
例2:在所有的接口抓包,不显示4000端口的管理报文,和23端口的telnet报文。
Tcpdump –i any not port 4000 and not port 23 (在同时管理的时候很实用)
例3:在eth1口抓包,显示地址为211.1.1.1或10.1.1.1的报文。
Tcpdump –i eth1 host 211.1.1.1 or host 10.1.1.1 (针对MAP前后的地址同时抓包定位时非常实用)
例4:在所有的接口抓包,显示地址为10.1.1.1报文。
Tcpdump |grep host 10.1.1.1 (在adls环境中非常实用,封装了PPPOE的报文也
能抓到,但是TOS不支持grep的参数了)
在tos系统中,X86的平台下才有抓包的工具,-n表示不需要域名解析,加快抓包的速度。
并且-evv比老的4k系统中,能抓到更多的信息,其中还包括校验和。
例5:System tcpdump –i any –evv -n (TOS系统中最后必须加-n的参数,才能保证抓包的速度)
例6:System tcpdump –i ipsec0 -n (TOS支持在ipsec0中抓包,来判断数据流是否进入隧道)
例7:System tcpdump –i ppp0 -n (TOS支持在ppp0中抓包,来判断数据流是否进入PPPoE的封装)
下面的4个实例,详细阐述了目的地址转换时如何通过TCPDUMP抓包来快速定位故障点。
现场通过抓包来定位故障原因是最准确高效的方法:
下面抓包中,客户端源地址为168.36.126.1 MAP地址为209.136.47.12 服务器真实地址为11.68.21.12
对于目的地址转换,天融信也俗称为MAP转换。
例1、如果业务、ping都不通,抓包时只有第一个请求报文,没有匹配MAP转换,说明:
A: 防火墙没有到真实服务器的路由,而导致不能匹配MAP策略。
B: 或者是防火墙上没有开放对应的访问策略。
TOS# system tcpdump -i any host 168.36.126.1 -n
04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length
例2、如果业务、ping都不通,抓包是匹配了MAP转换策略,说明:
A: 对方的服务没有回应。
B: 或者对方回应了但是路由错误,回应数据包没有到防火墙。
TOS# system tcpdump -i any host 168.36.126.1 -n
04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length
04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length
例3、如果业务、ping都不通,抓包显示最后一个报文没有正常转换,说明:
A: 防火墙上没有回指路由,而导致最后的报文没有发出。
TOS# system tcpdump -i any host 168.36.126.1 -n
04:19:03.400000 IP 168.36.126.1 >209.136.47.12: ICMP echo request, id 10706, seq 4161, length
04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length
04:19:03.400000 IP 11.68.21.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length
例4、如果业务、ping都不通,抓包显示报文正常转发,说明
A: TOS发出了数据包,但是匹配了错误的回指路由。
TOS# system tcpdump -i any host 168.36.126.1 -n
04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length
04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length
04:19:03.400000 IP 11.68.21.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length
04:19:03.404365 IP 209.136.47.12 > 168.36.126.1: ICMP echo reply, id 10706, seq 4161, length
各位现场工程如果能掌握tcpdump的这3板斧,逐步养成遇到故障,自己先抓包分析定位一下,将对自己能力提高有很大的帮助。
接下来我们将给出tcpdump抓包如果来分析应用建立是否正常:
1、TCP建立时的3次握手过程。syn,syn ack,ack包的判断。
2、TCP传输报文push包的判断。
3、TCP正常拆除连接的4次握手过程。双向FIN、FIN ack包的判断。
4、TPC非正常拆除连接的报文RST包的判断。
1、TCP建立连接时3次握手的报文。(syn,syn ack,ack包)
05:03:36.632472 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: S 21321858:21321858(0) win 16384 05:03:36.6326 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: S 4728885:4728885(0) ack 21321859 win 17520 05:03:36.97 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: . ack 1 win 17520 2、TCP连接建立后,传输数据的PUSH报文。 05:03:36.9578 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: P 1:73(72) ack 1 win 17520 05:03:36.650170 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: P 1:33(32) ack 73 win 17448 3、TCP拆除连接时4次握手的报文。(双向FIN、FIN ack包) 05:03:36.650204 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: F 33:33(0) ack 73 win 17448 05:03:36.666213 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: F 73:73(0) ack 33 win 17488 05:03:36.666241 R@ipsec0 IP 192.168.71.100.1843 > 192.168.21.88.4630: . ack 34 win 17488 05:03:36.666335 R@ipsec0 IP 192.168.21.88.4630 > 192.168.71.100.1843: . ack 74 win 17448 例5、根据源地址、目的地址来抓取数据包 Firewall-主# system tcpdump -ni any src host 220.191.253.107 and dst host 220.191.253.107 tcpdump: WARNING: Promiscuous mode not supported on the \"any\" device tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size 68 bytes 10:57:08.044114 X@eth15 IP 220.191.253.107.62058 > 220.191.253.107.62058: UDP, length 16 10:57:08.044349 R@eth15 IP 220.191.253.107.62058 > 220.191.253.107.62058: UDP, length 16 10:57:09.1859 X@eth15 IP 220.191.253.107.57156 > 220.191.253.107.57156: UDP, length 16 10:57:09.165117 R@eth15 IP 220.191.253.107.57156 > 220.191.253.107.57156: UDP, length 16 10:57:09.478165 X@eth15 IP 220.191.253.107.619 > 220.191.253.107.619: UDP, length 16 注:X@eth15 代表数据包从这个端口转发;R@eth15 代表数据包从这个端口接收; (Receive) 因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- xiaozhentang.com 版权所有 湘ICP备2023022495号-4
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务