Paketerfassung tcpdump unter Linux

Als das Unternehmen unter Linux eine Verbindung zum Socket herstellte, stellte ich fest, dass immer Fehler in der Schnittstelle gemeldet wurden, also untersuchte ich die Paketerfassung unter Linux

tcpdump host #IP-Adresse# / /Vom Host 210.27.48.1 empfangene oder gesendete Telnet-Pakete abrufen

Hauptoptionen der TCPdump-Parameter

-i: Geben Sie die Netzwerkkarte an, die Standardeinstellung ist eth0
-n: Online-IP, anstelle von Hostname
-c: Angeben, dass mehrere Pakete erfasst und gestartet werden
-A: Online-Paketinhalt im ASCII-Modus. Diese Option ist nützlich für Protokollpakete im Textformat .
-x: In 16 den Inhalt des Pakets im Binärformat anzeigen
-vvv: detaillierte Informationen anzeigen
-s: Daten entsprechend der Paketlänge abfangen; der Standardwert beträgt 60 Bytes ist größer als 60 Bytes, Daten gehen bei der Paketerfassung verloren; wir setzen also normalerweise -s 0; dadurch werden Daten entsprechend der Größe des Pakets erfasst.
-r: Lesen aus der Datei [entspricht -w, /usr/sbin/tcpdump - r test.out Lesen Sie tcpdump -w test.out]
-w: Zeigen Sie überall auf Dateien [muss verwenden, -w t.out, und dann Verwenden Sie -r t.out, um die Paketerfassungsinformationen anzuzeigen, andernfalls sind sie lesbar. Sehr schlecht]

2. tcpmdump erfasst das Paket und analysiert die spezifische Bedeutung des Pakets

Flag, das vom Paket getragen wird: S: S=SYC: Flag „Verbindung initiieren“ P :P=PUSH: Flag „Daten übertragen“ F: F=FIN: Flag „Verbindung schließen“ ack: Zeigt Bestätigungspaket an. RST=RESET: Ungewöhnlich geschlossen Die Verbindung. Zeigt an, dass kein Flag vorhanden ist.

Erste Zeile: S: Zeigt clinet.hostname an. Der temporäre Port 50741 initiiert eine Verbindung zum server.hostname 80-Port. Die anfängliche Paketsequenznummer des Clients lautet: 562843056 ; die Größe des Schiebefensters (Win 14480) beträgt: 14480 [14k] Das Schiebefenster ist die Größe des TCP-Empfangspuffers, der für die TCP-Überlastungskontrolle verwendet wird. MSS 1460: Die maximale Paketlänge, die empfangen werden kann, normalerweise MTU - 40 Byte; IP-Header und TCP-Header jeweils 20 Byte. Zweite Zeile: S: Zeigt den SYN-Status an; die erste Zeile lautet: clinet.hostname. Antwort auf die Anforderung, eine Verbindung herzustellen anfängliche Paketsequenznummer + 1: ack 562843057, das heißt, server.hostname wartet auf den nächsten Empfang des Pakets mit dieser Paketsequenznummer, die für die Sequenzsteuerung des TCP-Byte-Streams (?) verwendet wird Paketseriennummer: 2306923370
Dritte Zeile: client.hostname Bestätigen Sie erneut, dass die TCP-Verbindung den Drei-Wege-Handshake abgeschlossen hat.
Die vierte Zeile: P: push data client.hostname sendet ein Datenpaket an server.hostname über Port 50741; die Datenpaketgröße beträgt 1005 Byte; die fünfte Zeile besagt, dass server.hostname auf dieses Datenpaket durch Senden und Empfangen antwortet dieses Datenpaket. ----> Wenn die Verbindung abgeschlossen ist, wird ein server.hostname F-Paket angezeigt.
Zeile 6 wird hier nicht erfasst. ----> Zeile 10 ist eine Wiederholung der Zeilen 1-5 ist, dass der Webdienst gleichzeitig ist.

Weitere Linux-Artikel finden Sie in der Spalte

Linux-Tutorial, um mehr darüber zu erfahren!

Das obige ist der detaillierte Inhalt vonPaketerfassung tcpdump unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!