下载文档原格式
Linux中的网络监控技巧使用tcpdump和wireshark命令进行抓包在Linux系统中,网络监控是一项非常关键的工作。
通过对网络数据包进行抓取和分析,可以帮助我们解决网络故障、优化网络性能以及保障网络安全。
本文将介绍两个常用的网络监控工具:tcpdump和wireshark,并介绍它们在Linux系统中的使用技巧。
一、tcpdumptcpdump是一个强大的命令行工具,可以在Linux系统中用于抓取和分析网络数据包。
它可以监控网络接口上的所有数据包,并将它们以各种格式进行展示,帮助我们深入了解网络通信过程。
安装tcpdump:在大多数Linux发行版中,tcpdump都默认安装在系统中。
如果您的系统没有预装tcpdump,可以通过以下命令进行安装:```sudo apt-get install tcpdump```抓取数据包:使用tcpdump抓取网络数据包非常简单,只需在命令行中输入以下命令:```sudo tcpdump```这样,tcpdump会开始在默认网络接口上抓取数据包,并将它们以默认格式输出到终端。
设置过滤器:有时候,我们只关注特定的网络流量或协议。
tcpdump支持设置过滤器来实现按需抓取。
例如,我们只想抓取目标IP地址为192.168.1.100的数据包,可以使用以下命令:```sudo tcpdump host 192.168.1.100```类似地,我们可以通过端口号、协议等设置更详细的过滤条件。
输出到文件:tcpdump默认将抓取的数据包输出到终端,但有时我们希望将数据保存到文件中进行离线分析。
可以使用以下命令将数据包输出到文件:```sudo tcpdump -w output.pcap```这样,tcpdump会将抓取到的数据包保存到output.pcap文件中。
二、wiresharkwireshark是一个功能强大的图形化网络分析工具,可以在Linux系统中使用。
tcpdump抓包条件摘要:一、tcpdump 简介二、tcpdump 抓包条件1.网络接口2.过滤规则3.保存和查看数据包正文:tcpdump 是一款功能强大的网络数据包捕获和分析工具,广泛应用于网络故障排查、网络安全分析和网络协议研究等领域。
通过tcpdump,用户可以实时捕获和分析网络数据包,了解网络流量状况以及各种网络协议的工作原理。
在tcpdump 中,有三个主要的抓包条件,分别是网络接口、过滤规则和保存和查看数据包。
首先,网络接口是tcpdump 抓包的基础。
用户需要选择正确的网络接口来捕获数据包。
在命令行中,可以通过“-i”参数来指定网络接口,例如:“tcpdump -i eth0”。
其次,过滤规则是tcpdump 抓包的关键。
通过过滤规则,用户可以有选择性地捕获感兴趣的数据包。
tcpdump 支持多种过滤条件,如源地址、目的地址、协议类型、端口号等。
在命令行中,过滤规则通常放在“-f”参数之后,例如:“tcpdump -i eth0 -f "src port 80"”。
最后,保存和查看数据包是tcpdump 的重要功能。
捕获到的数据包可以保存在文件中,以便后续分析。
在命令行中,可以通过“-w”参数将数据包保存到文件,例如:“tcpdump -i eth0 -w output.cap”。
另外,用户还可以使用tcpdump 的图形界面工具(如Wireshark)来查看和分析数据包。
总之,tcpdump 作为一款实用的网络数据包捕获工具,可以帮助用户实时监控网络状况,分析网络流量,查找网络故障,以及研究网络协议。
tcpdump抓包分析详解[root@linux ~]# tcpdump [-nn] [-i 接口] [-w 储存档名] [-c 次数] [-Ae][-qX] [-r 档案] [所欲撷取的数据内容]参数:-nn:直接以IP 及port number 显示,而非主机名与服务名称-i :后面接要『监听』的网络接口,例如eth0, lo, ppp0 等等的界面;-w :如果你要将监听所得的封包数据储存下来,用这个参数就对了!后面接档名-c :监听的封包数,如果没有这个参数,tcpdump 会持续不断的监听,直到使用者输入[ctrl]-c 为止。
-A :封包的内容以ASCII 显示,通常用来捉取WWW 的网页封包资料。
-e :使用资料连接层(OSI 第二层) 的MAC 封包数据来显示;-q :仅列出较为简短的封包信息,每一行的内容比较精简-X :可以列出十六进制(hex) 以及ASCII 的封包内容,对于监听封包内容很有用-r :从后面接的档案将封包数据读出来。
那个『档案』是已经存在的档案,并且这个『档案』是由-w 所制作出来的。
所欲撷取的数据内容:我们可以专门针对某些通讯协议或者是IP 来源进行封包撷取,那就可以简化输出的结果,并取得最有用的信息。
常见的表示方法有:'host foo', 'host 127.0.0.1' :针对单部主机来进行封包撷取'net 192.168' :针对某个网域来进行封包的撷取;'src host 127.0.0.1' 'dst net 192.168':同时加上来源(src)或目标(dst)限制'tcp port 21':还可以针对通讯协议侦测,如tcp, udp, arp, ether 等还可以利用and 与or 来进行封包数据的整合显示呢!范例一:以IP 与port number 捉下eth0 这个网络卡上的封包,持续 3 秒[root@linux ~]# tcpdump -i eth0 -nntcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes01:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 116:232(116) ack 1 win 964801:33:40.41 IP 192.168.1.100.22 > 192.168.1.11.1190: P 232:364(132) ack 1 win 9648<==按下[ctrl]-c 之后结束6680 packets captured <==捉下来的封包数量14250 packets received by filter <==由过滤所得的总封包数量7512 packets dropped by kernel <==被核心所丢弃的封包如果你是第一次看tcpdump 的man page 时,肯定一个头两个大,因为tcpdump 几乎都是分析封包的表头数据,用户如果没有简易的网络封包基础,要看懂粉难吶!所以,至少您得要回到网络基础里面去将TCP 封包的表头数据理解理解才好啊!^_^!至于那个范例一所产生的输出范例中,我们可以约略区分为数个字段,我们以范例一当中那个特殊字体行来说明一下:01:33:40.41:这个是此封包被撷取的时间,『时:分:秒』的单位;IP:透过的通讯协议是IP ;192.168.1.100.22 > :传送端是192.168.1.100 这个IP,而传送的port number 为22,您必须要了解的是,那个大于(>) 的符号指的是封包的传输方向喔!192.168.1.11.1190:接收端的IP 是192.168.1.11,且该主机开启port 1190 来接收;P 116:232(116):这个封包带有PUSH 的数据传输标志,且传输的数据为整体数据的116~232 byte,所以这个封包带有116 bytes 的数据量;ack 1 win 9648:ACK与Window size 的相关资料。
tcp丢包的解决方案
目录
1. TCP丢包的原因
1.1 网络拥堵
1.2 网络故障
1.3 数据包碎片化
2. 解决TCP丢包问题的方案
2.1 使用错误检测和纠正技术
2.2 调整TCP参数
2.3 使用重传机制
TCP丢包是网络通信中常见的问题,通常会给网络传输带来困扰。
下面将详细介绍TCP丢包的原因以及解决方案。
1. TCP丢包的原因
1.1 网络拥堵
网络拥堵是导致TCP丢包的常见原因之一。
当网络流量过大,路由器
或交换机无法及时处理所有数据包时,就会出现丢包现象。
1.2 网络故障
网络设备故障或不稳定也可能导致TCP丢包。
例如,路由器出现故障
或链路不稳定时,会导致数据包丢失。
1.3 数据包碎片化
数据包碎片化指的是一个数据包被分割成多个片段传输,其中部分片
段丢失导致整个数据包无法完整到达目的地,从而产生丢包问题。
2. 解决TCP丢包问题的方案
2.1 使用错误检测和纠正技术
通过使用校验和、序列号和确认应答等技术,可以在数据传输过程中
实现错误检测和纠正,减少TCP丢包的概率。
2.2 调整TCP参数
调整TCP的拥塞控制算法、重传超时时间等参数,可以改善网络性能,
减少TCP丢包的发生。
2.3 使用重传机制
当TCP数据包丢失时,使用重传机制可以重新发送丢失的数据包,确保数据的完整性和可靠性。
综上所述,针对TCP丢包问题,我们可以通过以上方案进行有效解决,提高网络通信的稳定性和可靠性。
Linux命令高级技巧通过tcpdump命令进行网络抓包和分析Linux是一款广泛应用于服务器和嵌入式设备的操作系统,具有强大的功能和灵活性。
与其他操作系统相比,Linux提供了丰富的命令行工具,其中之一就是tcpdump命令。
tcpdump是一款用于抓取网络数据包并进行分析的强大工具,它可以帮助用户深入了解网络通信,解决网络故障和排查安全问题。
在本文中,我们将介绍如何使用tcpdump 命令进行网络抓包和分析。
一、什么是网络抓包?网络抓包是指在计算机网络中捕获和保存网络数据包的过程。
网络数据包是信息在网络中传输的基本单位,它包含了源IP地址、目标IP 地址、协议类型、端口号等重要信息。
通过抓包,我们可以观察和分析网络通信的行为,帮助我们了解网络设备之间的交互过程,诊断网络故障,以及排查安全问题。
二、tcpdump命令的基本用法tcpdump命令是一款基于命令行的工具,用于捕获和分析网络数据包。
下面是tcpdump命令的基本用法:```tcpdump [选项] [表达式]```其中,选项用于配置tcpdump的行为,表达式用于过滤需要捕获的数据包。
下面是一些常用的选项:- `-i`:指定要监听的网络接口。
- `-n`:禁用主机名解析,显示ip地址而非域名。
- `-X`:以16进制和ASCII码显示数据包内容。
- `-c`:指定捕获数据包的数量。
- `-s`:指定捕获数据包的最大长度。
例如,我们可以使用以下命令来捕获网络接口eth0上的前10个数据包,并以16进制和ASCII码显示数据包内容:```tcpdump -i eth0 -c 10 -X```三、tcpdump命令的高级用法除了基本用法外,tcpdump命令还提供了一些高级的用法,帮助用户更加灵活和精确地进行网络抓包和分析。
1. 根据协议过滤数据包tcpdump支持根据不同协议类型进行数据包的过滤。
常见的协议包括TCP、UDP、ICMP等。
tcpdump命令详解⼀、tcpdump简介tcpdump命令是基于unix系统的命令⾏的数据报嗅探⼯具,可以抓取流动在⽹卡上的数据包。
它的原理⼤概如下:linux抓包是通过注册⼀种虚拟的底层⽹络协议来完成对⽹络报⽂(准确的是⽹络设备)消息的处理权。
当⽹卡接收到⼀个⽹络报⽂之后,它会遍历系统中所有已经注册的⽹络协议,如以太⽹协议、x25协议处理模块来尝试进⾏报⽂的解析处理。
当抓包模块把⾃⼰伪装成⼀个⽹络协议的时候,系统在收到报⽂的时候就会给这个伪协议⼀次机会,让它对⽹卡收到的保温进⾏⼀次处理,此时该模块就会趁机对报⽂进⾏窥探,也就是啊这个报⽂完完整整的复制⼀份,假装是⾃⼰接收的报⽂,汇报给抓包模块。
⼆、语法1、查看本地⽹卡状态[root@cnetos daocoder]# netstat -iKernel Interface tableIface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flgdocker0 1500 40409 0 0 0 20376 0 0 0 BMUens5f0 1500 22999894941 0 0 0 25581016784 0 0 0 BMRUlo 65536 850291094 0 0 0 850291094 0 0 0 LRUIface:存在的⽹卡。
MTU:最⼤传输单元。
RX-OK RX-ERR RX-DRP RX-OVR:正确接收数据报的数量以及发⽣错误、流式、碰撞的总数。
TX-OK TX-ERR TX-DRP TX-OVR:正确发送数据报的数量以及发⽣错误、流式、碰撞的总数。
2、tcpdump帮助命令[root@centos daocoder]# tcpdump --helptcpdump version 4.9.0libpcap version 1.5.3OpenSSL 1.0.1e-fips 11 Feb 2013Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ][ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ][ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ][ -Q|-P in|out|inout ][ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ][ --immediate-mode ] [ -T type ] [ --version ] [ -V file ][ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ][ -Z user ] [ expression ](1)、类型的关键字host:指明⼀台主机。
Tcpdump not found 解决方法在使用 Linux 或 macOS 系统时,有时候会遇到 tcpdump not found 的错误提示。
本文将介绍如何解决这个问题,以及如何安装和使用 tcpdump 工具。
下面是本店铺为大家精心编写的3篇《Tcpdump not found 解决方法》,供大家借鉴与参考,希望对大家有所帮助。
《Tcpdump not found 解决方法》篇1在使用 Linux 或 macOS 系统时,有时候需要使用 tcpdump 工具来捕获和分析网络数据包。
但是,有时候在运行 tcpdump 命令时会遇到“tcpdump not found”的错误提示。
这通常是因为系统中没有安装 tcpdump 工具或者安装的版本过旧导致的。
以下是解决 tcpdump not found 的几种方法:1. 安装 tcpdump 工具如果在您的系统中没有安装 tcpdump 工具,可以通过以下命令来安装:- 在基于 RPM 的 Linux 发行版中,可以使用以下命令安装: ```sudo yum install tcpdump```- 在基于 DEB 的 Linux 发行版中,可以使用以下命令安装:```sudo apt-get install tcpdump```- 在 macOS 系统中,可以使用以下命令安装:```sudo brew install tcpdump```2. 检查 tcpdump 工具版本如果您已经安装了 tcpdump 工具,但是仍然遇到 tcpdump not found 的错误提示,可能是因为安装的版本过旧。
可以通过以下命令来检查 tcpdump 工具的版本:- 在基于 RPM 的 Linux 发行版中,可以使用以下命令检查: ```sudo rpm -q tcpdump```- 在基于 DEB 的 Linux 发行版中,可以使用以下命令检查: ```sudo apt-get install -q tcpdump```- 在 macOS 系统中,可以使用以下命令检查:```sudo brew list tcpdump```如果发现安装的版本过旧,可以尝试升级到最新版本。
说明:1.本报告是成都科来软件安徽办事处针对xxxx的网络故障所做的分析报告,因此该报告可以由xxxx的相关人员和科来安徽办的技术人员进行相应的查阅、更改或完善。
2.该报告中可能会涉及到用户网络内部的相关敏感信息,我方任何技术人员不得对外泄漏,否则,由此造成的后果一切由其本人负责,与科来公司无关。
3.该报告内容全部为成都科来安徽办事处组织创作,科来安徽办事处具有其版权,任何其他组织或个人不得在没有科来安徽办授权的情况下传播该文档。
4.安徽办事处具有对该报告文档的解释权。
目录1故障描述 (1)1.1故障环境 (1)1.2故障现象 (1)2故障分析 (1)2.1确认故障点 (1)2.2部署科来网络分析系统 (2)2.3数据包分析 (2)2.4分析结论 (6)3总结 (6)1故障描述1.1故障环境xxxx的互联网的结构比较简单,通过核心和防火墙直接相连,中间没有任何的网络监控、管理设备,示意图如下所示:xxxx的防火墙走的是路由模式,内部员工上网通过防火墙进行地址转化,转换成公网地址。
1.2故障现象打开网页速度比较慢,但是下载的速度很快,而且利用web页面上传邮件附件也很慢,几兆的附件经常上传不上去。
同时利用WEB页面登陆防火墙的速度也很慢。
2故障分析2.1确认故障点通过上面的介绍,我们可以发现在上网慢时只经过了核心交换机和防火墙,所以可疑的故障点有以下几个位置:2.2部署科来网络分析系统为了找到故障的具体位置,我们找一台慢的主机装上科来网络分析系统,然后在核心交换和防火墙之间部署上科来网络分析系统,通过端口镜像来捕获通信的数据包:2.3数据包分析1、分析防火墙有无丢包、延时。
同样的,我们做故障还原测试,并利用防火墙自带的抓包功能来抓取网络通信的数据包,同时在客户端进行抓包。
通过测试得到如下的数据包:客户端数据包防火墙入口数据包防火墙出口数据包通过上面的数据包我们可以得出一个数据包交互图:通过比较数据包,我们可以发现在防火墙入口处有数据包丢失!造成这种丢失的最大可能性就是防火墙和中间设备之间有其他网络设备导致数据包丢失,但是在防火墙和客户端之间没有其他设备,只有一个核心交换机,为了能够准确找出故障点,我们再捕获防火墙和核心交换之间的数据包与客户端发送的数据包进行比较。
丢包检测原理在网络通信中,丢包是指在数据传输过程中出现的数据包丢失现象。
丢包会导致网络性能下降,影响用户体验。
因此,了解丢包检测原理对于网络管理和故障排除非常重要。
丢包检测是一种用于判断网络丢包情况的技术手段,通过对传输过程中的数据包进行监控和分析,可以及时发现丢包问题,并采取相应的措施进行修复。
一、丢包检测的原理介绍丢包检测主要基于网络协议的工作原理。
在数据通信过程中,数据被分割为多个数据包进行传输,每个数据包都包含了发送方和接收方的地址信息、数据内容和校验信息等。
丢包检测的原理主要包括以下几个方面:1. 数据包序号在发送数据时,发送方会为每个数据包分配一个序号,接收方在接收到数据包后会检查序号是否按照预期顺序进行传输。
如果接收方发现序号缺失,即数据包丢失,就可以判断出发生了丢包事件。
2. 校验和数据包中通常包含了校验和字段,用于检测数据在传输过程中是否发生了错误。
发送方在发送数据包时,会计算数据的校验和,并将其附加在数据包中。
接收方在接收到数据包后,也会进行校验和的计算,并与接收到的校验和进行比对。
如果校验和不一致,说明数据包在传输过程中发生了错误,可能是由于丢包引起的。
3. 超时重传发送方在发送数据包后,会等待一段时间来接收接收方的确认信息。
如果发送方在规定的时间内未收到确认信息,就会认为数据包丢失,并触发超时重传机制,重新发送数据包。
通过超时重传机制,可以间接地检测到丢包情况。
二、丢包检测的应用丢包检测在网络管理和故障排除等方面具有重要作用。
以下是丢包检测的几个常见应用场景:1. 网络监控通过对网络中的数据包进行监控和分析,可以实时了解网络丢包情况。
管理员可以根据监测结果,判断网络性能是否正常,并及时采取措施解决丢包问题,以保证网络的稳定性和可靠性。
2. 故障排除当用户在使用网络时出现连接不稳定、延迟高等问题时,丢包检测可以帮助管理员快速定位问题。
通过检测丢包情况,可以确定是网络传输问题还是其他原因导致的故障,并采取相应的措施进行修复。
tcpdump使用方法一、什么是tcpdumptcpdump是一种在Linux和Unix操作系统上使用的网络抓包工具。
它可以捕获网络数据包并将其显示或保存到文件中,以供后续分析和诊断。
tcpdump可以用于调试网络问题、监视网络流量、分析网络协议等。
二、安装tcpdump1.在Ubuntu上安装tcpdump:sudo apt-get install tcpdump2.在CentOS上安装tcpdump:sudo yum install tcpdump三、基本用法1.捕获所有数据包:sudo tcpdump -i eth0-i选项指定要监听的接口,eth0为网卡接口名称。
2.捕获指定端口的数据包:sudo tcpdump -i eth0 port 80port选项指定要监听的端口号,80为HTTP服务默认端口号。
3.捕获指定IP地址的数据包:sudo tcpdump -i eth0 host 192.168.1.100host选项指定要监听的IP地址,192.168.1.100为目标IP地址。
4.捕获指定协议类型的数据包:sudo tcpdump -i eth0 icmpicmp为ICMP协议类型。
5.捕获指定源IP地址和目标IP地址之间的数据包:sudo tcpdump -i eth0 src 192.168.1.100 and dst 192.168.1.200 src选项指定源IP地址,dst选项指定目标IP地址。
6.保存抓包结果到文件:sudo tcpdump -i eth0 -w capture.pcap-w选项指定保存到文件的名称,capture.pcap为文件名。
7.读取保存的抓包结果:sudo tcpdump -r capture.pcap-r选项指定读取文件的名称,capture.pcap为文件名。
四、高级用法1.显示数据包详细信息:sudo tcpdump -i eth0 -v-v选项可以显示更详细的信息,如源地址、目标地址、协议类型等。
tcpdump抓包命令使⽤抓包⼯具使⽤1.作⽤:(1)捕获⽹络协议包(2)分析⽹络协议包2.分类:(1)命令⾏⼯具,如tcpdump(2)图像界⾯⼯具,wireshark3.tcpdump命令⾏⼯具的使⽤3.1格式:tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ]3.2选项分类抓包选项-c:指定要抓取的包数量-i interface:指定tcpdump需要监听的接⼝,-I 后⾯直接跟⽹卡名即可,如-I ens33-n:对地址以数字⽅式显式,否则显式为主机名-nn:除了-n的作⽤外,还把端⼝显⽰为数值输出选项-e:输出的每⾏中都将包括数据链路层头部信息,例如源MAC和⽬标MAC。
-q:快速打印输出。
即打印很少的协议相关信息,从⽽输出⾏都⽐较简短。
-X:输出包的头部数据,会以16进制和ASCII两种⽅式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种⽅式同时输出,更详细。
-v:当分析和打印的时候,产⽣详细的输出。
-vv:产⽣⽐-v更详细的输出。
-vvv:产⽣⽐-vv更详细的输出其他功能选项-D:列出可⽤于抓包的接⼝-F:从⽂件中读取抓包的表达式-w:将抓包数据输出到⽂件中⽽不是标准输出,如-w node1.cap-r:从给定的数据包⽂件中读取数据。
如tcmdump -r node1.cap4.tcpdump的表达式tcpdump的表达式由⼀个或多个"单元"组成,每个单元⼀般包含ID的修饰符和⼀个ID(数字或名称)。
有三种修饰符:type:指定ID的类型。
可以给定的值有host/net/port/portrange。
例如"host foo","net 128.3","port 20","portrange 6000-6008"。
tcpdump命令详解简介⽤简单的话来定义tcpdump,就是:dump the traffic on a network,根据使⽤者的定义对⽹络上的数据包进⾏截获的包分析⼯具。
tcpdump可以将⽹络中传送的数据包的“头”完全截获下来提供分析。
它⽀持针对⽹络层、协议、主机、⽹络或端⼝的过滤,并提供and、or、not等逻辑语句来帮助你去掉⽆⽤的信息。
实⽤命令实例默认启动tcpdump普通情况下,直接启动tcpdump将监视第⼀个⽹络接⼝上所有流过的数据包。
1、tcpdump: no suitable device found问题分析及解决:2种原因:1.权限不够,⼀般不经过处理,只⽤root⽤户能使⽤tcpdump , sudo ./tcpdump2.缺省只能同时使⽤4个tcpdump,如⽤完,则报此类错。
需要停掉多余的tcpdump2、fedora 14 中运⾏make install 命令也要加上 sudo3、出现种提⽰ linux UID or EUID of 0 required也是权限问题,fedora 下加上sudo监视指定⽹络接⼝的数据包tcpdump -i eth1如果不指定⽹卡,默认tcpdump只会监视第⼀个⽹络接⼝,⼀般是eth0,下⾯的例⼦都没有指定⽹络接⼝。
监视指定主机的数据包打印所有进⼊或离开sundown的数据包.tcpdump host sundown也可以指定ip,例如截获所有210.27.48.1 的主机收到的和发出的所有的数据包tcpdump host 210.27.48.1打印helios 与 hot 或者与 ace 之间通信的数据包tcpdump host helios and \( hot or ace \)截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包.tcpdump ip host ace and not helios如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使⽤命令:tcpdump ip host 210.27.48.1 and ! 210.27.48.2截获主机hostname发送的所有数据tcpdump -i eth0 src host hostname监视所有送到主机hostname的数据包tcpdump -i eth0 dst host hostname监视指定主机和端⼝的数据包如果想要获取主机210.27.48.1接收或发出的telnet包,同时本地端⼝是23,使⽤如下命令tcpdump tcp port 23 and host 210.27.48.118:16:52.987746 IP 10.1.210.111.55634 > izwz969829wo6i9nlscjukz.9124: Flags [S], seq 833996115, win 29200, options [mss 1460,sackOK,TS val 1492682208 ecr 0,nop,wscale 7], length 018:16:52.987794 IP izwz969829wo6i9nlscjukz.9124 > 10.1.210.111.55634: Flags [S.], seq 540069507, ack 833996116, win 28960, options [mss 1460,sackOK,TS val 1492698220 ecr 1492682208,nop,wscale 7], length 0 18:16:52.987980 IP 10.1.210.111.55634 > izwz969829wo6i9nlscjukz.9124: Flags [R.], seq 1, ack 1, win 229, options [nop,nop,TS val 0 ecr 1492698220], length 018:16:52.989616 IP 10.1.210.111.55636 > izwz969829wo6i9nlscjukz.9124: Flags [S], seq 236673865, win 29200, options [mss 1460,sackOK,TS val 1492682210 ecr 0,nop,wscale 7], length 018:16:52.989642 IP izwz969829wo6i9nlscjukz.9124 > 10.1.210.111.55636: Flags [S.], seq 2397900505, ack 236673866, win 28960, options [mss 1460,sackOK,TS val 1492698222 ecr 1492682210,nop,wscale 7], length 0 18:16:52.989782 IP 10.1.210.111.55636 > izwz969829wo6i9nlscjukz.9124: Flags [R.], seq 1, ack 1, win 229, options [nop,nop,TS val 0 ecr 1492698222], length 018:16:54.189162 IP izwz969829wo6i9nlscjukz.9124 > 10.1.210.111.55634: Flags [S.], seq 540069507, ack 833996116, win 28960, options [mss 1460,sackOK,TS val 1492699422 ecr 1492682208,nop,wscale 7], length 0 18:16:54.189319 IP 10.1.210.111.55634 > izwz969829wo6i9nlscjukz.9124: Flags [R], seq 833996116, win 0, length 018:16:54.389178 IP izwz969829wo6i9nlscjukz.9124 > 10.1.210.111.55636: Flags [S.], seq 2397900505, ack 236673866, win 28960, options [mss 1460,sackOK,TS val 1492699622 ecr 1492682210,nop,wscale 7], length 0 18:16:54.389374 IP 10.1.210.111.55636 > izwz969829wo6i9nlscjukz.9124: Flags [R], seq 236673866, win 0, length 018:16:56.989896 IP 10.1.210.111.55656 > izwz969829wo6i9nlscjukz.9124: Flags [S], seq 2567997945, win 29200, options [mss 1460,sackOK,TS val 1492686210 ecr 0,nop,wscale 7], length 018:16:56.989959 IP izwz969829wo6i9nlscjukz.9124我的haproxy配置的是4秒,这⾥怎么是2秒呢?看上⾯的标志位对本机的udp 123 端⼝进⾏监视 123 为ntp的服务端⼝tcpdump udp port 123监视指定⽹络的数据包打印本地主机与Berkeley⽹络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为'Berkeley⽹络'的⽹络地址,此表达式最原始的含义可表达为: 打印⽹络地址为ucb-ether的所有数据包)tcpdump net ucb-ether打印所有通过⽹关snup的ftp数据包(注意, 表达式被单引号括起来了, 这可以防⽌shell对其中的括号进⾏错误解析)tcpdump 'gateway snup and (port ftp or ftp-data)'打印所有源地址或⽬标地址是本地主机的IP数据包(如果本地⽹络通过⽹关连到了另⼀⽹络, 则另⼀⽹络并不能算作本地⽹络.(nt: 此句翻译曲折,需补充).localnet 实际使⽤时要真正替换成本地⽹络的名字)tcpdump ip and not net localnet监视指定协议的数据包打印TCP会话中的的开始和结束数据包, 并且数据包的源或⽬的不是本地⽹络上的主机.(nt: localnet, 实际使⽤时要真正替换成本地⽹络的名字))tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'打印所有源或⽬的端⼝是80, ⽹络层协议为IPv4, 并且含有数据,⽽不是SYN,FIN以及ACK-only等不含数据的数据包.(ipv6的版本的表达式可做练习)tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'(nt: 可理解为, ip[2:2]表⽰整个ip数据包的长度, (ip[0]&0xf)<<2)表⽰ip数据包包头的长度(ip[0]&0xf代表包中的IHL域, ⽽此域的单位为32bit, 要换算成字节数需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表⽰tcp头的长度, 此域的单位也是32bit, 换算成⽐特数为 ((tcp[12]&0xf0) >> 4) << 2, 即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表⽰: 整个ip数据包的长度减去ip头的长度,再减去tcp头的长度不为0, 这就意味着, ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的'Payload Length' 与 'tcp头的长度'的差值, 并且其中表达⽅式'ip[]'需换成'ip6[]'.)打印长度超过576字节, 并且⽹关地址是snup的IP数据包tcpdump 'gateway snup and ip[2:2] > 576'打印所有IP层⼴播或多播的数据包,但不是物理以太⽹层的⼴播或多播数据报tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'打印除'echo request'或者'echo reply'类型以外的ICMP数据包( ⽐如,需要打印所有⾮ping 程序产⽣的数据包时可⽤到此表达式 .(nt: 'echo reuqest' 与 'echo reply' 这两种类型的ICMP数据包通常由ping程序产⽣))tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'tcpdump 与wiresharkWireshark(以前是ethereal)是Windows下⾮常简单易⽤的抓包⼯具。
网络测试工具使用中常见问题六十九:利用工具进行网络流量调优与管理在日常的网络使用中,我们经常会遇到网络延迟、带宽不足等问题,这给我们的工作和生活带来了不便。
为了解决这些问题,我们可以利用网络测试工具进行网络流量调优与管理。
下面就让我们来一起探讨一下,在使用网络测试工具时常见的问题及解决方法。
一、了解网络测试工具的分类网络测试工具可以分为两类:主动测试工具和被动测试工具。
主动测试工具可以主动发起网络请求并监控网络性能,如Ping、Traceroute、Iperf等。
被动测试工具则能够被动地收集网络流量数据并进行分析,如Wireshark、TCPDUMP等。
二、主动测试工具使用中的常见问题与解决方法1. 问题:Ping测试结果不理想,延迟较高。
解决方法:首先,可以尝试更换不同的Ping服务器,以确定问题是否出在服务器端。
此外,可以通过调整网络设备的配置,例如关闭QoS、开启流量整形、合理分配带宽等来改善延迟问题。
2. 问题:通过Traceroute无法确定网络瓶颈所在。
解决方法:在进行Traceroute测试时,可以使用不同的TTL (Time to Live)参数进行测试,以便更准确地定位网络瓶颈。
另外,还可以结合使用路由追踪工具,如mtr或WinMTR,来获取更详细的网络路径信息。
3. 问题:Iperf测试结果显示带宽不足。
解决方法:在进行Iperf测试时,可以通过调整测试参数来提高测试精度。
例如,增加测试时长、调整并发连接数等。
此外,还可以优化网络设备的配置,例如增加网络缓存、调整MTU等,以提高带宽利用率。
三、被动测试工具使用中的常见问题与解决方法1. 问题:Wireshark抓包过程中占用大量系统资源。
解决方法:可以通过设置过滤器来限制Wireshark抓包的范围,只捕获特定的协议或IP地址流量,从而减少资源占用。
此外,可以将Wireshark运行在专用的抓包机器上,以避免对主机性能的影响。
tcpdump抓包条件tcpdump是一款强大的网络抓包工具,可用于捕获和分析网络数据包。
在使用tcpdump时,可以通过设置特定的条件来过滤和捕获感兴趣的数据包。
以下是一些常见的抓包条件:1. 捕获特定网络接口的数据包:使用-i选项可以指定抓取数据包的网络接口。
例如,如果希望捕获eth0接口上的数据包,可以使用以下命令:```tcpdump -i eth0```2. 指定源和目的IP地址:使用src和dst选项可以过滤来源或目的IP地址。
例如,如果希望只捕获来自10.0.0.1的数据包,可以使用以下命令:```tcpdump src 10.0.0.1```类似地,可以使用dst选项来指定目的IP地址。
3. 指定协议类型:使用proto选项可以过滤特定的协议类型。
例如,如果希望只捕获TCP协议的数据包,可以使用以下命令:```tcpdump proto TCP```4. 指定端口号:使用port选项可以过滤特定的端口号。
例如,如果希望只捕获目的端口号为80的数据包,可以使用以下命令:```tcpdump dst port 80```类似地,可以使用src port选项来指定源端口号。
5. 指定数据包长度:使用len选项可以过滤特定长度的数据包。
例如,如果希望只捕获长度大于100字节的数据包,可以使用以下命令:```tcpdump len greater 100```类似地,可以使用len less选项来指定长度小于某个值的数据包。
6. 使用逻辑运算符:可以使用逻辑运算符来组合多个过滤条件。
例如,如果希望捕获源IP地址为10.0.0.1并且目的端口号为80的数据包,可以使用以下命令:```tcpdump src 10.0.0.1 and dst port 80```7. 如何保存抓包数据:默认情况下,tcpdump将抓到的数据包输出到终端。
如果希望将数据包保存到文件中进行进一步分析,可以使用-w选项。
1近日用tcpdump抓包,发现有大量的丢包出现("packets dropped by kernel"),如下:tcpdump -i eth0 dst port 1234 and udp -s 2048 -X -tt >a.pack264 packets captured3043 packets received by filter2706 packets dropped by kernel丢包原因:经过google以及分析,造成这种丢包的原因是由于libcap抓到包后,tcpdump 上层没有及时的取出,导致libcap缓冲区溢出,从而覆盖了未处理包,此处即显示为dropped by kernel,注意,这里的kernel并不是说是被linux内核抛弃的,而是被tcpdump的内核,即libcap抛弃掉的,上层监听到1234端口的server可以正常的获取数据。
解决方法:根据以上分析,可以通过改善tcpdump上层的处理效率来减少丢包率,下面的几步根据需要选用,每一步都能减少一定的丢包率1.最小化抓取过滤范围,即通过指定网卡,端口,包流向,包大小减少包数量2. 添加-n参数,禁止反向域名解析tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt >a.pack大多数情况这样就可以解决了可以通过改善tcpdump上层的处理效率来减少丢包率3. 将数据包输出到cap文件tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt -w a.cap用了这一步,基本上所有的网络server都可以搞定了4. 用sysctl修改SO_REVBUF参数,增加libcap缓冲区长度这一步是绝招了,由于设计内核参数修改,尽量不要使用,要用了不行,那就没办法了 ^_^2通过tcpdump抓包时,结束后tcpdump会给出如下统计信息:1552 packets captured1586 packets received by filter34 packets dropped by kernel其中“captured”的计数指的是应用层捕获到的数据,“received by filter”和“dropped by kernel”的计数由内核维护,应用层通过getsockopt来获取。
解决tcpdump抓包时的丢包问题-mptcp#---------------------------------------------------------------------------------------------- begin# 因为 M8 接收的数据 (1238×1428÷1024 = 1726 KB) < 3.6M, 因此,再做⼀次实验,仅对 M1 & M8 抓包# transmission time: 95 secondscd /root/tcpdump-on-8-nodes/MPTCP-Markov-F-xIF-MDR-2tcpdump -i br_a_10 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth0.txt &tcpdump -i br_a_11 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth1.txt &tcpdump -i br_a_12 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth2.txt &tcpdump -i br_a_13 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth3.txt &tcpdump -i br_a_80 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth0.txt &tcpdump -i br_a_81 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth1.txt &tcpdump -i br_a_82 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth2.txt &tcpdump -i br_a_83 -p tcp -n -X -tt > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth3.txt &# M1 & M8 发送的有效载荷 (len 1428) 数据包个数 - using nc(M1-eth0:1431, M8-eth0:689)(M1-eth1:1193, M8-eth1:545)(M1-eth2:1435, M8-eth2:690)(M1-eth3:1419, M8-eth3:677)total (M1-eth:5478, M8-eth:2601)5478×1428÷1024 = 7639 KB2601×1428÷1024 = 3627 KB# 结果确定 M8 接收的数据 (2601×1428÷1024 = 3627 KB) = 3.6M, 说明,前⾯的实验中,发⽣了 tcpdump 丢包问题# 因此进⾏如下抓包试⼀试# transmission time: 95 secondscd /root/tcpdump-on-8-nodes/MPTCP-Markov-F-xIF-MDRtcpdump -i br_a_10 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth0.cap &tcpdump -i br_a_11 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth1.cap &tcpdump -i br_a_12 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth2.cap &tcpdump -i br_a_13 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth3.cap &tcpdump -i br_a_20 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth0.cap &tcpdump -i br_a_21 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth1.cap &tcpdump -i br_a_22 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth2.cap &tcpdump -i br_a_23 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth3.cap &tcpdump -i br_a_30 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth0.cap &tcpdump -i br_a_31 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth1.cap &tcpdump -i br_a_32 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth2.cap &tcpdump -i br_a_33 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth3.cap &tcpdump -i br_a_40 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth0.cap &tcpdump -i br_a_41 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth1.cap &tcpdump -i br_a_42 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth2.cap &tcpdump -i br_a_43 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth3.cap &tcpdump -i br_a_50 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth0.cap &tcpdump -i br_a_51 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth1.cap &tcpdump -i br_a_52 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth2.cap &tcpdump -i br_a_53 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth3.cap &tcpdump -i br_a_60 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth0.cap &tcpdump -i br_a_61 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth1.cap &tcpdump -i br_a_62 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth2.cap &tcpdump -i br_a_63 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth3.cap &tcpdump -i br_a_70 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth0.cap &tcpdump -i br_a_71 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth1.cap &tcpdump -i br_a_72 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth2.cap &tcpdump -i br_a_73 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth3.cap &tcpdump -i br_a_80 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth0.cap &tcpdump -i br_a_81 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth1.cap &tcpdump -i br_a_82 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth2.cap &tcpdump -i br_a_83 -p tcp -n -X -tt -w mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth3.cap &# cap ⽂件转换为 txt ⽂件,便于统计cd /root/tcpdump-on-8-nodes/MPTCP-Markov-F-xIF-MDRtcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth0.txttcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth3.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth0.cap > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth0.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth1.cap > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth1.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth2.cap > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth2.txt tcpdump -r mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth3.cap > mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth3.txt # 统计数据包数cd /root/tcpdump-on-8-nodes/MPTCP-Markov-F-xIF-MDRgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M1--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M2--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M3--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M4--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M5--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M6--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M7--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth0.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth1.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth2.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M8--tcpdump-eth3.txt | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M1* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M2* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M3* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M4* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M5* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M6* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M7* | wc -lgrep "len 1428" mim-improved-mptcp-markov-f-xif-mdr--M8* | wc -l#---------------------------------------------------------------------------------------------- end。
tcpdump常用抓包命令TCPDump是一个基于命令行的抓包工具,它可以帮助网络管理员和安全专家捕获和分析数据包。
在网络故障排除、网络性能分析和网络安全检测等方面都有着广泛的应用。
本文将介绍TCPDump的常用抓包命令。
一、基本使用1.抓取指定网卡的数据包tcpdump -i eth0-i选项后面跟要抓取数据包的网卡名称,这里以eth0为例。
2.保存抓取到的数据包tcpdump -i eth0 -w capture.pcap-w选项后面跟要保存数据包的文件名,这里以capture.pcap为例。
3.读取已保存的数据包文件tcpdump -r capture.pcap-r选项后面跟要读取的数据包文件名,这里以capture.pcap为例。
二、过滤器使用1.根据IP地址过滤数据包tcpdump host 192.168.1.1host选项后面跟要过滤的IP地址,这里以192.168.1.1为例。
2.根据端口号过滤数据包tcpdump port 80port选项后面跟要过滤的端口号,这里以80为例。
3.根据协议类型过滤数据包tcpdump icmpicmp表示Internet控制报文协议。
4.组合使用多个条件进行过滤tcpdump host 192.168.1.1 and port 80and表示“与”的关系,即同时满足两个条件。
tcpdump host 192.168.1.1 or port 80or表示“或”的关系,即满足其中一个条件即可。
5.使用逻辑运算符进行复杂过滤tcpdump 'src net 192.168.1 and (dst net 10 or dst net 172)'这里使用了括号和逻辑运算符进行复杂的过滤,筛选出源IP地址为192.168.1开头,目的IP地址为10或172开头的数据包。
三、高级使用1.抓取指定数量的数据包tcpdump -c 100-c选项后面跟要抓取的数据包数量,这里以100为例。
1近日用tcpdump抓包,发现有大量的丢包出现("packets dropped by kernel"),如下:tcpdump -i eth0 dst port 1234 and udp -s 2048 -X -tt >a.pack264 packets captured3043 packets received by filter2706 packets dropped by kernel丢包原因:经过google以及分析,造成这种丢包的原因是由于libcap抓到包后,tcpdump 上层没有及时的取出,导致libcap缓冲区溢出,从而覆盖了未处理包,此处即显示为dropped by kernel,注意,这里的kernel并不是说是被linux内核抛弃的,而是被tcpdump的内核,即libcap抛弃掉的,上层监听到1234端口的server可以正常的获取数据。
解决方法:根据以上分析,可以通过改善tcpdump上层的处理效率来减少丢包率,下面的几步根据需要选用,每一步都能减少一定的丢包率1.最小化抓取过滤范围,即通过指定网卡,端口,包流向,包大小减少包数量2. 添加-n参数,禁止反向域名解析tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt >a.pack大多数情况这样就可以解决了可以通过改善tcpdump上层的处理效率来减少丢包率3. 将数据包输出到cap文件tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt -w a.cap用了这一步,基本上所有的网络server都可以搞定了4. 用sysctl修改SO_REVBUF参数,增加libcap缓冲区长度这一步是绝招了,由于设计内核参数修改,尽量不要使用,要用了不行,那就没办法了 ^_^2通过tcpdump抓包时,结束后tcpdump会给出如下统计信息:1552 packets captured1586 packets received by filter34 packets dropped by kernel其中“captured”的计数指的是应用层捕获到的数据,“received by filter”和“dropped by kernel”的计数由内核维护,应用层通过getsockopt来获取。
收到一个包,“received by filter”会加1,如果sock的接收buffer被填满时,则把这个数据包丢弃,将“dropped by kernel”加1。
if (atomic_read(&sk->sk_rmem_alloc) + skb->truesize >= (unsigned)sk->sk_rcvbuf){spin_lock(&sk->sk_receive_queue.lock);po->stats.tp_drops++;spin_unlock(&sk->sk_receive_queue.lock);}通过调节/proc/sys/net/core/rmem_default和/proc/sys/net/core/rmem_max能够改变sk_rcvbuf的大小。
正常“captured”加上“dropped by kernel”应该等于“received by filter”的大小,有的时候出现不等的情况应该是还有一些数据包在sk_rcvbuf中,还没有被应用层收到的原因。
tcpdump做pcap丢包一直用tcpdump做pcap,忽然从某一天开始做的pcap稍微大一点,就开始丢包,给出的哦信息大概是”xxxx packets dropped by kernel”,可能出问题的也就是vmware/linux kernel/libpcap/tcpdump,这里边的每一个我都经常升级,太复杂了,不知道是哪个引入的问题。
于是就一直得过且过,大文件就凑合着在windows上用wireshark。
今天实在是想搞清楚怎么回事,就仔细看了一下。
仔细想想,首先排除vmware的问题,因为所有网络程序都正常工作,没有理由vmware或者tcp/ip本身出问题。
所以大概就只是libpcap和 tcpdump的问题。
搜到一篇文章,大概的意思就是是因为内核skb的buffer太小,tcpdump还没有来得及取下一个包,这个就已经被内核里边来的下边的包给覆盖掉了。
试着改了一下还是不行,那看来不是内核缓存的问题,应该就是libpcap或者tcpdump 取包比较慢。
起了GUI用wireshark抓了一下,NND也是正常的,那就只可能是tcpdump的问题了。
仔细看了一下我的tcpdump参数,一般都是”tcpdump port 80 -w aaa.pcap -s 0″,唯一不同的就是”-s 0″,之所以用这个参数,是因为好久以前tcpdump 如果加上”-w”,默认不记录数据,只记录包头,加上”-s 0″,那就是每个包最大记录65535的数据,不过现在默认也改成了65535,所以这个参数有没有都没什么区别。
剩下的就是”tcpdump port 80 -w aaa.pcap”,完全正常,彻底抓狂了。
抓狂中无聊试了一下”-s 2000″,哇,一下不丢包了。
反正tcp MTU是1500,这个数字也没啥问题。
问题解决,看来估计是tcpdump某一个memcpy或者类似的内存操作的参数是用最大65535,而不是用实际抓到包的大小,所以速度慢下来来不及去取内核缓存的数据。
Tcpdump丢包问题The kernel has a buffer for packets to be delivered to tcpdump. If tcpdump doesn't respond quickly enough, the kernel will overwrite old packets with new ones.使用tcpdump抓包时,内核分配缓冲区存放向tcpdump传送的数据包,如果tcpdump处理的不够快,新到达的包会覆盖缓冲区中较早的包,即出现dropped 丢包的情况。
解决方法:1. 增大系统缓冲区大小 bpfbufsize2. 避免tcpdump进行dns解析,使用tcpdump -n参数。
尽量减少tcpdump的工作量,其他的参数如-nn等可参考。
Pf_ringPF_RING包括一个linux内核模块和该模块在用户层的库, 这个库符合libpcap标准。
你需要将应用程序在链接时链接到这个库,才能发挥作用。
简单说,千兆抓包使用普通linux性能上是不够的,必须使用专用的抓包库。
pf_ring,通过修改系统内核提高基于Linux和libcap的抓包效率官方网站:pf_ring 使用心得[i=s] 本帖最后由pdsxw123 于2010-08-09 20:54 编辑[/i]在论坛里已经有人把pf_ring的原理大概讲述了,在此不再累述。
大家如果想了解或者学习的话,可以直接从官方网站上下载,[url][/url]最新版本为4.4.0,目录为:drivers\drivers\broadcomdrivers\inteldrivers\myricomkernel/ Kernel related patchesuserland/ User space codeuserland/lib/ User space library used to manpulate PF_RINGuserland/libpcap-XXX-ring/ Libpcap enhanced with PF_RING supportuserland/examples/ P(acket)count application (use it for your tests)1.编译安装之前需要卸载网卡驱动,卸载之前可以使用ethtool -i ethx 查看当前网卡类型和驱动版本。
2.cd 到kernel下,make,然后sudo make install3.cd 到userland/lib/下,make,然后sudo make install4.如果需要使用libcap抓包做分析,请先卸载之前装的libcap,然后cd 到userland/libpcap-XXX-ring/./configure ---> make -----> sudo make install5.cd 到drivers下,根据ethtool -i ethx 命令看到的网卡驱动和类型,进入指定的目录。
假设你看到如下信息:driver: e1000eversion: 1.0.2-k2firmware-version: 0.4-3bus-info: 0000:00:19.0cd 到drivers\intel\e1000e-1.0.15下,make ----> sudo make install6.开始安装驱动,cd 到lib/modules/xxx/kernel/net,可以看到有个pf_ring的目录,cd 到pf_ring 下使用命令sudo insmod pf_ring.ko transparent_mode=17.安装网卡驱动,cd到目录lib/modules/xxx/kernel/driver/net下,使用命令sudo insmod e1000e.ko安装完毕,现在我们可以使用命令dmesg 查看驱动是否安装成功,如果成功的话,可以看到[PF RING].................. ............................... 信息pf_ring 会安装一个类型为27的协议簇,可以使用sock(PF_RING,SOCK_RAW,0)打开一个socket使用libcap的朋友不需要修改程序,需要重新编译,链接的时候请加上libpfring.so.最近在使用的时候,发现pf_ring只做了intel e1000e的DNA的实现,局限性太大了。
现在的网卡类型,特别是服务器上的基本上是HP、broadcom等,如果只是使用PF_RING 抓包的话,经过简单测试后暂时发现与用libcap没什么区别。
并且pf_ring定制的libpcap没有缓存功能pf_ring有两种工作模式,可以使用transparent_mode设置,0:表示与libpcap什么区别,pf_ring.ko注册个回调函数到网卡驱动,经过此网卡的包会复制一份。
如果设置为1,表示打算使用dna技术,这一般是使用pf_ring的目的,也就是打算使用此特性,使网卡收到的包,不经过kernel的捣腾,由pf_ring直接mmap到用户空间。
