網絡 - tcpdump - dump 導入導出 與 wireshark 解析

1. 概述

   1. dump 文件導入導出
   2. wireshark 解析

2. 背景

   1. tcpdump 能看清的東西, 其實很有限
      1. 基本上只有 ip 層的內容
      2. 而且命令行上看, 很不方便
   2. 剛好隔壁 wireshark 可以幫忙

3. 環境

   1. os

      1. centos7

   2. docker-engine

      1. 19.03.12

   3. docker-compose

      1. 1.26.2

   4. image

      1. ubuntu
         1. 19.04. 環境

   5. wireshark

      1. 3.2.5

1. 思路

1. 概述

   1. 思路

2. 思路

   1. 用 tcpdump 產生 dump 文件
   2. 用 wireshark 讀取

2. 准備

1. 概述
   1. 准備

1. compose

1. 之前的 docker-compose 環境, 懶得寫了

2. ping

1. 宿主機向 docker 容器發起 ping

3. tcpdump

1. 宿主機抓包

3. dump 文件導出

1. 概述

   1. 抓包

2. 命令

   # 通常文件的格式, 是 cap
   > tcpdump -i <network_card> -c <size> host <host> -w <resultfile>
   

4. dump 文件導入

1. 概述

   1. 導入

2. 命令

   # 可以直接讀取現成的 cap 文件
   > tcpdump -i <network_card> -c <size> host <host> -r <resultfile>
   

3. 問題

   1. 內容
      1. 抓取的內容, 在命令行上顯示, 其實很略
      2. 如果交給 wireshark 處理, 可以看到更多細節

5. wireshark 使用

1. 概述

   1. wireshark 使用

2. 步驟

   1. 將 開始收集到的 .cap 文件, 拷貝到 wireshark 所在的機器
   2. 用 wireshark 打開即可

3. 其他

   1. 抓包時的參數
      1. -v, -vv, -vvv
         1. 對於抓包來說, 影響不大
      2. -n, -nn
         1. 對於抓包來說, 影響不大

ps

1. ref

   1. tcpdump 和wireshark的簡單配合使用

2. 后續

   1. 我的虛擬機上, 網卡有點多

      1. ip 命令對我來說, 好像有點太大了
         1. 有空看看 ip 命令吧

   2. icmp

      1. 包抓下來了, 可以看看 協議 了
         1. 這個可能會拖得比較久, 因為對於協議來說, 我目前真的沒什么好入口