一   抓包分析技术初探

说明： 本篇章跟'tcp/ip'的知识'没有'关系,只是讲解'tcpdump'工具背景

补充： 抓包是做'报文分析'的'第一步'

敬畏心： 隔行如隔山,不要想当然

①  背景

②  抓包技术名词

1、'捋顺'这些技术的'来龙去脉'甚至'八卦';

2、这样我们在'后续课程'的'具体技术'学习时,就会多几分'亲近感',也多几分'底气'

3、关键字： 'tcpdump'、'BPF'、'lipcap'、'WinPcap'

                  tcpdump 抓包的 '必要性'

备注： 生产环境服务器一般是类'unix'非GUI图形化,不能使用wiresahrk抓包,只能tcpdump抓包

补充： 问题分析、性能调优,都'离不开'tcpdump

BPF

引申1： 为什么'需要'BPF?

③  EBPF

说明： 当前'了解',后续'重点'关注

bytecode --> '字节码'

eBPF'起源'于BPF,它提供了内核的数据包过滤机制,其'扩充'了 BPF 的功能,丰富了'指令集'

 

补充： '3.18+'的内核支持ebpf,低版本的'内核'升级也可以使用,只是'部分功能'受限

eBPF 基本架构及使用

④   抓包文件类型

网络抓包文件格式(.pcap/.cap)剖析

关注： tcpdump和wireshark '版本'与'抓包文件格式'关系

1、'pcap' --> '默认'格式  --> '重点'

2、'cap'  --> 附加'额外'信息

3、 pcapng  --> '多网口'同时抓包

补充： wiresark 4.0.0 默认使用'pcapng'

使用libpcap解析pcap和pcapng文件

⑤  如何学好tcpdump

关键： 抓包技术是一门 '实践课',不是'理论课',得在生产中'多用'或者'刻意练习'