一  tcpdump实战详解

1、我们做'抓包',一般都需要指定'条件',保证对系统的'CPU、内存、磁盘'资源不会产生过大的响应

备注： 遇到过tcpdump'持续抓包'导致系统'挂了'

2、条件：

   1) tcpdump的 '基础命令选项参数'

   2) 真正的 '过滤条件'

①   参数学习思路

思路： 掌握'常用'的'选项参数',其它遇到了'再学习'

备注： 由于是'科普'类的文章,本文视图尽可能的'详细'罗列每个参数

附加： man tcpdump

②   抓包应用场景

说明： 关注'2'、'4'、'5'

③  tcpdump工作原理

④   面试题

目的： 考察'tcpdump'的工作原理

二   命令行选项参数

注意： 一些'默认'的'老6'行为

①   tcpdump的组成

背景： 参数的'不确定性',让大多数人对 tcpdump 的学习始终'无法'得其'精髓'

目的： 便于理解'每个位置'的'顺序'和'含义'

②  网络接口

1、lvs配置'多业务'网卡,需要采用'-i any'

2、只配置了一个业务网卡[例如：eth0],可以使用-i eth0.

常见： '无参'、'-i 网卡'、'-i any'

无参： 如果不指定网络接口,tcpdump 在运行时会选择'编号最低'的网络接口,一般情况下是 eth0

补充： any 这一'特定'的网络接口名用来让 tcpdump 监听'所有'的接口

-i:   'interface'  --> 抓取流经指定'网卡'所有网络接口,'限定'网络接口

③  -n

优化： 设置'不解析域名'提升速度

-n：  不把ip转化成'域名',直接显示 ip,避免执行 'DNS lookups' 的过程，速度会快很多

-nn： 不把'协议'和'端口号'转化成'名字',速度也会快很多  --> "常用"

思考： 'CDN' 场景,是否需要把'ip'解析为'域名'?

端口'与'服务名称解析

  linux'端口号'与'相应服务'的对应关系存放在'/etc/services'文件中,可以找到'大部分'端口
 
  备注： 使用netstat命令'显示的服务名称'也是从'这个文件'中找的

  附加： /etc/services关于'服务、协议、端口'关联

④  host、src、dst  基于ip地址过滤

数据包的 ip 可以再细分为'src 源ip'和'dst 目标ip'两种

++++++++++++++++++ "分割线"  ++++++++++++++++++
​
如果没有指定'类型',默认是'host'

等价： tcpdump -ni eth0 src 10.1.1.2

遗留： 'src'和'dst'通过'逻辑符号'可以同时使用

⑤  net 基于网段过滤

说明： 网段'同样'可以再细分为'源'网段和'目标'网段

tcpdump src net 192.168.1.0/24  -->  根据'源网段'进行过滤

⑥  port  portrange 基于端口号过滤

1、tcpdump port 8088             --> 指定'特定端口'进行过滤

2、tcpdump port 80 or port 8088  --> 同时指定'两个'端口

简写： tcpdump port 80 or 8088

3、tcpdump src port 8088         --> 根据'源端口'进行过滤

4、tcpdump portrange 8000-8080   --> 想抓取的是一个端口'范围'

5、tcpdump src port http

备注： 对于一些'常见协议'的'默认'端口,我们还可以直接使用'协议名',而不用具体的端口号

附加： http == 80、https == 443 

⑦  proto基于协议进行过滤

常见的'网络协议'有：tcp、udp、icmp、http、ip、ipv6 等

强调： 旧版本有'proto'关键字,新版本没有,这里'Centos7.7' 默认的'4.9.2'没有

补充： 不指定'协议类型',则抓取'所有'协议类型的包