一   TCP实战抓包分析

网络排查案例

①  抓包分析涉及的内容

关于： 'TCP理论'知识和'tcpdump'命令的知识,前面已经'铺垫'过了,这里不再'赘述'

下面罗列了'TCP'的重点知识

客户端工具： curl、wget、'postman'、telnet、'浏览器'、'nc'

wget  --bind-address=ADDRESS   指定本地'使用地址'

抓包工具：   tcpdump、'wireshark'、tcptrace、tshark

本文'报文'分析方式： 

  1、先用 'tcpdump 命令' 在 Linux服务器上 '抓包'

  2、接着把抓包的文件'拖出'到 Windows 电脑后,用 Wireshark '可视化分析'

强调： 关于'tcpdump' 掌握一些'常用'选项和过滤表达式,就可以满足'大部分场景'的需要了

备注1： 涉及'iptales'命令的使用

备注2： 重点关注'wireshark'的使用'和'技巧

二   wireshark专栏

说明： 整个专题不会像'tcpdump'那样有个专栏讲解'wireshark',而是通过实战'穿插'

wireshark 除了可以'抓包'外,还提供了'可视化'分析网络包的'图形'页面

10分钟成为抓包大师 

wiresahrk 协议分析 

wireshark相关翻译 

wireshark分析各种协议

libpcap

早期旧版本wireshark教程

wireshark高级用法

wireshark lua插件扩展 可以考虑购买专栏

各种协议进行报文分析

wireshark与tshark学习

wiresahrk 安全 + lua 插件扩展

精通Wireshark网络分析

wireshark 高级技巧 lua扩展

三  抓取ICMP包

ICMP协议(一)

ICMP协议(二)

说明： 从最简单的'ICMP'协议抓包,刚好衔接'上篇'的'理论'

案例： 假设我们要抓取下面的 'ping' 的数据包

①  tcpdump分析

1、先通过'tcpdump'启动抓包进行'监听'

sudo tcpdump -i enp5s0 icmp and host 14.119.104.254 -nn

2、客户端测试

ping -I enp5s0 -c 3 www.baidu.com

备注： 这里'发送请求'和'抓包'使用同一台机器

分析1： tcpdump 抓取到 icmp 数据包后,'输出格式' 如下:

分析2： tcpdump 抓取到 icmp 数据包后,'输出格式' 的 '交互过程'：

②  tcpdump + wireshark分析

1、把'tcpdump'抓取的数据包'保存'到 ping.pcap 文件

sudo tcpdump -i enp5s0 icmp and host 14.119.104.254 -nn -w ping.pcap

2、接着'用 wireshark' 软件打开 ping.pcap 文件,可以看到'如下'的界面：

File --> Open

wireshark不同颜色报文的含义

wiresahrk抓包和四层对照关系

小结： 从 ping 的 '例子' 中

 1、我们可以看到'网络分层'就像'有序的分工',每一层都有'自己的'责任范围和信息

 2、上层协议完成工作后就交给'下一层',最终形成一个'完整'的网络包