一 案例讲解
tcpdump官方参考文档 最全的tcpdump手册
强调: -nn 选项一般是'must 必选'① 现场分析并保留现场信息
tcpdump -l | tee dat 使用tee来把tcpdump的输出同时放到'文件dat'和'标准输出'中场景: 自己现场'分析'同时把现场信息'保留下来'② 提取 应用层HTTP 的 Header头
场景: 查看原始'HTTP 头'的形式,查看在'哪个阶段'头被修改,进行定位1、浏览器的'跨域' --> 'tcpdump'抓取到了,但是浏览器'拦截'了2、HSTS --> '浏览器把http升级为https'3、经过中间层'nginx'等 --> 'Host、Cookies、Set-Cookies'等+++++++++++++ "分割线" +++++++++++++需求1: 提取'User-Agent' 或 'Host' 主机名tcpdump -nn -A -s0 -l | egrep -i 'User-Agent:|Host:'备注: 只查看'固定'关键信息需求2: 抓取Request和response里的'Cookie'tcpdump -i eth0 -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'建议: 通过'ip'信息更'精确'一点③ 只抓取HTTP流量
如何使用tcpdump抓取一次http的请求和响应
需求1: 抓取 HTTP 'GET' 请求包tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
0x47455420 代表的是 'GET' 的ASCII码强调: 必须 '深刻' 理解 tcp的'报文结构'才能写出'精确'的过滤条件,后续'再回看'需求2: 目的'端口为80'的HTTP 'GET' 请求tcpdump -i eth0 -s0 -A 'tcp dst port 80 and \tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'强调: 知道'原理'即可,后续'拿来即用'即可++++++++++++++++++++ "原理剖析" ++++++++++++++++++++
关键点: 除以'4'在'位运算'中相当于左移'<< 2'位
需求3:可以抓取 HTTP 'POST' 请求包tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'备注: 0x504F5354 代表的是 'POST' 的ASCII码注意: '不能保证'抓取到 HTTP POST 有效数据流量,因为一个POST请求会被分割为'多个'TCP数据包④ 抓取HTTP GET和POST request和response
tcpdump -i eth0 -s 0 -A \'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 or \tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504F5354 or \tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450 or \tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x3C21444F and host 192.168.10.1'
⑤ 多方向
需求: 同时抓'多个'地址,其中'一个方向'地址为'多'个tcpdump -i eth0 dst 1.1.1.1 and src '(2.2.2.2 or 3.3.3.3)' -nn⑥ 找出发包数最多的 IP
需求: 找出'一段时间内'发包最多的 IP,或者从一堆报文中找出'发包最多的 ip'tcpdump -nn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c \| sort -nr | head -n 20cut -f 1,2,3,4 -d '.' --> 以 '.' 为分隔符,打印出每行的'前四列' --> 即 IP 地址sort | uniq -c --> 排序并计数sort -nr --> 按照数值大小逆向排序⑦ TLS案例
说明: 画了一张'示意图来'表示'报文偏移量'及其'含义',帮你理解其中的'奥妙'
tcpdump的输出和tcpdump的报错(权限和内容截断)
⑧ 基础服务
需求1: 在'lvs节点'上抓包,不管使用是'ECMP静态等价路由'还是'BGP动态路由','fullnat'模式链路: client -->'lvs'-->四层服务++++++++++++++ "分割线" ++++++++++++++
备注1: 由于lvs是'集群'模式,请求可能'落到'某个lvs节点上,所以所有的'lvs节点'都要抓包备注2: 同一集群'不同'lvs节点'LIP不一样'备注3: 默认为src or dst,不指定'方向',建议使用'()'可读性比较好遗留: host 1.1.1.1 and port 8080 啥原因? '白名单吗'? --> '业务特性'?思考: 'DR模式'如何抓包?
需求2: nginx'节点'抓包链路: client --> '四层lvs' --> '7层nginx' --> '七层云服务'备注: nginx也是'集群'模式,需要在'多个nginx节点上'同时抓包补充: 不需要关注'nginx节点自身的ip'
需求3: 'DNS'和'NTP'抓包
tcpdump排查DNS解析
![2023年中国牙线市场规模、竞争现状及行业需求前景分析[图]](https://img-blog.csdnimg.cn/img_convert/d50069e5f05ac7235fdbe2ec5af73484.png)
