您当前的位置:首页 > 电脑百科 > 网络技术 > 网络软件

常见网络抓包工具和抓包分析

时间:2020-05-13 10:40:10  来源:  作者:

1、概述

在处理IP网络的故障时,经常使用以太网抓包工具来查看和抓取IP网络上某些端口或某些网段的数据包,并对这些数据包进行分析,定位问题。

在 IMON项目里,使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端监看模块,一般情况下EPG 采集和引流模块比较稳定,软终端监看还涉及SS5代理,这部分出问题的几率比较大,这是就有可能要现场维护人员抓包进行分析、排查、定位问题,确定是网络问题还是软件问题,如果是软件问题则要将抓回的包发给研发解决。

EPG 抓包可分为对鉴权过程、采集过程抓包验证,主要是通过通过抓包分析与IPTV 鉴 权服务器之间的TCP交互。

流媒体交互抓包可分为对组播、点播进行抓包,一般交互的协议分为IGMP、RTSP、RTMP等,组播一般是基于UDP的IGMP流,点播是基于RTP的RTSP流或基于TCP的RTMP流。

软终端抓包主要是抓取软终端与IPTV服务器交互、SS5与IPTV服务器交互的数据包,一般跟流媒体交互的报文协议差不多,也是分为组播IGMP 、点播 RTSP等协议,不过经过测试发现江苏的部分组播(可能是用户不同所致)发送的是RTSP的包。

 

2、常用抓包工具

 

2.1、WireShark

Wireshark 是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的。

过滤器的区别

捕捉过滤器(CaptureFilters ):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。

显示过滤器(DisplayFilters ): 在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随 意修改。

捕捉过滤器

「干货」常见网络抓包工具和抓包分析

 

Protocol(协议) :

可能的值 : ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果没有特别指明是什么协议,则默认使用所有支持的协议。

Direction (方向):

 

可能的值 : src, dst, src and dst, src or dst

如果没有特别指明来源或目的地,则默认使用“ src or dst”作为关键字。

例如,” host 10.2.2.2″与” src or dst host 10.2.2.2″是一样的。

Host(s):

可能的值:net, port, host, portrange.

如果没有指定此值,则默认使用”host”关键字。 例如,” src 10.1.1.1″与” src host 10.1.1.1″相同。

 

Logical Operations (逻辑运算):

 

可能的值: not, and, or.

否( “not” )具有最高的优先级。或(“ or” )和与 (“ and”) 具有相同的优先级,运算时从左至 右进行。

例如,

“not tcp port 3128 and tcp port 23 ″与” (not tcp port 3128) and tcp port 23 ″相同。 “not tcp port 3128 and tcp port 23 ″与” not (tcp port 3128 and tcp port 23) ”不同。

例子:

tcp dst port 3128// 捕捉目的TCP 端口为3128 的封包。

ip src host 10.1.1.1 // 捕捉来源IP 地址为 10.1.1.1 的封包。

host 10.1.2.3 // 捕捉目的或来源IP 地址为10.1.2.3 的封包。

ether host e0-05-c5-44-b1-3c // 捕捉目的或来源mac 地址为e0-05-c5-44-b1-3c 的封包。如果 你想抓本机与所有外网通讯的数据包时,可以将这里的mac 地址换成路由的mac 地址即可。

src portrange 2000-2500// 捕捉来源为UDP 或 TCP ,并且端口号在2000 至 2500 范围内的封包。

not imcp //显示除了icmp 以外的所有封包。 ( icmp 通常被 ping 工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16 //显示来源IP 地址为10.7.2.12,但目的地不是10.200.0.0/16 的封包。

(src host 10.4.1.12 orsrc net 10.6.0.0/16)and tcp dst portrange200-10000and dst net

10.0.0.0/8 // 捕捉来源IP 为 10.4.1.12 或者来源网络为10.6.0.0/16 ,目的地TCP端口号在200至10000 之间,并且目的位于网络10.0.0.0/8 内的所有封包。

src net 192.168.0.0/24

src net 192.168.0.0 mask 255.255.255.0//捕捉源地址为192.168.0.0 网络内的所有封包。 显示过滤器

「干货」常见网络抓包工具和抓包分析

 

例子:

snmp || DNS || icmp // 显示 SNMP 或 DNS 或 ICMP 封包。

ip.addr == 10.1.1.1//显示来源或目的IP 地址为10.1.1.1 的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 //显示来源不为10.1.2.3 或者目的不为10.4.5.6 的封包。 换句话说,显示的封包将会为:

来源 IP:除了10.1.2.3 以外任意;

目的IP:任意

来源 IP:任意;

目的IP:除了10.4.5.6 以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6//显示来源不为10.1.2.3 并且目的IP 不为 10.4.5.6 的 封包。

换句话说,显示的封包将会为:

来源 IP:除了10.1.2.3 以外任意;同时须满足,目的IP:除了10.4.5.6 以外任意

tcp.port == 25// 显示来源或目的TCP 端口号为25 的封包。 tcp.dstport == 25// 显示目的TCP 端口号为25 的封包。 tcp.flags // 显示包含TCP 标志的封包。

tcp.flags.syn == 0× 02 // 显示包含TCP SYN 标志的封包。 如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

 

2.2 、TCPDUMP

tcpdump是一个运行在命令行 下的 嗅探工具。它允许用户拦截和显示发送或收到过网络 连 接到该计算机的TCP/IP 和其他数据包 。

tcpdump 采用命令行方式,它的命令格式为:

tcpdump [ -adeflnNOpqStvx ] [ -c数量] [ -F文件名]

[ -i网络接口] [ -r文件名 ] [ -s snaplen ] [ -T 类型] [ -w文件名] [ 表达式]

 

1、tcpdump 的选项介绍

-a将网络地址和广播地址转变成名字;

-d将匹配信息包的代码以人们能够理解的汇编格式给出;

-dd将匹配信息包的代码以c 语言程序段的格式给出;

-ddd将匹配信息包的代码以十进制的形式给出;

-e在输出行打印出数据链路层的头部信息;

-f将外部的Internet 地址以数字的形式打印出来;

-l使标准输出变为缓冲行形式;

-n不把网络地址转换成名字;

-t在输出的每一行不打印时间戳;

-v输出一个稍微详细的信息,例如在ip 包中可以包括ttl 和服务类型的信息;

-vv输出详细的报文信息;

-c在收到指定的包的数目后,tcpdump 就会停止;

-F从指定的文件中读取表达式,忽略其它的表达式;

-i指定监听的网络接口;

-r从指定的文件中读取包(这些包一般通过-w 选项产生 );

-w直接将包写入文件中,并不分析和打印出来;

-T将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议; )

 

2、tcpdump 的表达式介绍

表达式是一个正则表达式,tcpdump 利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。

在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net, port, 例如host 210.27.48.2 ,指明210.27.48.2 是一台主机,net 202.0.0.0 指明202.0.0.0 是一个网络地址,port 23指明端口号是23。如果没有指定类型,缺省的类型是host。

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 , 指明 ip 包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst 关键字。

第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型。 Fddi指明是在FDDI( 分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether" 的别名, fddi 和 ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether 的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会监听所有协议的信息包。

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater,还有三种逻辑运算,取非运算是'not ' '! ',与运算是 'and','&&'; 或运算是'or' ,'||';

说明。

这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来

(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:

#tcpdump host 210.27.48.1

(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或 210.27.48.3 的通信,使用命令:(在命令行中适用括号时,一定要#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

(3) 如果想要获取主机210.27.48.1 除了和主机210.27.48.2 之外所有主机通信的ip包,使用命令:

#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

(4)如果想要获取主机210.27.48.1 接收或发出的telnet 包,使用如下命令:

#tcpdump tcp port 23 host 210.27.48.1

3、tcpdump 的输出结果介绍

下面我们介绍几种典型的tcpdump命令的输出信息

(1) 数据链路层头信息

使用命令 #tcpdump --e host ice

ice 是一台装有linux 的主机,她的MAC 地址是0:90: 27:58 : AF : 1AH219 是一台装有SOLARIC的 SUN 工作站,它的MAC 地址是8: 0: 20:79: 5B:46;

上一条命令的输出结果如下所示:

21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice. telnet 0:0(0) ack 22535 win 8760 (DF)

分析: 21:50:12是显示的时间,847509 是 ID 号,eth0 <表示从网络接口eth0 接受该数据包, eth0 > 表示从网络接口设备发送数据包, 8:0:20:79:5b:46 是主机H219 的 MAC地址它表明是从源地址H219 发来的数据包. 0:90:27:58:af:1a 是主机ICE 的 MAC 地址 ,表示该数据包的目的地址是ICE . ip是表明该数据包是IP 数据包 ,60 是数据包的长度, h219.33357 > ice. telnet 表明该数据包是从主机H219 的 33357 端口发往主机ICE 的 TELNET(23) 端口 . ack22535

表明对序列号是222535 的包进行响应. win 8760 表明发送窗口的大小是8760.:1a)

(2) ARP 包的 TCPDUMP 输出信息

使用命令 #tcpdump arp

得到的输出结果是:

22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)

22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af

分析 : 22:32:42 是时间戳 , 802509 是 ID 号 , eth0 >表明从主机发出该数据包, arp 表明是ARP 请求包 , who-has route tell ice 表明是主机ICE 请求主机ROUTE的MAC地址。 0:90:27:5

8:af:1a 是主机ICE的MAC地址。

(3) TCP 包的输出信息

用 TCPDUMP捕获的TCP 包的一般输出信息是:

src > dst: flags data-seqno ack window urgent options

src > dst:表明从源地址到目的地址, flags 是 TCP 包中的标志信息,S 是 SYN 标志 , F (F IN), P (PUSH) , R (RST) "." (没有标记 ); data-seqno 是数据包中的数据的顺序号, ack 是 下次期望的顺序号, window 是接收缓存的窗口大小, urgent 表明数据包中是否有紧急指针.

Options 是选项 .

(4) UDP 包的输出信息

用 TCPDUMP捕获的UDP 包的一般输出信息是:

route.port1 > ice.port2: udp lenth

UDP 十分简单,上面的输出行表明从主机ROUTE 的 port1 端口发出的一个UDP 数据 包到主机ICE 的 port2 端口,类型是UDP ,包的长度是lenth

 

3、抓包场景及步骤

 

3.1 机顶盒抓包

「干货」常见网络抓包工具和抓包分析

 

如果有需要抓机顶盒交互的报文,则可以通过HUB 和机顶盒连接进行抓包,可以通过windows的 wireshark 进行抓包,可以把所有交互的包抓下来,然后进行过滤分析,也可以通过过滤规则抓下来已经过滤后的包。

3.2 Linux下抓包

软终端在通过SS5代理服务器进行接入IPTV 环境时,可能需要到 SS5所在的代理服务器上去抓包,抓包方式就是通过TCPDUMP命令来抓取,一般我们把与IPTV网口相关的所有包都抓下来存为PCAP文件进行分析。

抓包命令为tcpdump -i eth1 -wxx.pcap,这样可以把抓过来的包保存到linux 服务器的用户登录当前文件夹下,然后通过SSH 传到本地进行分析,当然了也可以通过过滤规则抓包,详见TCPDUMP的常用命令。



Tags:抓包工具   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
Fiddler 简介Fiddler 是位于客户端和服务器端的 HTTP 代理 目前最常用的 http 抓包工具之一 功能非常强大,是 Web 调试的利器关注+转发+私信【软件测试】领取Fiddler安装包和...【详细内容】
2021-09-28  Tags: 抓包工具  点击:(63)  评论:(0)  加入收藏
发送请求在fiddler中也支持发送HTTP请求。就是通过Composer这个功能来进行发送请求功能入口 功能介绍 Parsed:解析后的报文.它是已经格式化后的,在这里你只需要按照区域展示...【详细内容】
2021-06-10  Tags: 抓包工具  点击:(156)  评论:(0)  加入收藏
分享大纲:1.测试概述 2.HTTP讲解 3.Fiddler抓包工具使用 4.Jmeter使用响应断言 HTTP基础HTTP简介 HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广...【详细内容】
2021-06-04  Tags: 抓包工具  点击:(109)  评论:(0)  加入收藏
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截...【详细内容】
2021-02-07  Tags: 抓包工具  点击:(165)  评论:(0)  加入收藏
测试或者开发调试的过程中,经常会进行抓包分析,并且装上抓包工具的证书就能抓取 HTTPS 的数据包并显示。由此就产生了一个疑问,为什么抓包工具装上证书后就能抓到 HTTPS 的包并...【详细内容】
2020-06-25  Tags: 抓包工具  点击:(71)  评论:(0)  加入收藏
1、概述在处理IP网络的故障时,经常使用以太网抓包工具来查看和抓取IP网络上某些端口或某些网段的数据包,并对这些数据包进行分析,定位问题。在 IMON项目里,使用抓包工具抓包进行...【详细内容】
2020-05-13  Tags: 抓包工具  点击:(132)  评论:(0)  加入收藏
Tcpdump工具是一个抓包工具也是一个协议分析软件。强大的功能和灵活的截取策略,使它成为Linux统下网络分析和问题排查的首选工具。tcpdump可以将网络中传送的数据包的头截获...【详细内容】
2019-12-27  Tags: 抓包工具  点击:(127)  评论:(0)  加入收藏
浏览器抓包工具浏览器自带F12功能,日常可能够用,但有些功能可能满足不了。 HttpwatchIE下强大的网页数据分析工具FlidderFiddler是位于客户端和服务器端的HTTP代理,也是目前最...【详细内容】
2019-10-28  Tags: 抓包工具  点击:(177)  评论:(0)  加入收藏
DHCP 动 态 主 机 配 置 协 议 ( Dynamic Host Configuration Protocol)1、DHCP包头 操作代码 OpCode:DHCP 请求或者 DHCP 回复硬件类型 Hardware Type:10MB 以太网、IEEE802、A...【详细内容】
2019-09-26  Tags: 抓包工具  点击:(657)  评论:(0)  加入收藏
▌简易百科推荐
说到远程控制,首先你会想到的是什么?是TeamViewer 还是向日葵?抑或是QQ远程还是anydesk?对,就在不久前,我们熟知的都是以上的产品,但是只2020年开始,一款新的远控产品ToDesk进入到我...【详细内容】
2021-12-27  网管世界    Tags:ToDesk   点击:(4)  评论:(0)  加入收藏
# 1. nps-npc1.1 简介nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh...【详细内容】
2021-12-22  大数据推荐杂谈    Tags:内网穿透   点击:(8)  评论:(0)  加入收藏
“磨刀不误砍柴工”。 优秀的工具有助于提高工作效率,安全工程师也需要优秀的安全软件来提高工作效率。 在具体的工作场景中,有很多种选择,这里有10种开源的免费安全工具,不仅可...【详细内容】
2021-11-23  山东云管家官方    Tags:安全工具   点击:(33)  评论:(0)  加入收藏
火绒安全软件是一款小巧精悍、独立纯粹的国产安全软件.有很多网友都下载安装了火绒安全软件使用.那么火绒安全软件怎么样呢,火绒安全软件好用吗?下面小编就给大家分析下详解...【详细内容】
2021-11-03  装机吧    Tags:火绒   点击:(34)  评论:(0)  加入收藏
背景上次给大家介绍了实现基础的运维系统功能&mdash;webssh,今日书接上回,继续给大家介绍一个web远程ssh终端录像回放功能。 一、思路网上查了一下资料,搜索了一下关于实现webs...【详细内容】
2021-10-13  小堂运维笔记    Tags:ssh终端   点击:(40)  评论:(0)  加入收藏
QuickPing快速Ping扫描器QuickPing,哪些地址已经使用,哪些可用,图形界面非常直观,而且可以导出列表,该软件体积很小,可以快速的知道网段内哪些主机已经开启,ping成功的即显示出不同...【详细内容】
2021-10-11  海南弱电李工    Tags:网管   点击:(66)  评论:(0)  加入收藏
1、每个项目根据现场的网络环境不同,需要定义不同的IP地址,通过此工具可以快速配置。而且有助于做项目实施资料。2、以前连接过的wifi密码自带记忆功能,通过检索对应的WiFi名字...【详细内容】
2021-10-08  IT游侠    Tags:局域网管理   点击:(49)  评论:(0)  加入收藏
01概述无论是开发还是测试,在工作中经常会遇到需要抓包的时候。本篇文章主要介绍如何在各个平台下,高效的抓包。目前的抓包软件总体可以分为两类: 一种是设置代理抓取http包,比...【详细内容】
2021-09-28  小码哥聊软件测试    Tags:网络抓包   点击:(103)  评论:(0)  加入收藏
Fiddler 简介Fiddler 是位于客户端和服务器端的 HTTP 代理 目前最常用的 http 抓包工具之一 功能非常强大,是 Web 调试的利器关注+转发+私信【软件测试】领取Fiddler安装包和...【详细内容】
2021-09-28  土豆聊软件测试    Tags:抓包工具   点击:(63)  评论:(0)  加入收藏
前言上次有写过一篇《20张图深度详解MAC地址表、ARP表、路由表》的文章,里面有提到了MAC地址表。那么什么是MAC地址表?MAC地址表有什么作用?MAC地址表里面包含了哪些要素?今天...【详细内容】
2021-09-09  网络工程师笔记    Tags:MAC地址表   点击:(76)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条