tcpdump.png

>>>我的博客<<<

1、使用背景

最近在项目开发时遇到一种情况，写的接口前端同事反馈是400，后端同事认为http status 是4开头的，肯定是前端的问题，前端的同事又不知道接口是怎么写的，需要传的参数也传了，但是就是400，那么作为负责人，不能任由两边踢皮球吧，得拿出个方案看看为啥400。
当然tacpdump这款强大的抓包工具不只是用使用解决我这个很low的问题，我的场景如果是前后端配合得当的话，或者已有默契的话，更好点，如果有文档，就不会有这个问题了。废话少说，直接说怎么做的吧。
最后选择linux服务器上抓好报文，用WireShark这款强大的抓包工具来分析一下啦。

工具介绍

• Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。
  在Windows平台下，Wireshark通过WinPcap进行抓包，封装的很好，使用起来很方便，可以很容易的制定抓包过滤器或者显示过滤器，具体在下面介绍。Wireshark是一个免费的工具，只要google一下就能很容易找到下载的地方。

• tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的，点击【http://en.wikipedia.org/wiki/Promiscuous_mode】获取更多有关混杂模式的资料。一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，这样会引起一些安全上的问题，所以只有root用户可以开启混杂模式，开启混杂模式的命令是：ifconfig eth0 promisc, eth0是你要打开混杂模式的网卡。肯定有人要问如果在windows下要不要打开混杂模式，windows下网卡没有什么混杂模式不混杂模式，在于应用程序本身，如使用Wireshark抓包的时候可以通过设置为在混杂模式下抓包（这就是为什么该死的ARP欺骗病毒可以猖狂的原因）。
  tcpdump当然也可以指定抓包过滤器，而且其过滤器语言非常著名，叫做Berkeley包过滤，简称BPF语言。

2、实际操作

实际操作过程因为我作为后端工程师，没有前端环境，因此用我本地接口调试神奇postman来模拟前端。
服务端有一个接口是这样的：

    @PostMapping("tests")
    public RtnResult<String> testPost(@RequestBody DataVo vo) {
        logger.info("post data:{}" , JSONObject.toJSONString(vo));
        return new RtnResult<>(0,"保存成功");
    }

用postman本地测试，故意不传参数，效果如下：

参数错误400的场景

接下来，抓包查看。

2.1、准备工作

• 先看看自己本地的ip，有个比较坑的地方，就是不要想当然的认为在本地命令行ipconfig或者ifconfig查看到的就是所谓的本地ip，要看外网出去的对公IP地址。比如http://www.ip138.com/这个网站可以就可以产看本地ip，可以试试，两种方式得到的ip地址是不一样的。
  
  我的本地IP地址
• 确保服务器安装了tcpdump，一般linux都自带了这个命令，如果没有的自行百度安装。
• 确定服务器的网卡号，一般默认是eth0。

2.2、抓取服务端报文

例如我截取本机112.224.67.134和主机39.106.35.56之间的数据，在服务器39.106.35.56的任意目录执行如下命令：

[root@dev ~]# tcpdump -A -i eth0 -w dump-file1 host 112.224.67.134
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

在本地用post请求服务器的接口

9.png

Ctrl+C停止保存抓包，报文内容保存在dump-file1文件内

[root@dev ~]# tcpdump -A -i eth0 -w dump-file1 host 112.224.67.134
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C24 packets captured
25 packets received by filter
0 packets dropped by kernel
[root@dev ~]# ll
total 4
-rw-r--r-- 1 tcpdump tcpdump 2880 Jul  3 14:05 dump-file1
[root@dev ~]# 

可以使用tcpdump -r dump-file1命令查看

[root@dev ~]# tcpdump -r dump-file1 
reading from file dump-file1, link-type EN10MB (Ethernet)
14:04:30.636260 IP dev.ssh > 112.224.67.134.26919: Flags [P.], seq 332116900:332116952, ack 3962938602, win 255, length 52
14:04:30.661616 IP dev.ssh > 112.224.67.134.26919: Flags [P.], seq 52:184, ack 1, win 255, length 132
14:04:30.710115 IP 112.224.67.134.26919 > dev.ssh: Flags [.], ack 184, win 66, length 0
14:04:49.658756 IP 112.224.67.134.26920 > dev.ssh: Flags [P.], seq 3449703456:3449703492, ack 3469026640, win 64, length 36
14:04:49.698057 IP dev.ssh > 112.224.67.134.26920: Flags [.], ack 36, win 255, length 0
14:05:04.771846 IP 112.224.67.134.58166 > dev.d-s-n: Flags [S], seq 3379667287, win 17520, options [mss 1400,nop,wscale 8,nop,nop,sackOK], length 0
14:05:04.771914 IP dev.d-s-n > 112.224.67.134.58166: Flags [S.], seq 2331290743, ack 3379667288, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
14:05:04.811492 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], ack 1, win 68, length 0
14:05:04.820465 IP 112.224.67.134.58166 > dev.d-s-n: Flags [P.], seq 1:415, ack 1, win 68, length 414
14:05:04.820496 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, length 0
14:05:04.824051 IP dev.d-s-n > 112.224.67.134.58166: Flags [P.], seq 1:354, ack 415, win 237, length 353
14:05:04.824297 IP dev.d-s-n > 112.224.67.134.58166: Flags [P.], seq 354:359, ack 415, win 237, length 5
14:05:04.871458 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], ack 359, win 67, length 0
14:05:05.911468 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], seq 414:415, ack 359, win 67, length 1
14:05:05.911526 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, options [nop,nop,sack 1 {414:415}], length 0
14:05:06.951486 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], seq 414:415, ack 359, win 67, length 1
14:05:06.951537 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, options [nop,nop,sack 1 {414:415}], length 0
14:05:08.011588 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], seq 414:415, ack 359, win 67, length 1
14:05:08.011644 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, options [nop,nop,sack 1 {414:415}], length 0
14:05:09.051406 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], seq 414:415, ack 359, win 67, length 1
14:05:09.051452 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, options [nop,nop,sack 1 {414:415}], length 0
14:05:10.091399 IP 112.224.67.134.58166 > dev.d-s-n: Flags [.], seq 414:415, ack 359, win 67, length 1
14:05:10.091451 IP dev.d-s-n > 112.224.67.134.58166: Flags [.], ack 415, win 237, options [nop,nop,sack 1 {414:415}], length 0
14:05:10.130248 IP 112.224.67.134.26919 > dev.ssh: Flags [P.], seq 1:53, ack 184, win 66, length 52
[root@dev ~]# 

2.2、用wireshark分析报文内容

了解tcp网络协议的，看到以上报文，应该已经了解一二了。
为了将其转换成常用的http协议，我们用wireshark这款工具再分析一下。
下载该文件，在windows上可以直接将该文件拖入到wireshark，会自动打开。

tcpdump文件在WireShark中打开

可以看到三次握手的具体报文。同时看到了一个post的http request和一个http status为200的http response。右击post请求，选择【追踪流】->【TCP流】：

TCP流查看

当然，查看服务器log，也看到了日志信息

2018-07-03 14:24:16.660  INFO 29004 --- [nio-8086-exec-6] com.hczt.shop.weixin.config.CorsFilter   : requesturi is : /weixin/tests
2018-07-03 14:24:16.661  INFO 29004 --- [nio-8086-exec-6] c.h.s.weixin.controller.TestController   : post data:{"address":"山东青岛","age":28,"name":"张三","sex":"男"}

这里演示的正常返回的，如果接口是400，服务端也就没有这条log，这时候抓包也才更有意义了。
到这里，基本的使用就介绍完了。至于WireShark在本地怎么使用，怎么添加过滤器等，查看其它博文学习。

3、推荐

WireShark抓包使用教程
tcpdump语法介绍与常用参数举例