TCPDUMP 网络抓包

前段时间和其中一家供应商做GPS对接的时候遇到了一个问题,他们是用809协议向我们发送GPS数据,但是我们的DB中一直查不到发过来的数据而且log中根据他们的IP也没有找到发过来的数据,但是他们一直说发过来了,这个时候怎么办呢?于是从网上找到了一个linux上截获网络数据包的命令TCPDUMP。


TCPDUMP可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。


了解了这个TCPDUMP的命令之后我们就可以通过下面这个命令获取指定IP发送过来的数据包
tcpdump -XX -vvv -nn -i eth1 src host xxx.x.xxx.xxx


  • -v:当分析和打印的时候,产生详细的输出。
  • -vv:产生比-v更详细的输出。
  • -vvv:产生比-vv更详细的输出。
  • -XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
  • -nn :直接以IP以及PORT number显示,而非主机名与服务名称
  • -i : interface:指定tcpdump需要监听的接口。若未指定该选项,将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口,要抓取loopback接口使用tcpdump -i lo),一旦找到第一个符合条件的接口,搜寻马上结束。可以使用'any'关键字表示所有网络接口。
  • src : 指定ID的方向 有两个值可以选择:src/dst
  • host : 指定ID的类型, 有四个值供选择:host/net/port/portrange
  • 最后的 xxx.x.xxx.xxx就是ID,在本例中因为指定的type是host,所以是IP地址。

在输入上述的命令之后我们会得到下面这个结果:

[root@iZ23yaz766kZ ~]# tcpdump -XX -vvv -nn -i eth1 src host 218.3.146.108
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
15:10:16.719574 IP (tos 0x14, ttl 52, id 24439, offset 0, flags [DF], proto TCP (6), length 131)
   218.3.146.108.3956 > 121.41.59.24.14567: Flags [P.], cksum 0x2a72 (correct), seq 2382504609:2382504700, ack 3842476699, win 251, length 91
   0x0000:  0016 3e00 422c eeff ffff ffff 0800 4514  ..>.B,........E.
   0x0010:  0083 5f77 4000 3406 c638 da03 926c 7929  .._w@.4..8...ly)
   0x0020:  3b18 0f74 38e7 8e02 22a1 e507 8a9b 5018  ;..t8...".....P.
   0x0030:  00fb 2a72 0000 5b00 0000 5a02 003c 268e  ..*r..[...Z..<&.
   0x0040:  1200 0004 e24c 0102 0f01 0000 0001 930a  .....L..........
   0x0050:  8c81 56d6 94dd 6605 6c2c 4699 a51c fa73  ..V...f.l,F....s
   0x0060:  e5ee 7984 5388 e624 57f4 964a 3803 e0d4  ..y.S..$W..J8...
   0x0070:  31b5 c2a3 b242 1cd8 b342 a7cb 921a c100  1....B...B......
   0x0080:  ec1a 1bf1 7acb 11f6 ede3 59fc 25b8 e5b7  ....z.....Y.%...
   0x0090:  5d                                       ]
15:10:17.159556 IP (tos 0x14, ttl 52, id 24491, offset 0, flags [DF], proto TCP (6), length 132)
   218.3.146.108.3956 > 121.41.59.24.14567: Flags [P.], cksum 0x0661 (correct), seq 91:183, ack 1, win 251, length 92
   0x0000:  0016 3e00 422c eeff ffff ffff 0800 4514  ..>.B,........E.
   0x0010:  0084 5fab 4000 3406 c603 da03 926c 7929  .._.@.4......ly)
   0x0020:  3b18 0f74 38e7 8e02 22fc e507 8a9b 5018  ;..t8...".....P.
   0x0030:  00fb 0661 0000 5b00 0000 5a02 003c 268f  ...a..[...Z..<&.
   0x0040:  1200 0004 e24c 0102 0f01 0000 0001 930a  .....L..........
   0x0050:  8c86 57d5 97dd 6605 6c2c 4699 a51c fa73  ..W...f.l,F....s
   0x0060:  e5ee 7984 5388 e624 57f4 964a 3803 e0d4  ..y.S..$W..J8...
   0x0070:  31b7 c2a9 b9d8 1cee 095a 01a7 8392 52c1  1........Z....R.
   0x0080:  0351 5c1a bd7a c011 f6ed e259 fc25 b82b  .Q\..z.....Y.%.+
   0x0090:  bf5d                                     .]
15:10:17.179580 IP (tos 0x14, ttl 52, id 24497, offset 0, flags [DF], proto TCP (6), length 131)
   218.3.146.108.3956 > 121.41.59.24.14567: Flags [P.], cksum 0xadd0 (correct), seq 183:274, ack 1, win 251, length 91
   0x0000:  0016 3e00 422c eeff ffff ffff 0800 4514  ..>.B,........E.
   0x0010:  0083 5fb1 4000 3406 c5fe da03 926c 7929  .._.@.4......ly)
   0x0020:  3b18 0f74 38e7 8e02 2358 e507 8a9b 5018  ;..t8...#X....P.
   0x0030:  00fb add0 0000 5b00 0000 5a02 003c 2690  ......[...Z..<&.
   0x0040:  1200 0004 e24c 0102 0f01 0000 0001 930a  .....L..........
   0x0050:  8cfb 57d1 94d2 6605 6c2c 4699 a51c fa73  ..W...f.l,F....s
   0x0060:  e5ee 7984 5388 e624 57f4 964a 3803 e0d4  ..y.S..$W..J8...
   0x0070:  31b5 c2a9 90b8 1cd3 7f65 a7ce 921f c101  1........e......
   0x0080:  ecad 1b3b 7acc 11f6 ede2 59fc 25b8 b5b6  ...;z.....Y.%...
   0x0090:  5d        

这样我们就得到了从指定IP发过来的数据包,我们一起中一个作为样例:

15:10:17.179580 IP (tos 0x14, ttl 52, id 24497, offset 0, flags [DF], proto TCP (6), length 131)
   218.3.146.108.3956 > 121.41.59.24.14567: Flags [P.], cksum 0xadd0 (correct), seq 183:274, ack 1, win 251, length 91
   0x0000:  0016 3e00 422c eeff ffff ffff 0800 4514  ..>.B,........E.
   0x0010:  0083 5fb1 4000 3406 c5fe da03 926c 7929  .._.@.4......ly)
   0x0020:  3b18 0f74 38e7 8e02 2358 e507 8a9b 5018  ;..t8...#X....P.
   0x0030:  00fb add0 0000 5b00 0000 5a02 003c 2690  ......[...Z..<&.
   0x0040:  1200 0004 e24c 0102 0f01 0000 0001 930a  .....L..........
   0x0050:  8cfb 57d1 94d2 6605 6c2c 4699 a51c fa73  ..W...f.l,F....s
   0x0060:  e5ee 7984 5388 e624 57f4 964a 3803 e0d4  ..y.S..$W..J8...
   0x0070:  31b5 c2a9 90b8 1cd3 7f65 a7ce 921f c101  1........e......
   0x0080:  ecad 1b3b 7acc 11f6 ede2 59fc 25b8 b5b6  ...;z.....Y.%...
   0x0090:  5d 

其中前20个字节: 0016 3e00 422c eeff ffff ffff 0800 4514 0083 5fb1 是IP数据报的首部。
后面的32个字节: 4000 3406 c5fe da03 926c 7929 3b18 0f74 38e7 8e02 2358 e507 8a9b 5018 00fb add0是TCP数据报的首部。
最后面的则是TCP的data部分:0000 5b00 0000 5a02 003c 2690 1200 0004 e24c 0102 0f01 0000 0001 930a 8cfb 57d1 94d2 6605 6c2c 4699 a51c fa73 e5ee 7984 5388 e624 57f4 964a 3803 e0d4 31b5 c2a9 90b8 1cd3 7f65 a7ce 921f c101 ecad 1b3b 7acc 11f6 ede2 59fc 25b8 b5b6 5d
这样我们就获得了从指定IP发送过来的数据,然后就可以进行本地调试来验证数据是否有问题了。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容