Linux抓包總結,linux抓總結
一、連接埠資訊
方法:使用netstat,得知你所關心進程的監聽連接埠,或者某一個連接埠的使用方式
[root@imsv-test mpf]# netstat -pan | grep csmtcp 0 0 0.0.0.0:6801 0.0.0.0:* LISTEN 7417/csm ---監聽連接埠 tcp 0 0 192.168.12.223:33004 192.168.5.186:3311 ESTABLISHED 7417/csm ---資料庫連結tcp 0 0 192.168.12.223:33003 192.168.5.186:3311 ESTABLISHED 7417/csm tcp 0 0 192.168.12.223:33002 192.168.5.186:3311 ESTABLISHED 7417/csm tcp 0 0 192.168.12.223:6801 192.168.5.220:2845 ESTABLISHED 7417/csm ---與im用戶端的連結 tcp 0 0 127.0.0.1:32994 127.0.0.1:6847 ESTABLISHED 7417/csm ---與rooter的連結 tcp 0 0 127.0.0.1:32998 127.0.0.1:6872 ESTABLISHED 7417/csm ---與online的連結 tcp 0 0 192.168.12.223:6801 192.168.5.220:2812 ESTABLISHED 7417/csm ---與im用戶端的連結 [root@imsv-test mpf]# netstat -pan | grep mucsvrtcp 0 0 127.0.0.1:32989 127.0.0.1:6847 ESTABLISHED 7416/mucsvr --與rooter的連結 tcp 0 0 127.0.0.1:32988 127.0.0.1:6847 ESTABLISHED 7416/mucsvr --與rooter的連結 [root@imsv-test mpf]# netstat -pan | grep onlinetcp 0 0 0.0.0.0:6872 0.0.0.0:* LISTEN 7413/online --監聽連接埠 tcp 0 0 192.168.12.223:33005 192.168.5.186:3311 ESTABLISHED 7413/online --資料庫連結 tcp 0 0 127.0.0.1:6872 127.0.0.1:32998 ESTABLISHED 7413/online --與csm的連結
註:
1)、其中,mucsvr與rooter建立了兩條連結,不清楚原因。監聽32989可以擷取通訊包,32988此連接埠沒發現有資料通訊。
2)、上面的資訊是從12.223測試ImServer上擷取,只作為參考。
二、抓包
方法:使用tcpdump,擷取關心連接埠的資料包,並輸出到檔案
執行命令:tcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.cap
注釋:
- port:你所關心的服務進程的連接埠
- -i eth0:指定監聽的網路介面。可以使用ifconfig擷取網路設定,原生通訊網路設定是-i lo。
- -s 0:擷取全部資料包
預設的話 tcpdump 只顯示部分資料包
參數 -s snaplen 就是控制這個的。預設是 68 位元組
設成0的話 就是顯示全部資料包
參考網址:http://tcpdump.anheng.com.cn/news/22/591.html
三、查看
方法:將包檔案傳到window機器上,使用EtherDetect查看通訊包檔案
操作步驟:嗅探器-->開啟
四、附錄
12.223抓包語句:tcpdump port 6872 -i lo -p -vv -s 0 -w online.cap tcpdump port 6847 -i lo -p -vv -s 0 -w router.captcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.captcpdump port 32989 -i lo -p -vv -s 0 -w mucsvr.cap
*****抓包記錄:tcpdump host 218.28.15.98 -i eth1 -p -vv -s 0 -w fengyang.cap
使用SecureCRT,將通訊包傳到window機器sz csm.cap mucsvr.cap online.cap router.cap