很多时候,开发或者产品不一定能给出很规范的接口或者相关文档,搞不好有些都只是通过口头传递信息,此时,我们就需要掌握独立抓包分析请求的方法,避免被动的等待,像我工作中就遇到过,请求时基于soap协议的,是一个硬件网关设备和平台的交换,一个事件就包含多次的交互,我就是利用抓包进行分析和模拟请求的。


1、核心思路

服务基本上都是部署在Linux上,在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。


2、tcpdump使用


tcpdump是一款非常强大的网络抓包工具,可以在网络问题的分析中提供很多有用的信息,适用场景丰富。tcpdump的使用简单易上手,它的命令格式如下:

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>]
[-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>]
[-vv][-w<数据包文件>][输出数据栏位]

其他常用参数的说明:

-c:指定要抓取的包数量。
-i:interface:指定tcpdump需要监听的接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-s: <数据包大小> 设置每个数据包的大小。
-N:不打印出host的域名部分。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",
     默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。
    对于要抓取的数据包较大时,长度设置不够可能会产生包截断。
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:当分析和打印的时候,产生详细的输出。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
-w<数据包文件> 把数据包数据写入指定的文件。

常用关键字说明:

host(缺省类型): 指明一台主机

net: 指明一个网络地址

port: 指明端口号

src: 指定网络源地址

dst: 指定目标网络地址;



3、常见例子

下面举几个常见对例子,供大家参考。


1、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包。

tcpdump -i eth0 net 59.111.243.17

2、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包,且源端口号为80。

tcpdump –i eth0 net 59.111.243.17 and srcport 80

3、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包,抓包个数指定为10000个,并写入temp.pcap。

tcpdump -i eth0 net 59.111.243.17 -c 10000 -w temp.pcap

4、Sql语句是通过网络以文本方式传输到mysql服务器端的。因此我们完全也可以通过tcpdump这个工具把所有的sql语句捕获到。

tcpdump -i eth0 -A -s 3000 port 3306 -w sql.log

5、想要截获所有210.27.48.1的主机收到的和发出的所有的数据包,使用命令。

tcpdump host 210.27.48.1 

6、想要截获主机 210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令。

tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3) 

7、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令。

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

8、如果想要获取主机210.27.48.1接收或发出的telnet包,使用命令。

tcpdump tcp port 23 host 210.27.48.1

9、后台抓包, 控制台退出也不会影响,使用命令。

nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 


最后,只需要把导出来对cap包,放到Wireshark中分析即可,本文不做讲解。


更多其他测试内容都在公众号大话性能可以参考链接文末更多测试好文章