linux环境下tcpdump源代码分析

Linux 环境下tcpdump 源代码分析





韩大卫@吉林师范大学





tcpdump.c tcpdump 工具的main.c, 本文旨对tcpdump的框架有简单了解,只展示linux平台使用的一部分核心代码。



Tcpdump 的使用目的就是打印出指定条件的报文,即使有再多的正则表达式作为过滤条件。所以只要懂得tcpdump -nXXi eth0 的实现原理即可。



进入main之前,先看一些头文件



netdissect.h里定义了一个数据结构struct netdissect_options来描述tcdpump支持的所有参数动作,每一个参数有对应的flag, tcpdump main 里面, 会根据用户的传入的参数来增加相应flag数值, 最后根据这些flag数值来实现特定动作。各个参数含义请参考源代码注释。



struct netdissect_options {

  int ndo_aflag;        /* translate network and broadcast addresses */

  //打印出以太网头部

  int ndo_eflag;        /* print ethernet header */

  int ndo_fflag;        /* don't translate "foreign" IP address */

  int ndo_Kflag;        /* don't check TCP checksums */

  //不将地址转换为名字

  int ndo_nflag;        /* leave addresses as numbers */

  int ndo_Nflag;        /* remove domains from printed host names */

  int ndo_qflag;        /* quick (shorter) output */

  int ndo_Rflag;        /* print sequence # field in AH/ESP*/

  int ndo_sflag;        /* use the libsmi to translate OIDs */

  int ndo_Sflag;        /* print raw TCP sequence numbers */

  // 报文到达时间

  int ndo_tflag;        /* print packet arrival time */

  int ndo_Uflag;        /* "unbuffered" output of dump files */

  int ndo_uflag;        /* Print undecoded NFS handles */

  //详细信息

  int ndo_vflag;        /* verbose */

  // 十六进制打印报文

  int ndo_xflag;        /* print packet in hex */

  // 十六进制和ASCII码打印报文

  int ndo_Xflag;        /* print packet in hex/ascii */

  //ASCII码显示打印报文

  int ndo_Aflag;        /* print packet only in ascii observing TAB,

                 * LF, CR and SPACE as graphical chars

                 */

...

   //默认的打印函数

  void (*ndo_default_print)(netdissect_options *,

              register const u_char *bp, register u_int length);

  void (*ndo_info)(netdissect_options *, int verbose);

...

}



interface.h   接口头文件,定义了一堆宏就为了方便调用struct netdissect_options里的成员。



#ifndef NETDISSECT_REWORKED

extern netdissect_options *gndo;

...

#define nflag gndo->ndo_nflag 

...

#define tflag gndo->ndo_tflag 

...

#define vflag gndo->ndo_vflag 

#define xflag gndo->ndo_xflag 

#define Xflag gndo->ndo_Xflag 

...

      

#endif                                         





tcpdump.c 





int

main(int argc, char **argv)

{ 

register char *cp, *infile, *cmdbuf, *device, *RFileName, *WFileName;

    pcap_handler callback;

    int type;          

    struct bpf_program fcode;

               

    struct print_info printinfo;

...

    //netdissect_options中一些参数初始化

    gndo->ndo_Oflag=1;

    gndo->ndo_Rflag=1;

    gndo->ndo_dlt=-1;

    gndo->ndo_default_print=ndo_default_print;

    gndo->ndo_printf=tcpdump_printf;

    gndo->ndo_error=ndo_error;

    gndo->ndo_warning=ndo_warning;

    gndo->ndo_snaplen = DEFAULT_SNAPLEN;

...                 

    opterr = 0;     

    while (  

/*经典的getopt框架。 字符数组为tcpdump 支持的全部参数。可以看到, 参数x, X,t这些参数后面没有:或::, 这说明这些参数会产生叠加的效果。

*/      

        (op = getopt(argc, argv, "aA" B_FLAG "c:C:d" D_FLAG "eE:fF:G:i:" I_FLAG "KlLm:M:nNOpqr:Rs:StT:u" U_FLAG "vw:W:xXy:Yz:Z:")) != -1)

        switch (op) {

...

//case 里面的处理大多相似,以下仅用-i,-X,-x做例。

        //-i 参数用来指定网口

        case 'i':  

            if (optarg[0] == '0' && optarg[1] == 0)

                error("Invalid adapter index");

   



            device = optarg;



            break;

         

…

//-x 为以十六进制打印报文,如使用-xxxflag数值为2,后面根据xflag>1来打印出链路层头部 

        case 'x':

            ++xflag;

            ++suppress_default_print;

            break;

               

        case 'X':

            ++Xflag;                                                                 

            ++suppress_default_print;

            break;

 	

        

//case 'n', case 'A'等操作类似如上                 

...



}

...

/*展开核心代码前处理信号,信号处理函数cleanup会调用info()来打印当用户按ctrl+c等发送中止信号时tcpdump显示已处理报文的统计信息。

3 packets captured

3 packets received by filter

0 packets dropped by kernel

*/

    (void)setsignal(SIGPIPE, cleanup);

    (void)setsignal(SIGTERM, cleanup);

    (void)setsignal(SIGINT, cleanup);                                                               

    (void)setsignal(SIGCHLD, child_cleanup);

...



//-r 参数读取指定文件, 在此忽略

if (RFileName != NULL) {

...

    } else {

      //如果没有-i 参数来指定网络接口, 那么调用 pcap_lookupdev()来寻找可用的网络接口

        if (device == NULL) {

            device = pcap_lookupdev(ebuf);

            if (device == NULL)

                error("%s", ebuf);

        }



/pcap_open_live() 定义为:

pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf) 

device为要打开的指定设备

snaplen为最大报文长度, 由-s 指定. 默认为65536. 

Promise 为是否要将网口配置为混杂模式, 由-p 指定,!Pflag:默认为是。  

to_ms 为超时时间。 *ebuf 为传递错误信息使用。 

函数返回捕获报文的句柄。

*/

        *ebuf = '\0';

        pd = pcap_open_live(device, snaplen, !pflag, 1000, ebuf);                                                                  

        if (pd == NULL)

            error("%s", ebuf);

        else if (*ebuf)

            warning("%s", ebuf);





// -w 参数 加结果写入一个文件, 在此忽略

 if (WFileName) {

...

    } else {

        //返回数据链路层的枚举值

        type = pcap_datalink(pd);

    

printinfo.printer = lookup_printer(type);

 

/*lookup_printer() 作用如下:根据该数据链路层类型返回相应的打印函数指针。定义如下:



static if_printer

 lookup_printer(int type)

{              

    struct printer *p;

 

    for (p = printers; p->f; ++p)                                                                

        if (type == p->type)

            return p->f;

      

    return NULL;

}              

 

其中struct printer定义为 一个打印函数指针, 一个类型数值

typedef u_int (*if_printer)(const struct pcap_pkthdr *, const u_char *);

struct printer {  

    if_printer f; 

    int type;     

};

printers 为一个struct printer数组, 定义如下: 

static struct printer printers[] =

    { arcnet_if_print,  DLT_ARCNET },

    { ether_if_print,   DLT_EN10MB },                                                                  

    { token_if_print,   DLT_IEEE802 },

...



由上可以看到, 当为以太网环境(DLT_EN10MB)时,实现函数为ether_if_print,

当为IEEE802令牌环网环境时, 实现函数为 token_if_print

等等。 不同数据链路层环境有不同的调用函数来实现打印特定格式的报文。 



for (p = printers; p->f; ++p)  : 从数组首个元素开始,循环条件是元素存在f指针,依次遍历全部数组成员。 

所以当数据链路层的类型为DLT_EN10MB时, 对应的打印函数为ether_if_print



我本人觉得 lookup_printer() 这个函数写得甚是巧妙。 非常值得借鉴。 每一种类型定义一个数据结构struct printer, 包含一个函数指针和一个类型值。 将全部的类型放入一个数组中,遍历数组时根据类型值返回对应的函数指针, 再有新类型时,仅将其添加到数组中即可。 

*/

       if (printinfo.printer == NULL) {

            gndo->ndo_dltname = pcap_datalink_val_to_name(type);

            if (gndo->ndo_dltname != NULL)

                error("unsupported data link type %s",

                      gndo->ndo_dltname);

            else 

                error("unsupported data link type %d", type);

        }

//函数指针callback指向print_packet   

        callback = print_packet;



//printinfo作为unsigned char * 赋值给pcap_usrdata, 在后面作为pcap_loop()的参数

       pcap_userdata = (u_char *)&printinfo;

    }  



    if (RFileName == NULL) { 

        int dlt;             

        const char *dlt_name;

    

...

        /*pcap_datalink() 返回数据链路层类型枚举值,这里返回DLT_EN10MB */

        dlt = pcap_datalink(pd);

        //根据该枚举返回数据链路类型char *name: “EN10MB”

        dlt_name = pcap_datalink_val_to_name(dlt);

        if (dlt_name == NULL) {

            (void)fprintf(stderr, "listening on %s, link-type %u, capture size %u bytes\n",

                device, dlt, snaplen);

        } else {             

            (void)fprintf(stderr, "listening on %s, link-type %s (%s), capture size %u bytes\n",



                device, dlt_name,

               //获取该数据链路层类型的字符串描述

                pcap_datalink_val_to_description(dlt), snaplen);

        }                    



/*

使用tcpdump -nXXi eth0

 后,打印信息:

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

即来源于此。 

*/

    /*调用 pcap_loop(), 循环捕获报文并将报文交给callback处理,直到遇到错误或退出信号。 

Cnt -c 参数指定,默认0. Usrdata 作为callback 的参数。 

pcap_loop() libpcap 提供的API,它完成了与底层驱动的通信,首先创建了一个socket,将句柄封装后交给底层驱动,驱动收到数据包后将其写入socket, 从内核层发往用户层, 用户层的pcap_loop()持续poll 这个socket , 发现其有数据后就将数据交给callback函数处理,进行打印。 这样做的优点是可直接使用linux的既有socket IPC架构, 缺点是要承受在高速的以太网环境里,从内核层到用户层的拷贝动作产生的开销代价。

     */

    status = pcap_loop(pd, cnt, callback, pcap_userdata);

	...

	pcap_close(pd);

/*

由上面看到, callback 的实现函数为print_packet()pcap_loop()调用callpack 时传给print_packet()三个参数,第一个为含有特定链路层打印函数的结构体pcap_userdata, 第二个为包含报文信息的 struct pcap_pkthdr 常量指针, 第三个为数据包内容的字符串常量指针。 



其中struct pcap_pkthdr 定义为:   

   

struct pcap_pkthdr{

      struct timeval ts;   //时间戳数据结构

      bpf_u_int32 caplen;  //报文捕获长度

      bpf_u_int32 len;     //报文实际长度

}

注: 如一个报文实际长度100B, 但tcpdump捕获80B时停止, 那么caplen 80, len 100



static void

print_packet(u_char *user, const struct pcap_pkthdr *h, const u_char *sp)

{   

    struct print_info *print_info;

    u_int hdrlen;

    

    ++packets_captured;

    

    ++infodelay;

    ts_print(&h->ts);

    

   /*取得参数user 的数据结构, 后面(*print_info->printer)即调用user提供的打印函数,

     这里为ether_if_print()

   */

    print_info = (struct print_info *)user;





    snapend = sp + h->caplen;

    

    //调用ether_if_print()

    hdrlen = (*print_info->printer)(h, sp);



    if (Xflag) {

//tcpdump 有多个X参数时, 如 tcpdump -XX 时, 以十六进制和ASCII码打印出链路层头部信息

        if (Xflag > 1) {

            hex_and_ascii_print("\n\t", sp, h->caplen);



        } else {

        //只有一个X参数,即tcpdump -X 时,不打印链路层头部

            if (h->caplen > hdrlen)

                hex_and_ascii_print("\n\t", sp + hdrlen,

h->caplen - hdrlen);



        }

    } else if (xflag) {

//-X, 当存在多个-x 参数,如tcpdump -xx 时, 打印链路层头部, 但只以十六进制打印

        if (xflag > 1) {

            hex_print("\n\t", sp, h->caplen);



        } else {

            if (h->caplen > hdrlen)

                hex_print("\n\t", sp + hdrlen,

h->caplen - hdrlen);



        }

    } else if (Aflag) {

//-A 参数, 以ASCII码打印报文信息

        if (Aflag > 1) {

                              

            ascii_print(sp, h->caplen);

        } else {

            if (h->caplen > hdrlen)

                ascii_print(sp + hdrlen, h->caplen - hdrlen);

        }

    }

    

    putchar('\n');

    

    --infodelay;

    if (infoprint)

        info(0);

}

*/



/*

print-ether.c里, 有ether_if_print 的定义, 同样的, 在print-token.c 里有token_if_print的定义, print-arcnet.c里有arcnet_if_print的定义。Tcpdump 目录里大量的 “print-” 开头的文件均是特定的打印函数。



print-ether.c



u_int

ether_if_print(const struct pcap_pkthdr *h, const u_char *p)

{   

    //将报文内容, 报文捕获长度, 报文实际长度传给 ether_print

    ether_print(p, h->len, h->caplen); 

}



ether_print定义:



void

ether_print(const u_char *p, u_int length, u_int caplen)

{   

    struct ether_header *ep;



/*

以太网头部定义

#define ETHER_HDRLEN        14 				//头部长14字节

#define ETHER_ADDR_LEN      6

struct  ether_header {                                                                 

    u_int8_t    ether_dhost[ETHER_ADDR_LEN];

		//DMAC, 6字节

    u_int8_t    ether_shost[ETHER_ADDR_LEN];

		//SMAC, 6字节

    u_int16_t   ether_type;

					//type, 2字节

}; 

*/



    u_short ether_type;

    u_short extracted_ether_type;

    

    if (caplen < ETHER_HDRLEN) {

        printf("[|ether]");

        return;

    }

    

    /*如果有 -e参数,打印链路层头部,调用 ether_hdr_print() ,定义见下方。

   */

   if (eflag)

        ether_hdr_print(p, length);

    

    length -= ETHER_HDRLEN;

    caplen -= ETHER_HDRLEN;

    ep = (struct ether_header *)p;

    p += ETHER_HDRLEN;

    

    ether_type = ntohs(ep->ether_type);

//具体的打印细节不做研究了

    if (ether_type <= ETHERMTU) {

        /* Try to print the LLC-layer header & higher layers */

        if (llc_print(p, length, caplen, ESRC(ep), EDST(ep),

            &extracted_ether_type) == 0) {

            if (!eflag)

                ether_hdr_print((u_char *)ep, length + ETHER_HDRLEN);

            if (!suppress_default_print)

                default_print(p, caplen);

        }

    } else if (ether_encap_print(ether_type, p, length, caplen,

        &extracted_ether_type) == 0) {  

        if (!eflag)

            ether_hdr_print((u_char *)ep, length + ETHER_HDRLEN);

   

        if (!suppress_default_print)

            default_print(p, caplen);

    } 

} 



*/





/*

使用 tcpdump -nei eth0 会有如下显示: 



12:53:12.189132 d0:df:9a:53:f0:07 > 01:00:5e:7f:ff:fa, ethertype IPv4 (0x0800), length 175: 10.10.168.94.60395 > 239.255.255.250.1900: UDP, length 133



ether_hdr_print 定义:


static inline void

ether_hdr_print(register const u_char *bp, u_int length)

{

    register const struct ether_header *ep;

    ep = (const struct ether_header *)bp;

   

    //打印出 原MAC > 目的MAC, 比如上面的  d0:df:9a:53:f0:07 > 01:00:5e:7f:ff:fa

    (void)printf("%s > %s",

             etheraddr_string(ESRC(ep)),

             etheraddr_string(EDST(ep)));

   

    //如果没有-q 参数, 

    if (!qflag) {

            if (ntohs(ep->ether_type) <= ETHERMTU)

                  (void)printf(", 802.3");

                else 

//打印出协议类型, 如上面的ethertype IPv4 (0x0800)

                  (void)printf(", ethertype %s (0x%04x)",

                       tok2str(ethertype_values,"Unknown", ntohs(ep->ether_type)),

ntohs(ep->ether_type));        

        } else {

                if (ntohs(ep->ether_type) <= ETHERMTU)

                          (void)printf(", 802.3");

                else 

                          (void)printf(", %s", tok2str(ethertype_values,"Unknown Ethertype (0x%04x)", ntohs(ep->ether_type)));  

        }   



    //打印出报文长度, 如上面的length 175   

    (void)printf(", length %u: ", length);

}  

*/





总结:

  

 概括地看, tcpdump.c 可分三个部分:

 第一部分是用struct netdissect_options数据结构作为一个参数集合, 并用getopt框架来处理argv的参数逻辑。 



 第二部分是使用libpcap库函数来搭建与底层IPC通道。 其中最重要的API有三个, 第一个是pcap_lookupdev(), 查找可用网口,第二个是pcap_open_live(),打开指定设备并将其配置为混杂模式返回句柄, 第三个是使用pcap_loop()持续获取报文数据,调用回调函数进行打印处理。



 第三部分是实现callback 函数,tcpdump.c里的callback函数只做了一个封装,最终调用的是参数pcap_userdata里提供的特定数据链路层的打印函数, 这个函数指针的查找是由lookup_printer()实现的。





关于pcap_open_live pcap_loop 这两个重要的函数源代码分析,后续介绍。

你可能感兴趣的:(tcpdump)

  • 一次bad udp checksum故障 robin5911 操作系统网络相关网络协议网络linux
    用户反馈client访问某服务的udp端口1107访问异常,使用tcpdump在服务端抓包时发现,客户端发给服务端的udp报文可以接收到,但服务端发给客户端的udp报文会报错badudpcksum#tcpdump-iany-nneevvvudpandport110711:01:57.774673Infe:16:4f:00:00:00ethertypeIPv4(0x0800),length218:(
  • 在网络安全中常见的windows和linux命令 阿贾克斯的黎明 网络安全笔记网络安全
    Linux命令:网络扫描与监测:nmap:强大的网络扫描工具,可用于发现主机、扫描端口、确定操作系统类型等。例如,nmap-sS192.168.1.0/24进行SYN扫描一个IP网段;nmap-p80,443example.com扫描特定主机的80和443端口1。netstat:显示网络连接状态、路由表、接口统计等信息。如netstat-tuln查看正在监听的TCP和UDP端口。tcpdump:用
  • 在Linux中使用tcpdump命令捕获与分析数据包详解 香山上的麻雀
    tcpdump是linux系统中提供的一个命令行工具,可以将网络中传送的数据包完全截获下来,提供网络数据分析。下面这篇文章主要给大家介绍了关于如何在Linux中使用tcpdump命令捕获与分析数据包的相关资料,需要的朋友可以参考下前言tcpdump是一个有名的命令行数据包分析工具。我们可以使用tcpdump命令捕获实时TCP/IP数据包,这些数据包也可以保存到文件中。之后这些捕获的数据包可以通过t
  • linux运维一天一个shell命令之tcpdump详解 在产线打螺丝 Linux系统运维运维linuxtcpdump
    一、tcpdump的概念tcpdump是一个数据包捕获工具,能够拦截和显示通过网络接口的数据包。它可以实时捕获数据包,也可以将捕获的数据保存到文件中以便后续分析。tcpdump支持基于多种条件(如IP地址、端口号、协议等)来捕获特定的数据包。二、主要功能和特点1.数据包捕获:tcpdump可以捕获通过指定网络接口的数据包,这些数据包包括以太网帧、IP数据包、TCP/UDP数据包等。2.实时分析:捕
  • Linux操作系统-09-Tcpdump流量监控工具 Zkaisen 安全与运维linuxtcpdump网络
    从防火墙的角度来看,从入侵攻击的特征来看,从入侵检测的防护手段来看,从流量分析预警的来看,几乎所有的网络安全攻防的一些行为都可以通过流量来进行处理。一、流量监控特征对一个通信过程分析,首先需要把握5个最基本数据,然后再具体查看内容(Payload:载荷),还有就是协议通信过程中一些特定的字段,可以通过这些字段来判定是否是攻击行为。源IP:谁发起的请求,谁就是源,任意一端都可能是源,也可能是目标源端
  • tcpdump抓包命令详解 刘某的Cloud Linux系统基础tcpdump网络服务器linux运维
    目录基本命令格式:常用选项:过滤表达式:示例:tcpdump是一款在Unix和类Unix系统上广泛使用的网络分析工具,它能够捕获网络接口上传输的数据包,并提供多种选项来过滤和展现这些数据包的详细信息。这里是tcpdump的一些基本用法和选项的详解.基本命令格式:tcpdump[options][filter-expression]常用选项:-i:指定要监听的网卡接口。如果不指定,tcpdump通常
  • 抓包分析 TCP 协议 咖啡加 剁椒 软件测试tcp/ip网络协议网络功能测试软件测试自动化测试程序人生
    TCP协议是在传输层中,一种面向连接的、可靠的、基于字节流的传输层通信协议。环境准备对接口测试工具进行分类,可以如下几类:网络嗅探工具:tcpdump,wireshark代理工具:fiddler,charles,anyproxyburpsuite,mitmproxy分析工具:curl,postman,chromeDevtool抓包分析TCP协议tcpdumptcpdump是一款将网络中传送的数据包
  • android相关网络命令记录 春困夏乏秋盹冬眠_3091
    tcpdump-iany>/sdcard/test.cap不过滤端口抓包tcpdump-ieth0-s0-w/home/test.cap只抓eth0相关的包ipruleadd...iptables-f关闭防火墙规则iproteadd0.0.0.0/24deveth0
  • LVS/DR数据包流向分析 南柯一梦,笑谈浮生 负载均衡
    lvs-dr模式原理转载注明出处:http://blog.csdn.net/lengzijian/article/details/8089661先附上一张原理图:为了更清晰的表述lvs-dr原理,我们用tcpdump工具打印出tcp数据,查看mac地址的更改情况,绘制出如下的时序图;图1表示201收到转发消息,图2表示200收到转发请求(下面两张为错误的图,错误的理由下面会详细解释)上面的信息全部
  • 【Linux基础】网络故障排除 清梦载星河
    网络故障排除相关命令ping。检测当前主机和目标主机的联通状况traceroute。追踪路由。mtr。检查是否存在数据包丢失。nslookup。查看域名。telnet。检查端口。tcpdump。检查数据包。netstat,常用netstat-ntplss1.简单查看本地网络相关信息ifconfig,查看当前主机IProute-n,查看网关2.使用ping测试联通情况实例:pingwww.baidu
  • nginx与php的WEB常见问题排查 KISSING_hu 故障排查
    nginx与php的WEB常见问题排查nginx与php的WEB常见问题一般的排查方法有:检查error_log,检查access_log,使用strace查看系统调用,tcpdump分析网络状况。而程序本身的问...id="cproIframe_u944267"width="250"height="250"src="http://pos.baidu.com/acom?adn=3&at=231&a
  • thrift协议抓包解析(tcpdump+wireshark or thrift-tool) struggle6688 常用技术
    目前thrift使用较多,所以我们可能会遇到线上查case或者想拉取一些具体请求的场景,这种需求下如果没有提前打日志就只能通过抓包来分析了。一、tcpdump+wireshark抓包第一反应就是通过tcpdump命令来抓取,其中比较常用的命令就是sudotcpdump-iany-Xvvdstport11311andtcp这种情况下的包通常都是二进制的格式,通过-Xvv也就能展现成这个样子:当然我们
  • Wireshark不显示Thrift协议 cuijiecheng2018 网络/服务器wireshark网络
    使用Wireshark对thrift协议进行抓包,但是只显示了传输层的tcp协议:"右键"->"DecodeAs"选择thrift的tcp端口将“当前”修改为Thrift,然后点击“确定”设置后,可以发现Wireshark里面显示的协议从Tcp变为Thrift了参考:《thrift协议抓包解析(tcpdump+wiresharkorthrift-tool)》《pinterest/thrift-to
  • android 随手记代码,随手记之Android网络调试简要记录 徐志鹄 android随手记代码
    最近一段时间,移动2G/3G客户端连接成功率不高,着实让人头疼。说是Android网络调试,其实也不过是在被ROOT后Android系统操作,使用adbshell执行一些常规的终端命令,检测2G/3G/4G/WIFI网络等,进而确定一些因网络等导致的问题而已。但adbshell默认没有几个支持的命令,比如cat,tcpdump,这些都是最基本的必备命令,也不支持。对于想要查看网络请求有几次跳转,不
  • 【性能优化】在容器环境使用 tcpdump 抓包 熊本极客
    1.tcpdump使用简介$tcpdump-htcpdumpversion4.9.3libpcapversion1.9.1(withTPACKET_V3)OpenSSL1.1.1f31Mar2020Usage:tcpdump[-aAbdDefhHIJKlLnNOpqStuUvxX#][-Bsize][-ccount][-Cfile_size][-Ealgo:secret][-Ffile][-Gse
  • arping交叉编译 adgentleman arpinglibpcaplibnet交叉编译
    arping命令依赖libpcap和libnet,需要先交叉编译这两个库。1.交叉编译libpcap下载libpcap源文件,从github上克隆:gitclonehttps://github.com/the-tcpdump-group/libpcap.gitsource交叉编译环境#environment-setup是本机的交叉编译环境,里面指定了CCCXX等,这里需要改成你自己的sourcee
  • 记一次接口测试分享 迈阿密小白
    前言5月初的时候,接到上头需求,要求5月底做一次接口测试分享,不巧5月最后10天需求特别多,所以就在加班空隙写了一个稿子,如下文。有点简单,只是一个概要,大部分语言还是自己组织,中间顺便写了几个demo,大概花了一个多小时,最终也算顺利分享完成。常用抓包工具开发者工具F12wiresharkfiddlerburpsuitecharles(选用)tcpdumpmitmproxy接口分析URL请求地址
  • 在容器外通过tcpdump对容器内的网络抓包方法 Renduy 网络tcpdump测试工具
    步骤查containerid,docker的话差不多[root@master1~]#crictlps|grephaproxy5bb56c09211822e29f1a5b65d918hoursagoRunninghaproxy0b173c3f984643haproxy-deployment-587cf97455-7xx7b根据containerid查找pid(docker可以用dockerinspe
  • 小记录:tcpdump的常用命令 见牛羊 随手一记tcpdumplinux测试工具
    工作中用到的,随手记录一下:#基本的抓包命令,从eth0抓取,保存到xxx.pcaptcpdump-ieth0-wxxx.pcap#可以按照协议抓取,如udp,ip,arp等tcpdump-ieth0iptcpdump-ieth0udptcpdump-ieth0arp#抓取源ip或目的ip的包tcpdump-ieth0srchost10.10.10.10tcpdump-ieth0dsthost10
  • Linux 配置路由转发功能测试 石小千 linux网络运维
    测试Linux配置路由转发功能。参考手把手带你将Linux主机配置为静态路由器tcpdump详解&实战环境操作系统Centos7.9网络环境1.三台主机的网卡enp0s5均在10.211.55.0/24网段,且网络可以通讯centos7-18的IP10.211.55.18,作为路由服务端centos7-10的IP10.211.55.10,作为子网连接端centos7-22的IP10.211.55.
  • IEC104 S帧超时判定客户与服务端不匹配造成的异常链接问题分析 chinaye1 java开发语言
    2、通过ss命令发现确有链接端口变化,与设备约一天一次的重连,通过抓包(tcpdump-vvv-nnport1001-w0926.cap)分析得以下现象2.1、异常情况时未对设备的I帧均匀的回S帧进行确认,正常情况时均匀的回S帧进行确认2.2、长达23秒的缓存区满2.3、发送报文中接收帧序列号错误结论:该IEC104设备未关注暂无影响不明原因链接断开2.5、链接短时不稳定有多次各种原因的关闭与重连
  • UDP包导致大量ARP报文的问题处理 luc_cj 实时数据库ARPUDP
    现象:监控系统中需要采用轮寻udp包的方式,对系统配置内的节点发送UDP包,并根据返回的UDP报文确定目标节点的状态。测试环境中未发现异常,但在实际工程应用时发现使用节点判断功能后,交换机出现故障报警,tcpdump观察发现大量的ARP报文,最终导致网络处理速度较慢的现地设备出现网络异常。UDP与ARP的关系:在《TCP/IP详解卷2:实现》21章ARP:地址解析协议中,找到相关的描述:当某主机要
  • Linux 网络配置及基础服务 Beloved Susu linux网络运维
    目录一.查看网络配置信息的相关命令1.1ifconfig命令作用1:作用2:拓展:1.2ip/ethtool命令1.3hostname命令1.4route命令1.5netstat命令1.6ss(socketstatistics)命令1.7ping命令1.8traceroute命令1.9nslookup命令1.10scp命令1.11tcpdump命令二.永久修改网络相关配置文件2.1网络接口配置文件
  • [Tcpdump] 网络抓包工具使用教程 积步千里 网络抓包工具tcpdump测试工具网络
    往期回顾海思tcpdump移植开发详解海思tcpdump移植开发详解前言上一节,我们已经讲解了在海思平台如何基于静态库生成tcpdump工具,本节将作为上一节的拓展内容。一、tcpdump简介「tcpdump」是一款强大的网络抓包工具,它基于libpcap库来抓取网络数据包。对于研究网络数据包的人来说应该不陌生,它的优点就是易安装、易使用、灵活轻便,只要简单的几个指令、参数就可以指定网卡来抓取网络
  • centos7 下安装libpcap 兮追儿 网络c++计算机网络
    网络抓包工具底层都是使用libpcap设置过滤表达式来接收响应包。本文主要介绍Centos7下libpcap及简单抓包使用1.源码下载:https://www.tcpdump.org/2.tar-xvflibpcap-1.9.1.tar.gz3.进入libpcap目录:cdlibpcap-1.9.1/4…/configure5.Make6.Makeinstall
  • 第六周作业 卫清华
    1、100.0.0.16/28对应网段的网关地址、广播地址、可分配IP地址范围(1).网关地址:默认为最大Ip地址100.0.0.254(2).广播地址:100.0.0.255(3).可用ip段:100.0.0.241-2542、使用man手册学习tcpdump的使用tcpdump网络抓包工具-iens33指定网卡,默认为本地卡-tnn不显示时间戳,且以ip及端口显示-c抓包次数,省略不写将一直持
  • TCPDUMP的shell小脚本 努力学习小十二 tcpdumpgolang测试工具centos
    代码在下面具体思路如下:用户会输入指令,如网卡(ens33),数量(300)等我们需要输出提示:如请输入网卡名,请输入数量等指令需要和选项结合在一起,如网卡前面要加-i,数量前面要加-c等所以,创建func数组,搜集用户输入的指令创建prompt数组,输入我们要给出的提示创建option数组,输入用户指令前面的选项创建常数conditionnum,设置为我们要写入的条件个数最后创建FUNC数组,目
  • tcpdump 抓包无法落盘 智驾 智驾域控tcpdump测试工具网络
    文章目录问题背景解决办法问题背景在嵌入式设备中(Linux系统),为了分析两个网络节点的通讯问题,往往需要用到tcpdump,抓一个.pcap的包在PC端进行分析。博主在实际操作中发现,抓包无法实时落盘。解决办法#下面的命令是写在启动脚本后者是一个单独的脚本中的命令tcpdump-ieth0-nnAX'dsthost192.168.1.10andport50081'-w/userdata/tcpd
  • tcpdump在手机上的使用 babytiger linux运维服务器
    首先手机得root才可以,主要分析手机与手机的通信协议我使用的是一加9pro,root方法参考一加全能盒子、一加全能工具箱官方网站——大侠阿木(daxiaamu.com)https://optool.daxiaamu.com/index.phptcpdump,要安装在/data/local/tmp下要arm64的版本,参考下面的文章安卓使用tcpdump抓包_tcpdump下载-CSDN博客adb
  • 【tcpflow】tcpflow:Linux上分析和调试网络流量的利器 Bogon
    大家都知道tcpdump是一个很方便的抓包工具,但是tcpdump是以包为单位进行输出的,阅读起来不是很方便。而tcpflow是面向TCP流的,每个TCP传输会保存成一个文件。所以一个典型的TCP会话会产生两个文件,每个方向产生一个文件。此外,tcpflow还可以解析tcpdump保存的文件。tcpflow实际上也是一个抓包工具,这个抓包工具与tcpdump不同的是它是以流为单位显示数据内容,而c
  • Nginx负载均衡 510888780 nginx应用服务器
    Nginx负载均衡一些基础知识: nginx 的 upstream目前支持 4 种方式的分配 1)、轮询(默认)       每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。 2)、weight       指定轮询几率,weight和访问比率成正比
  • RedHat 6.4 安装 rabbitmq bylijinnan erlangrabbitmqredhat
    在 linux 下安装软件就是折腾,首先是测试机不能上外网要找运维开通,开通后发现测试机的 yum 不能使用于是又要配置 yum 源,最后安装 rabbitmq 时也尝试了两种方法最后才安装成功 机器版本: [root@redhat1 rabbitmq]# lsb_release LSB Version: :base-4.0-amd64:base-4.0-noarch:core
  • FilenameUtils工具类 eksliang FilenameUtilscommon-io
    转载请出自出处:http://eksliang.iteye.com/blog/2217081 一、概述 这是一个Java操作文件的常用库,是Apache对java的IO包的封装,这里面有两个非常核心的类FilenameUtils跟FileUtils,其中FilenameUtils是对文件名操作的封装;FileUtils是文件封装,开发中对文件的操作,几乎都可以在这个框架里面找到。 非常的好用。
  • xml文件解析SAX 不懂事的小屁孩 xml
    xml文件解析:xml文件解析有四种方式, 1.DOM生成和解析XML文档(SAX是基于事件流的解析) 2.SAX生成和解析XML文档(基于XML文档树结构的解析) 3.DOM4J生成和解析XML文档 4.JDOM生成和解析XML 本文章用第一种方法进行解析,使用android常用的DefaultHandler import org.xml.sax.Attributes;
  • 通过定时任务执行mysql的定期删除和新建分区,此处是按日分区 酷的飞上天空 mysql
    使用python脚本作为命令脚本,linux的定时任务来每天定时执行 #!/usr/bin/python # -*- coding: utf8 -*- import pymysql import datetime import calendar #要分区的表 table_name = 'my_table' #连接数据库的信息 host,user,passwd,db =
  • 如何搭建数据湖架构?听听专家的意见 蓝儿唯美 架构
    Edo Interactive在几年前遇到一个大问题:公司使用交易数据来帮助零售商和餐馆进行个性化促销,但其数据仓库没有足够时间去处理所有的信用卡和借记卡交易数据  “我们要花费27小时来处理每日的数据量,”Edo主管基础设施和信息系统的高级副总裁Tim Garnto说道:“所以在2013年,我们放弃了现有的基于PostgreSQL的关系型数据库系统,使用了Hadoop集群作为公司的数
  • spring学习——控制反转与依赖注入 a-john spring
           控制反转(Inversion of Control,英文缩写为IoC)是一个重要的面向对象编程的法则来削减计算机程序的耦合问题,也是轻量级的Spring框架的核心。 控制反转一般分为两种类型,依赖注入(Dependency Injection,简称DI)和依赖查找(Dependency Lookup)。依赖注入应用比较广泛。  
  • 用spool+unixshell生成文本文件的方法 aijuans xshell
    例如我们把scott.dept表生成文本文件的语句写成dept.sql,内容如下:   set pages 50000;   set lines 200;   set trims on;   set heading off;   spool /oracle_backup/log/test/dept.lst;   select deptno||','||dname||','||loc
  • 1、基础--名词解析(OOA/OOD/OOP) asia007 学习基础知识
    OOA:Object-Oriented Analysis(面向对象分析方法) 是在一个系统的开发过程中进行了系统业务调查以后,按照面向对象的思想来分析问题。OOA与结构化分析有较大的区别。OOA所强调的是在系统调查资料的基础上,针对OO方法所需要的素材进行的归类分析和整理,而不是对管理业务现状和方法的分析。   OOA(面向对象的分析)模型由5个层次(主题层、对象类层、结构层、属性层和服务层)
  • 浅谈java转成json编码格式技术 百合不是茶 json编码java转成json编码
    json编码;是一个轻量级的数据存储和传输的语言       在java中需要引入json相关的包,引包方式在工程的lib下就可以了   JSON与JAVA数据的转换(JSON 即 JavaScript Object Natation,它是一种轻量级的数据交换格式,非   常适合于服务器与 JavaScript 之间的数据的交
  • web.xml之Spring配置(基于Spring+Struts+Ibatis) bijian1013 javaweb.xmlSSIspring配置
    指定Spring配置文件位置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring-dao-bean.xml,/WEB-INF/spring-resources.xml, /WEB-INF/
  • Installing SonarQube(Fail to download libraries from server) sunjing InstallSonar
    1.  Download and unzip the SonarQube distribution 2.  Starting the Web Server The default port is "9000" and the context path is "/". These values can be changed in &l
  • 【MongoDB学习笔记十一】Mongo副本集基本的增删查 bit1129 mongodb
    一、创建复本集   假设mongod,mongo已经配置在系统路径变量上,启动三个命令行窗口,分别执行如下命令:   mongod --port 27017 --dbpath data1 --replSet rs0 mongod --port 27018 --dbpath data2 --replSet rs0 mongod --port 27019 -
  • Anychart图表系列二之执行Flash和HTML5渲染 白糖_ Flash
    今天介绍Anychart的Flash和HTML5渲染功能   HTML5 Anychart从6.0第一个版本起,已经逐渐开始支持各种图的HTML5渲染效果了,也就是说即使你没有安装Flash插件,只要浏览器支持HTML5,也能看到Anychart的图形(不过这些是需要做一些配置的)。 这里要提醒下大家,Anychart6.0版本对HTML5的支持还不算很成熟,目前还处于
  • Laravel版本更新异常4.2.8-> 4.2.9 Declaration of ... CompilerEngine ... should be compa bozch laravel
    昨天在为了把laravel升级到最新的版本,突然之间就出现了如下错误: ErrorException thrown with message "Declaration of Illuminate\View\Engines\CompilerEngine::handleViewException() should be compatible with Illuminate\View\Eng
  • 编程之美-NIM游戏分析-石头总数为奇数时如何保证先动手者必胜 bylijinnan 编程之美
    import java.util.Arrays; import java.util.Random; public class Nim { /**编程之美 NIM游戏分析 问题: 有N块石头和两个玩家A和B,玩家A先将石头随机分成若干堆,然后按照BABA...的顺序不断轮流取石头, 能将剩下的石头一次取光的玩家获胜,每次取石头时,每个玩家只能从若干堆石头中任选一堆,
  • lunce创建索引及简单查询 chengxuyuancsdn 查询创建索引lunce
    import java.io.File; import java.io.IOException; import org.apache.lucene.analysis.Analyzer; import org.apache.lucene.analysis.standard.StandardAnalyzer; import org.apache.lucene.document.Docume
  • [IT与投资]坚持独立自主的研究核心技术 comsci it
           和别人合作开发某项产品....如果互相之间的技术水平不同,那么这种合作很难进行,一般都会成为强者控制弱者的方法和手段.....        所以弱者,在遇到技术难题的时候,最好不要一开始就去寻求强者的帮助,因为在我们这颗星球上,生物都有一种控制其
  • flashback transaction闪回事务查询 daizj oraclesql闪回事务
       闪回事务查询有别于闪回查询的特点有以下3个: (1)其正常工作不但需要利用撤销数据,还需要事先启用最小补充日志。 (2)返回的结果不是以前的“旧”数据,而是能够将当前数据修改为以前的样子的撤销SQL(Undo SQL)语句。 (3)集中地在名为flashback_transaction_query表上查询,而不是在各个表上通过“as of”或“vers
  • Java I/O之FilenameFilter类列举出指定路径下某个扩展名的文件 游其是你 FilenameFilter
    这是一个FilenameFilter类用法的例子,实现的列举出“c:\\folder“路径下所有以“.jpg”扩展名的文件。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
  • C语言学习五函数,函数的前置声明以及如何在软件开发中合理的设计函数来解决实际问题 dcj3sjt126com c
    # include <stdio.h> int f(void) //括号中的void表示该函数不能接受数据,int表示返回的类型为int类型 { return 10; //向主调函数返回10 } void g(void) //函数名前面的void表示该函数没有返回值 { //return 10; //error 与第8行行首的void相矛盾 } in
  • 今天在测试环境使用yum安装,遇到一个问题: Error: Cannot retrieve metalink for repository: epel. Pl dcj3sjt126com centos
    今天在测试环境使用yum安装,遇到一个问题: Error: Cannot retrieve metalink for repository: epel. Please verify its path and try again   处理很简单,修改文件“/etc/yum.repos.d/epel.repo”, 将baseurl的注释取消, mirrorlist注释掉。即可。 &n
  • 单例模式 shuizhaosi888 单例模式
    单例模式      懒汉式 public class RunMain { /** * 私有构造 */ private RunMain() { } /** * 内部类,用于占位,只有 */ private static class SingletonRunMain { priv
  • Spring Security(09)——Filter 234390216 Spring Security
    Filter 目录 1.1     Filter顺序 1.2     添加Filter到FilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainProxy 1.5
  • 公司项目NODEJS实践0.1 逐行分析JS源代码 mongodbnginxubuntunodejs
      一、前言         前端如何独立用nodeJs实现一个简单的注册、登录功能,是不是只用nodejs+sql就可以了?其实是可以实现,但离实际应用还有距离,那要怎么做才是实际可用的。         网上有很多nod
  • java.lang.Math liuhaibo_ljf javaMathlang
    System.out.println(Math.PI); System.out.println(Math.abs(1.2)); System.out.println(Math.abs(1.2)); System.out.println(Math.abs(1)); System.out.println(Math.abs(111111111)); System.out.println(Mat
  • linux下时间同步 nonobaba ntp
    今天在linux下做hbase集群的时候,发现hmaster启动成功了,但是用hbase命令进入shell的时候报了一个错误  PleaseHoldException: Master is initializing,查看了日志,大致意思是说master和slave时间不同步,没办法,只好找一种手动同步一下,后来发现一共部署了10来台机器,手动同步偏差又比较大,所以还是从网上找现成的解决方
  • ZooKeeper3.4.6的集群部署 roadrunners zookeeper集群部署
    ZooKeeper是Apache的一个开源项目,在分布式服务中应用比较广泛。它主要用来解决分布式应用中经常遇到的一些数据管理问题,如:统一命名服务、状态同步、集群管理、配置文件管理、同步锁、队列等。这里主要讲集群中ZooKeeper的部署。   1、准备工作 我们准备3台机器做ZooKeeper集群,分别在3台机器上创建ZooKeeper需要的目录。   数据存储目录
  • Java高效读取大文件 tomcat_oracle java
      读取文件行的标准方式是在内存中读取,Guava 和Apache Commons IO都提供了如下所示快速读取文件行的方法:   Files.readLines(new File(path), Charsets.UTF_8);   FileUtils.readLines(new File(path));   这种方法带来的问题是文件的所有行都被存放在内存中,当文件足够大时很快就会导致
  • 微信支付api返回的xml转换为Map的方法 xu3508620 xmlmap微信api
    举例如下: <xml>    <return_code><![CDATA[SUCCESS]]></return_code>    <return_msg><![CDATA[OK]]></return_msg>    <appid><
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他