网络排查案例课
杨胜辉
eBay 资深运维专家,流量系统负责人
22781 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
课程目录
已完结/共 39 讲
实战三:不用抓包就能做的网络排查篇 (2讲)
网络排查案例课
15
15
1.0x
00:00/00:00
登录|注册

25 | 抓包分析的回顾、拾遗,和提高

抓包文件过滤 -r, -w
端口限定 port
IP限定 host, dst host, src host
报文长度 -s
禁止DNS查询 -n
详细信息 -v, -vv, -vvv
网络接口 -i
LB前后不同TCP连接的抓包文件
同一TCP流的不同端抓包文件
预估 -> 抓包 -> 问题重现 -> 停止抓包 -> 分析
调查整数值背后原因
对比两侧抓包文件
分析TCP流
关注可疑报文
查看Expert Information
客户端直接访问服务端
tcp.analysis类过滤器 tcp.analysis
时间匹配 frame.time
TCP标志位 tcp.flags
匹配二进制数据 contains
匹配字符串 contains
TCP Zero Window
TCP Window Full
时间信息
自定义列
Follow TCP Stream
Expert Information
合并TLS key文件
修改报文长度
获取抓包文件整体信息
直接抓包 -i, -w
统计TCP重传包数量
查看TCP初始往返时间
展示特定TCP流报文
解析HTTP事务耗时
统计HTTP状态码
过滤条件
基础参数
tshark命令过滤DupAck
TCP Zero Window持续状态
对比分析
偶发性问题
整数值
抓包分析思路
逐段测试法
过滤器
TCP提示解读
解读技巧
editcap
capinfos
tshark
tcpdump
思考题
排查技巧
Wireshark技巧
抓包工具技巧
抓包分析的回顾、拾遗,和提高

该思维导图由 AI 生成,仅供参考

你好,我是胜辉。
在完成了三个实战模块之后,我们已经把三层以上,也就是网络层、传输层、应用层等的排查技术都比较完整地学习了一遍。在二十多节课里,我们学习了对 TCP 的各种行为,比如握手、挥手、拥塞、重传等行为进行排查的技巧,也对 tcpdump 和 Wireshark 进行了深度使用。
除了这些技巧以外,我们更是在 TLS 加解密和应用层 HTTP 协议等理论知识方面,做了不少深入的研究。我想,很多工具的使用技巧、案例的排查思路已经在我们的脑海中回荡,那么如果我们来一次系统性的总结和提高,对我们的学习效果一定是一种更大的促进。
所以在这节课里,我们就来对过去的二十多讲进行一次回顾、总结和提高吧。

tcpdump 和 tshark 等命令行工具的技巧

tcpdump 是我们用得最多的抓包工具,其中的基本技巧可以汇总为以下几个方面。

tcpdump

我们做抓包,一般都需要指定过滤条件,这样才能保证对系统的 CPU、内存、硬盘等资源不产生过大的影响。这里说的过滤条件又分基础参数和真正的过滤条件,我们分别来看一下。

基础参数

这类基础参数可能不算是用来过滤报文本身的参数,它们一般用于指定抓包的网口、报文长度等等。我们来逐个看一下。
要限定网络接口,可以用 -i 参数。比如:
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

抓包分析工具的使用技巧和功能是网络技术人员必备的重要知识。本文深入介绍了tcpdump、tshark和Wireshark等命令行工具的技巧和功能。对于tcpdump,详细总结了基础参数、过滤条件的使用技巧,以及网络接口限定、详细信息展示、DNS查询影响避免等内容。针对tshark,展示了统计HTTP状态码、解析HTTP事务耗时、查看TCP初始往返时间等功能。此外,还提及了capinfos和editcap工具的使用。对于Wireshark,文章强调了其重要性,并提及了学习者可能的困惑和进步,同时简要回顾了相关技巧。此外,还介绍了Wireshark的解读技巧、TCP提示的解读、TCP传输状况信息、Wireshark过滤器以及排查技巧。文章还提到了对比分析的重要性,以及对偶发性问题的处理策略。总的来说,本文内容涵盖了抓包分析工具的使用技巧和功能,对于网络技术人员进行抓包分析有一定的指导意义。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《网络排查案例课》
新⼈⾸单¥59
立即购买
登录 后留言

全部留言(6)

  • 最新
  • 精选
  • 追风筝的人
    老师最后总结的4张图 太赞了 这就是个工具箱 里面很多工具和方法

    作者回复: 谢谢一路的支持:)

    2022-04-06
    6
  • 那时刻
    老师的思维导图不错,果断收藏之。 好奇一个问题,wireshark里的Time Sequence (Stevens) 这里stevens指的是 Richard Stevens么?

    作者回复: 是他,TCP/IP三卷以及UNIX网络编程两卷的作者,真正的大师~

    2022-04-01
    3
    1
  • 那时刻
    第一个思考题,我查了下文档 rfc6429。zero window probing needs to be supported to prevent a connection from hanging forever if ACK segments that re-open the window are lost. 通信另外一段需要zero window probing,来保持连接状态,避免链接hang,另外发送 TCP Zero Window 的端可以处理Ack报文的。

    作者回复: 对的,TCP里设计了zero window probe timer,可以避免我说的问题~

    2022-04-01
  • piboye
    我要打印出来, 慢慢看😊
    2022-08-07归属地:广东
    1
    1
  • Geek_93970d
    tshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -Y tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"
    2023-04-06归属地:北京
  • Geek_93970d
    tshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -e tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"
    2023-04-06归属地:北京
收起评论
显示
设置
留言
6
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部