25 | 抓包分析的回顾、拾遗,和提高
杨胜辉
该思维导图由 AI 生成,仅供参考
你好,我是胜辉。
在完成了三个实战模块之后,我们已经把三层以上,也就是网络层、传输层、应用层等的排查技术都比较完整地学习了一遍。在二十多节课里,我们学习了对 TCP 的各种行为,比如握手、挥手、拥塞、重传等行为进行排查的技巧,也对 tcpdump 和 Wireshark 进行了深度使用。
除了这些技巧以外,我们更是在 TLS 加解密和应用层 HTTP 协议等理论知识方面,做了不少深入的研究。我想,很多工具的使用技巧、案例的排查思路已经在我们的脑海中回荡,那么如果我们来一次系统性的总结和提高,对我们的学习效果一定是一种更大的促进。
所以在这节课里,我们就来对过去的二十多讲进行一次回顾、总结和提高吧。
tcpdump 和 tshark 等命令行工具的技巧
tcpdump 是我们用得最多的抓包工具,其中的基本技巧可以汇总为以下几个方面。
tcpdump
我们做抓包,一般都需要指定过滤条件,这样才能保证对系统的 CPU、内存、硬盘等资源不产生过大的影响。这里说的过滤条件又分基础参数和真正的过滤条件,我们分别来看一下。
基础参数
这类基础参数可能不算是用来过滤报文本身的参数,它们一般用于指定抓包的网口、报文长度等等。我们来逐个看一下。
要限定网络接口,可以用 -i 参数。比如:
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
抓包分析工具的使用技巧和功能是网络技术人员必备的重要知识。本文深入介绍了tcpdump、tshark和Wireshark等命令行工具的技巧和功能。对于tcpdump,详细总结了基础参数、过滤条件的使用技巧,以及网络接口限定、详细信息展示、DNS查询影响避免等内容。针对tshark,展示了统计HTTP状态码、解析HTTP事务耗时、查看TCP初始往返时间等功能。此外,还提及了capinfos和editcap工具的使用。对于Wireshark,文章强调了其重要性,并提及了学习者可能的困惑和进步,同时简要回顾了相关技巧。此外,还介绍了Wireshark的解读技巧、TCP提示的解读、TCP传输状况信息、Wireshark过滤器以及排查技巧。文章还提到了对比分析的重要性,以及对偶发性问题的处理策略。总的来说,本文内容涵盖了抓包分析工具的使用技巧和功能,对于网络技术人员进行抓包分析有一定的指导意义。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《网络排查案例课》,新⼈⾸单¥59
《网络排查案例课》,新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(6)
- 最新
- 精选
- 追风筝的人老师最后总结的4张图 太赞了 这就是个工具箱 里面很多工具和方法
作者回复: 谢谢一路的支持:)
2022-04-066 - 那时刻老师的思维导图不错,果断收藏之。 好奇一个问题,wireshark里的Time Sequence (Stevens) 这里stevens指的是 Richard Stevens么?
作者回复: 是他,TCP/IP三卷以及UNIX网络编程两卷的作者,真正的大师~
2022-04-0131 - 那时刻第一个思考题,我查了下文档 rfc6429。zero window probing needs to be supported to prevent a connection from hanging forever if ACK segments that re-open the window are lost. 通信另外一段需要zero window probing,来保持连接状态,避免链接hang,另外发送 TCP Zero Window 的端可以处理Ack报文的。
作者回复: 对的,TCP里设计了zero window probe timer,可以避免我说的问题~
2022-04-01 - piboye我要打印出来, 慢慢看😊2022-08-07归属地:广东11
- Geek_93970dtshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -Y tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"2023-04-06归属地:北京
- Geek_93970dtshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -e tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"2023-04-06归属地:北京
收起评论