很多时候,开发或者产品不一定能给出很规范的接口或者相关文档,搞不好有些都只是通过口头传递信息,此时,我们就需要掌握独立抓包分析请求的方法,避免被动的等待,像我工作中就遇到过,请求时基于soap协议的,是一个硬件网关设备和平台的交换,一个事件就包含多次的交互,我就是利用抓包进行分析和模拟请求的。


1、核心思路

服务基本上都是部署在Linux上,在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。


2、tcpdump使用

tcpdump是一款非常强大的网络抓包工具,可以在网络问题的分析中提供很多有用的信息,适用场景丰富。tcpdump的使用简单易上手,它的命令格式如下:

 

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>]

[-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>]
[-vv][-w<数据包文件>][输出数据栏位]

其他常用参数的说明:

 

-c:指定要抓取的包数量。

-i:interface:指定tcpdump需要监听的接口。
-n:对地址以数字方式显式,否则显式为主机名,也就是说-n选项不做主机名解析。
-nn:除了-n的作用外,还把端口显示为数值,否则显示端口服务名。
-s: <数据包大小> 设置每个数据包的大小。
-N:不打印出host的域名部分。
-P:指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout",
     默认为"inout"。
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。
    对于要抓取的数据包较大时,长度设置不够可能会产生包截断。
-e:输出的每行中都将包括数据链路层头部信息,例如源MAC和目标MAC。
-q:快速打印输出。即打印很少的协议相关信息,从而输出行都比较简短。
-X:输出包的头部数据,会以16进制和ASCII两种方式同时输出。
-XX:输出包的头部数据,会以16进制和ASCII两种方式同时输出,更详细。
-v:当分析和打印的时候,产生详细的输出。
-vv:产生比-v更详细的输出。
-vvv:产生比-vv更详细的输出。
-w<数据包文件> 把数据包数据写入指定的文件。

常用关键字说明:

host(缺省类型): 指明一台主机

net: 指明一个网络地址

port: 指明端口号

src: 指定网络源地址

dst: 指定目标网络地址;


3、常见例子

下面举几个常见对例子,供大家参考。

1、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包。

tcpdump -i eth0 net 59.111.243.17

2、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包,且源端口号为80。

tcpdump –i eth0 net 59.111.243.17 and srcport 80

3、对网卡eth0进行抓包,并且只抓所有进入和离开网络地址59.111.243.17的包,抓包个数指定为10000个,并写入temp.pcap。

tcpdump -i eth0 net 59.111.243.17 -c 10000 -w temp.pcap

4、Sql语句是通过网络以文本方式传输到mysql服务器端的。因此我们完全也可以通过tcpdump这个工具把所有的sql语句捕获到。

tcpdump -i eth0 -A -s 3000 port 3306 -w sql.log

5、想要截获所有210.27.48.1的主机收到的和发出的所有的数据包,使用命令。

tcpdump host 210.27.48.1 

6、想要截获主机 210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令。

tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3) 

7、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令。

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

8、如果想要获取主机210.27.48.1接收或发出的telnet包,使用命令。

tcpdump tcp port 23 host 210.27.48.1

9、后台抓包, 控制台退出也不会影响,使用命令。

nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 

最后,只需要把导出来对cap包,放到Wireshark中分析即可,本文不做讲解。

更多其他测试内容都在公众号大话性能可以参考链接文末