Capture de paquets tcpdump sous Linux

Lorsque l'entreprise s'est connectée au socket sous Linux, j'ai constaté que des erreurs étaient toujours signalées dans l'interface, j'ai donc étudié la capture de paquets sous Linux

tcpdump host #IP address# / /Obtenir les paquets telnet reçus ou envoyés par l'hôte 210.27.48.1

Principales options des paramètres tcpdump

-i : Spécifiez la carte réseau, la valeur par défaut est eth0
-n : IP en ligne, au lieu du nom d'hôte
-c : Spécifiez la capture de plusieurs packages et les lancer
-A : Contenu du package en ligne en mode ASCII. Cette option est utile pour les packages de protocole au format texte. .
-x : In 16 Afficher le contenu du paquet au format binaire
-vvv : afficher des informations détaillées
-s : intercepter les données en fonction de la longueur du paquet ; est supérieur à 60 octets, les données seront perdues lors de la capture du paquet ; nous définissons donc généralement -s 0 ; cela interceptera les données en fonction de la taille du paquet ; ce qui est capturé est la totalité des données du paquet
-r : Lire à partir du fichier [correspondant à -w, /usr/sbin/tcpdump - r test.out Lire tcpdump -w test.out】
-w : pointez sur les fichiers partout [doit utiliser, -w t.out, puis utilisez -r t.out pour voir les informations de capture du paquet, sinon elles seront lisibles. Très mauvais]

tcpmdump capture le paquet et analyse la signification spécifique du paquet .

Drapeau porté par le paquet : S : S=SYC : indicateur d'initiation de la connexion P : P=PUSH : indicateur de transfert de données F : F=FIN : indicateur de fermeture de connexion ack : indique le paquet de confirmation RST=RESET : fermeture anormale la connexion. Indique qu'il n'y a pas d'indicateur

Première ligne : S : Indique clinet.hostname Le port temporaire 50741 initie une connexion au port server.hostname 80. Le numéro de séquence de paquet initial du client est : 562843056. ; la taille de la fenêtre glissante (win 14480) est : 14480 [14k] La fenêtre glissante est la taille du tampon de réception TCP, utilisé pour le contrôle de la congestion TCP. 1460 : La longueur maximale des paquets pouvant être reçus, généralement MTU - ; 40 octets ; en-tête IP et en-tête TCP chacun 20 octets
Deuxième ligne : S : indique l'état SYN ; est server.hostname par rapport à la première ligne clinet.hostname. Réponse à la demande d'initiation d'une connexion en même temps, apportez celle du client ; numéro de séquence de paquet initial + 1 : ack 562843057, c'est-à-dire que server.hostname attendra de recevoir le paquet avec ce numéro de séquence de paquet la prochaine fois, qui est utilisé pour le contrôle de séquence du flux d'octets TCP (?). numéro de série du package : 2306923370
Troisième ligne : client.hostname Confirmez à nouveau que la connexion TCP a terminé la négociation à trois.
La quatrième ligne : P : push data client.hostname envoie un paquet de données à server.hostname via le port 50741 ; la taille du paquet de données est de 1005 octets ; la cinquième ligne indique que server.hostname répond à ce paquet de données en envoyant et en recevant. ce paquet de données. ----> Une fois terminé, un paquet server.hostname F apparaîtra pour fermer la connexion
La ligne 6 n'est pas capturée ici ----> La ligne 10 est une répétition des lignes 1 à 5 car La machine. est que le service Web est simultané.

Pour plus d'articles sur Linux, veuillez visiter la colonne Tutoriel Linux pour apprendre !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!