Linux抓包总结

浏览数:22 / 时间:2015年06月20日

一、端口信息

方法:使用netstat,得知你所关心进程的监听端口,或者某一个端口的使用情况 

[root@imsv-test mpf]# netstat -pan | grep csm
tcp        0      0 0.0.0.0:6801                0.0.0.0:*                   LISTEN      7417/csm    ---监听端口          
tcp        0      0 192.168.12.223:33004        192.168.5.186:3311          ESTABLISHED 7417/csm    ---数据库链接
tcp        0      0 192.168.12.223:33003        192.168.5.186:3311          ESTABLISHED 7417/csm            
tcp        0      0 192.168.12.223:33002        192.168.5.186:3311          ESTABLISHED 7417/csm            
tcp        0      0 192.168.12.223:6801         192.168.5.220:2845          ESTABLISHED 7417/csm    ---与im客户端的链接        
tcp        0      0 127.0.0.1:32994             127.0.0.1:6847              ESTABLISHED 7417/csm    ---与rooter的链接        
tcp        0      0 127.0.0.1:32998             127.0.0.1:6872              ESTABLISHED 7417/csm    ---与online的链接        
tcp        0      0 192.168.12.223:6801         192.168.5.220:2812          ESTABLISHED 7417/csm    ---与im客户端的链接      
[root@imsv-test mpf]# netstat -pan | grep mucsvr
tcp        0      0 127.0.0.1:32989             127.0.0.1:6847              ESTABLISHED 7416/mucsvr  --与rooter的链接       
tcp        0      0 127.0.0.1:32988             127.0.0.1:6847              ESTABLISHED 7416/mucsvr  --与rooter的链接       
[root@imsv-test mpf]# netstat -pan | grep online
tcp        0      0 0.0.0.0:6872                0.0.0.0:*                   LISTEN      7413/online  --监听端口       
tcp        0      0 192.168.12.223:33005        192.168.5.186:3311          ESTABLISHED 7413/online  --数据库链接       
tcp        0      0 127.0.0.1:6872              127.0.0.1:32998             ESTABLISHED 7413/online  --与csm的链接

注:

1)、其中,mucsvr与rooter建立了两条链接,不清楚原因。监听32989可以获取通信包,32988此端口没发现有数据通信。

2)、上面的信息是从12.223测试ImServer上获取,只作为参考。


二、抓包

方法:使用tcpdump,获取关心端口的数据包,并输出到文件 

执行命令:tcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.cap

注释:

  • port:你所关心的服务进程的端口
  • -i eth0:指定监听的网络接口。可以使用ifconfig获取网络配置,本机的通信网络配置是-i lo。
  • -s 0:获取全部数据包

默认的话 tcpdump 只显示部分数据包

参数 -s snaplen 就是控制这个的。默认是 68 字节

设成0的话 就是显示全部数据包

  • -w:输出文件

参考网址:http://tcpdump.anheng.com.cn/news/22/591.html

三、查看

方法:将包文件传到window机器上,使用EtherDetect查看通信包文件

操作步骤:嗅探器-->打开

四、附录 

12.223抓包语句:
tcpdump port 6872 -i lo -p -vv -s 0 -w online.cap  
tcpdump port 6847 -i lo -p -vv -s 0 -w router.cap
tcpdump port 6801 -i eth0 -p -vv -s 0 -w csm.cap
tcpdump port 32989 -i lo -p -vv -s 0 -w mucsvr.cap

*****抓包记录:
tcpdump host 218.28.15.98 -i eth1 -p -vv -s 0 -w fengyang.cap

使用SecureCRT,将通信包传到window机器
sz csm.cap mucsvr.cap online.cap router.cap

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。

标签: linux 抓包 通信 linux 抓包 通信

相关文章

随机文章

您可能还喜欢

您可能还喜欢