网络工程 - TCPDUMP 输出分析 - 吾爱随笔录

TCPDUMP 输出分析

网络工程多播包分析转储

2021-07-15 12:28:32

我在主干上运行以下命令来监控多播流量。我是 tcpdump 用法的新手，正在寻找一些帮助：

sudo tcpdump -i eth1 -n -p multicast

我看到这样的输出 - 这只是其中的一部分。我真的不知道如何解释这个输出。有人可以透露一些信息吗？我看到的前几行似乎是正常的流量，但后来我看到了其余的行，我不知道该怎么做。为什么它只显示ARP？对不起，如果其中一些问题看起来很基本。先感谢您。

22:18:22.038264 ARP, Request who-has 10.147.0.62 tell 10.147.0.64, length 46
22:18:22.244856 ARP, Request who-has 10.147.0.64 tell 10.147.0.61, length 46
22:18:22.245149 ARP, Request who-has 10.147.0.61 tell 10.147.0.64, length 46
22:18:22.888851 b4:99:ba:02:18:66 > Broadcast, ethertype Unknown    (0xcafe), length 90:
        0x0000:  0500 0100 0900 0000 0100 ffff 0c00 0002  ..... ...........
        0x0010:  4c00 0000 0000 0000 8300 0080 0000 0000  L...............
       0x0020:  0000 0000 4a59 7a55 ffff ffff 0000 0000  ....JYzU........
       0x0030:  8002 c000 0620 b499 ba02 1866 0103 0300  ...........f....
       0x0040:  0101 0402 515d 7303 7cda ca52            ....Q]s.|..R
       22:18:22.888860 b4:99:ba:02:18:66 > Broadcast, ethertype Unknown (0xcafe), length 90:
        0x0000:  0500 0100 0961 0200 0100 ffff 0c00 3a02  .....a........:.
        0x0010:  4c00 0000 0000 0000 8300 0080 0000 0000  L...............
        0x0020:  0000 0000 4a59 7a55 ffff ffff f74a 1789  ....JYzU.....J..
        0x0030:  5010 c000 0614 b499 ba02 1866 0a0a 0a00  P..........f....
        0x0040:  0101 0402 0000 0000 7cda ca52            ........|..R

2个回答

有关如何解释 tcpdump 输出的基本信息可以在 tcpdump 手册页中找到。只需man tcpdump在您的机器上做并阅读（并做一些笔记，那里有很多东西）。接下来，您可能会发现 google 和 querytcpdump tutorial很有帮助，同样 - tcpdump 显示的许多信息将是特定于协议的。几个不错的介绍性教程：

您可能还会发现 Wireshark，这是一个基于 tcpdump 基础的 GUI 工具，是日常工作中使用的好资源，也是协议解码的基础参考。

回答您的具体问题：为什么您要尝试在此特定节点上监视多播？如果您想监控网络核心中的多播，您应该 SPAN/RSPAN 您到该主机的流量，然后使用喜欢的工具嗅探它 - 无论是 tcpdump。如果那是您所连接的交换网络，您将几乎看不到任何多播数据包 - 您的站没有（默认情况下）成为所有多播流量的活动目的地的方法，除非它注册成为它（这需要额外的工作，除了单独运行嗅探器）。

TCP/IP Illustrated 的第一版也很有帮助。您还可以了解协议及其行为。

一个例子 -

1023873914.125606 fulton.ssh > spider.1145: P 3066603742:3066603806(64) ack 1646168

4510 0068 7e87 4000 4006 3862 c0a8 011e

c0a8 0128 0016 0479 b6c8 a8de 621e 87db

1023873914.125606

是数据包遇到我们网卡的时间（不是数据包的一部分）

fulton.ssh > 蜘蛛.1145

是发生通信的源和源端口以及目的和目的端口

磷

是 TCP 标志

3066603742:3066603806

是字节序列/范围

典型的 IP 报头长度为 20 个字节，而 TCP 则为另外 20 个字节。十六进制中的 2 位数字相当于一个字节。所以这意味着标题位于十六进制的前 20 个块内。

c0 = (12 x 16) + (0 x 1) = 192

a8 = (10 x 16) + (8 x 1) = 168

01 = ( 0 x 16) + (1 x 1) = 1

28 = ( 2 x 16) + (8 x 1) = 40

有关更多详细信息，请查看此链接。

http://neerci.ist.utl.pt/neerci_shelf/LEIC/3%20Ano/1%20Semestre/Redes%20de%20Computadores/Laboratorios/2009%20-%202010/understanding_tcpdump.pdf

其它你可能感兴趣的问题

上一篇跟踪路由探针下一篇如何找到交换机的IP地址