TCPdump抓包及分析方法

2022-06-14 16:42:03 字數 2046 閱讀 5640

tcpdump, 丟包, 抓包

tcpdump是linux系統自帶的抓包工具,功能:

>抓進出linux伺服器的ip包

>抓下的ip包,可由wireshark等工具,解碼為udp和rtp包。

>抓下的ip包,可由wireshark等工具分析丟包情況

tcpdump是linux系統自帶的抓包工具, 需要root許可權才能執行。

//抓網絡卡eth2上所有進出的資料報,如果沒有資料報,則通常會抓到廣播包

「-s 0」指定抓的是完整的資料報,否則以64位元組截斷。對於mstu上的rtp抓包,這個引數會保留所有ts資料報,故重要。

設入向埠為11866,轉換為十六進製制,即是0x2e5a,所以:

其中, ether[36]和ether[37]為接收埠的16進製表示。

設出向埠為11866,轉換為十六進製制,即是0x2e5a,所以:

其中, ether[34]和ether[35]為傳送埠的16進製表示。

在抓包命令後加「-c 100」,它會滿100m後寫到下乙個新的檔案。直到磁碟滿。

在抓包命令最後麵再加乙個&,這樣可以後台一直抓。這樣的話,登入視窗可以關掉。你想停止抓包,則得用ps把程序殺死。

rtp包是否為關鍵幀的標識儲存在rtp擴充套件位中。wireshark檢視rtp包是否為關鍵幀。

00或者10: 普通幀

20或者30: 關鍵幀首包

40或者50: 關鍵幀中間包

80或者90: 關鍵幀尾包

注:以上判斷之所以有「或者」,是因為關鍵幀位只佔了3位元。

如果抓包為32倍速,要判斷時戳是否正常,則可以用抓包裡的:

(最大時戳-最小時戳)/90000/倍速=倍速**時常

例如:(709506270-490114260)/90000/32=76.17(秒)

然後可以檢視每二列的time是否約等於76秒。如果是,則是正常的。

注意,不同版本的wireshark操作有所區別,下文中所用版本為1.3.0

>確定埠號並轉換為16進製制。

>確定抓包的網口

>抓包並儲存結果到檔案

>解碼:用wireshark開啟結果檔案並解碼為ip,然後再解碼為rtp

>用wireshark檢視是否丟包

例如入向埠為11866,轉換為十六進製制,即是0x2e5a

mstu收發直播碼流是通過網口eth2或者eth3.

不指定儲存結果的檔案,直接在螢幕上看輸出,這種方法可確定是哪個網口收碼流

其中:-i eth2指定抓哪個網口

ether[kk]是指ip資料報的第kk個位元組。

ether[12]=0xff and ether[13]=0x09表示只抓來自mdu的資料報。

ether[34]和ether[35]為傳送埠的16進製表示。

ether[36]和ether[37]為接收埠的16進製表示。

-s表示抓下完整的rtp包,這樣可以分析ts流.

mstu2eth2_2e5a_為儲存抓包結果的檔案,會生成在當前目錄下。

用wireshark開啟結果檔案並解碼為ip,然後再解碼為rtp。方法如下:

隨意右鍵乙個資料報:

用wireshark檢視是否丟包

注意,如果丟包率顯示為負數,需要在下一節(4.2.6)來分析是否丟包。

如果丟包率為非0,則要看是丟了哪些資料報:

上圖中,」next non-ok」會跳到下次丟包的序號。

關於負值的丟包率:

如下圖所所。

這通常是tcpdump抓包工具因誤抓重複序號包造成的丟包假像。此時,要把lost rtp packets和sequence errors相加,如果為非0值,則是真丟包,否則不是丟包。如上圖中,-85+85=0,則表示實際上沒有丟包。

事實上,可以通過如下方法確認是否是重複序號包造成的統計失誤:

00或者10: 普通幀

20或者30: 關鍵幀首包

40或者50: 關鍵幀中間包

80或者90: 關鍵幀尾包

0x47 udp

0x80 標準rtp

0x90 擴充套件rtp

wireshark抓包分析實驗報告

若惜年1 實驗目的 1.學習安裝使用wireshark軟體,能在電腦上抓包。2.對抓出包進行分析,分析得到的報文,並與學習到的知識相互印證。2 實驗內容 使用抓包軟體抓取http協議通訊的網路資料和dns通訊的網路資料,分析對應的http tcp ip協議和dns udp ip協議。三 實驗正文 i...

計算機網路抓包分析實習報告

課程計算機網路 實驗名稱使用omnipeek軟體做抓包分析 專業班級資訊管理與資訊系統 姓名學號 實習日期 2013.5.27 2013.5.31 2013年5月29日 協議分析是網路工程師必須掌握的技能,本實驗使用omnipeek軟體對捕獲的網路資料報進行分析 熟悉基本協議的報文格式 了解協議的工...

藥用包材的市場銷售方案及分析

2011年是藥用包材行業發展過程中非常關鍵的一年,首先,從外部巨集觀環境來講,2011年是我國藥用包材行業 十二五 規劃的開始年,影響行業發展的新政策 新法規都將陸續出台。轉變經濟增長方式,嚴格的節能減排對藥用包材行業的發展都產生了深刻的影響,另外還有來自通貨膨脹 人民幣公升值 人力資源成本上公升等...