什么是命令行抓包过程中的名称解析(二)

原創 Nazarite_KakaLuoTo 2019-10-26 09:21

引言

这是有关网络协议的第二篇文章。

前一篇文章中,分享了tcpdump和tshark最基本的抓包,读取包等命令的使用,这篇文章将分享tcpdump和tshark在抓包过程中的IP解析和端口名称解析,这里涉及了部分抓包过程中端口过滤的知识,将在后续的博客中分享IP、协议、端口过滤的知识。

何为IP和端口的名称解析?

TShark和tcpdump默认会尝试将以数字表示的IP地址和端口转化成名称,例如80端口解析成http,以此来提高可读性。如果无法解析,则IP地址和端口会议数字形式输出。

示例代码

1. tcpdump代码示例

在tcpdump中,使用-n选项将禁用IP名称解析,使用-nn选项将会把端口解析也同时禁用。

请看下面的例子,先执行命令,然后访问一下百度,下面的例子抓取了69个包。

1) 命令行如下

tcpdump -i ens33 host 14.215.177.39 -w #抓取地址为百度的包
tcpdump -r packets.pcap -c1 #读取第一个包,启用IP和端口名称解析
tcpdump -nr packets.pcap -c1 #读取第一个包,禁用IP名称解析
tcpdump -nnr packets.pcap -c1 #读取第一个包,禁用IP和端口名称解析

2) 示例代码如下

[sunft@localhost ~]$ sudo su
[sudo] sunft 的密码:
[root@localhost sunft]# tcpdump -i ens33 host 14.215.177.39 -w packets.pcap
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
^C69 packets captured
69 packets received by filter
0 packets dropped by kernel
[root@localhost sunft]# tcpdump -r packets.pcap -c1
reading from file packets.pcap, link-type EN10MB (Ethernet)
20:34:47.918894 IP localhost.28983 > 14.215.177.39.http: Flags [S], seq 2245996041, win 29200, options [mss 1460,sackOK,TS val 652313 ecr 0,nop,wscale 7], length 0
[root@localhost sunft]# tcpdump -nr packets.pcap -c1
reading from file packets.pcap, link-type EN10MB (Ethernet)
20:34:47.918894 IP 192.168.248.134.28983 > 14.215.177.39.http: Flags [S], seq 2245996041, win 29200, options [mss 1460,sackOK,TS val 652313 ecr 0,nop,wscale 7], length 0
[root@localhost sunft]# tcpdump -nnr packets.pcap -c1
reading from file packets.pcap, link-type EN10MB (Ethernet)
20:34:47.918894 IP 192.168.248.134.28983 > 14.215.177.39.80: Flags [S], seq 2245996041, win 29200, options [mss 1460,sackOK,TS val 652313 ecr 0,nop,wscale 7], length 0
[root@localhost sunft]#

3) 图示解析
上面的命令行脚本可能看起来不那么直观,请看下面的截图,可以更直观的看出不加-n选项、加一个-n选项、和加两个-n选项有什么区别。
在这里插入图片描述
4) 结论

无-n选项:对IP和端口进行名称解析,无法解析显示成数字;
一个-n选项:禁用IP名称解析,启用端口名称解析;
两个选项:禁用IP和端口名称解析。

2. tshark代码示例

2.1 -n-N选项说明

与tcpdump不同,tshark禁用IP和端口解析的参数相对多一些,可以针对特定的网络层去禁用域名解析。

实际上windows和Linux平台都可以安装tshark,windows平台和Linux都需要安装Wireshark即可,Wireshark已经携带了tshark命令行工具,下面以windows 10和Linux来分析-n选项和-N选项的使用。

使用-n选项禁用所有名称解析。使用-N选项和相应的值,启用某层协议的名称解析,具体的例子请看下面的例子。

2.2 -n选项

请看下面的例子,先启动抓包命令,访问下百度。下面的例子返回114个包。

2.2.1 windows 10

1) 执行的命令

tshark -i 1 -f "dst port 80" -w packets.pcap #抓取目标为80(http默认端口)的端口
tshark -r packets.pcap -c10 #查看前10个包,启用名称解析
tshark -nr packets.pcap -c10 #查看前10个包,禁用名称解析

2) 示例代码如下
这里抓取目标端口为80的数据包。

I:\packet\other_packets>tshark -i 1 -f "dst port 80" -w packets.pcap
The NPF driver isn't running.  You may have trouble capturing or
listing interfaces.
Capturing on 'Ethernet'
114

I:\packet\other_packets>dir
 Volume in drive I is 学习
 Volume Serial Number is 0003-7EAF

 Directory of I:\packet\other_packets

2019/10/21  22:17    <DIR>          .
2019/10/21  22:17    <DIR>          ..
2019/10/21  22:17            25,820 packets.pcap
               1 File(s)         25,820 bytes
               2 Dir(s)  40,468,549,632 bytes free

查看前10个包,请分别仔细对比未加-n选项和加了-n选项输出的数据,发现下面的代码完全一致,这说明在window10上这里的禁用名称解析并没有起到作用。

I:\packet\other_packets>tshark -r packets.pcap -c10
    1   0.000000 192.168.1.101 → 42.236.37.119 TCP 54 61151 → 80 [ACK] Seq=1 Ack=1 Win=258 Len=0
    2   1.554508 192.168.1.101 → 140.206.78.133 TCP 66 49364 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    3   1.587997 192.168.1.101 → 140.206.78.133 TCP 54 49364 → 80 [ACK] Seq=1 Ack=1 Win=66048 Len=0
    4   1.598463 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]
    5   1.636806 192.168.1.101 → 140.206.78.133 HTTP 744 POST /cloudquery.php HTTP/1.1
    6   1.687702 192.168.1.101 → 140.206.78.133 TCP 54 49364 → 80 [ACK] Seq=975 Ack=592 Win=65536 Len=0
    7   1.687955 192.168.1.101 → 140.206.78.133 TCP 54 49364 → 80 [FIN, ACK] Seq=975 Ack=592 Win=65536 Len=0
    8   2.728984 192.168.1.101 → 140.206.78.133 TCP 66 49365 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    9   2.758943 192.168.1.101 → 140.206.78.133 TCP 54 49365 → 80 [ACK] Seq=1 Ack=1 Win=66048 Len=0
   10   2.768763 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]
I:\packet\other_packets>tshark -nr packets.pcap -c10
    1   0.000000 192.168.1.101 → 140.206.78.133 TCP 66 50967 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    2   0.039864 192.168.1.101 → 140.206.78.133 TCP 54 50967 → 80 [ACK] Seq=1 Ack=1 Win=66048 Len=0
    3   0.050252 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]
    4   0.087086 192.168.1.101 → 140.206.78.133 HTTP 744 POST /cloudquery.php HTTP/1.1
    5   0.134486 192.168.1.101 → 140.206.78.133 TCP 54 50967 → 80 [ACK] Seq=975 Ack=592 Win=65536 Len=0
    6   0.134864 192.168.1.101 → 140.206.78.133 TCP 54 50967 → 80 [FIN, ACK] Seq=975 Ack=592 Win=65536 Len=0
    7   0.343920 192.168.1.101 → 1.192.193.44 TCP 55 62532 → 80 [ACK] Seq=1 Ack=1 Win=509 Len=1
    8   1.150469 192.168.1.101 → 140.206.78.133 TCP 66 50968 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    9   1.184993 192.168.1.101 → 140.206.78.133 TCP 54 50968 → 80 [ACK] Seq=1 Ack=1 Win=66048 Len=0
   10   1.195384 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]

3) 结论

在windows平台,加-n选项与不加-n效果是一样的,-n选项并不能禁用名称解析。

2.2.2 CentOS 7

1) 执行的命令如下

tshark -r packets.pcap -c10
tshark -nr packets.pcap -c10

2) 示例代码如下

[root@localhost sunft]# tshark -r packets.pcap -c10
Running as user "root" and group "root". This could be dangerous.
  1          0 192.168.248.134 -> 14.215.177.39 TCP 74 28983 > http [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652313 TSecr=0 WS=128
  2          0 14.215.177.39 -> 192.168.248.134 TCP 60 http > 28983 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
  3          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > http [ACK] Seq=1 Ack=1 Win=29200 Len=0
  4          0 192.168.248.134 -> 14.215.177.39 HTTP 518 GET / HTTP/1.1 
  5          0 14.215.177.39 -> 192.168.248.134 TCP 60 http > 28983 [ACK] Seq=1 Ack=465 Win=64240 Len=0
  6          0 14.215.177.39 -> 192.168.248.134 HTTP 558 HTTP/1.1 302 Found  (text/html)
  7          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > http [ACK] Seq=465 Ack=505 Win=30016 Len=0
  8          0 192.168.248.134 -> 14.215.177.39 TCP 74 37906 > https [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652342 TSecr=0 WS=128
  9          0 14.215.177.39 -> 192.168.248.134 TCP 60 https > 37906 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
 10          0 192.168.248.134 -> 14.215.177.39 TCP 54 37906 > https [ACK] Seq=1 Ack=1 Win=29200 Len=0
[root@localhost sunft]# tshark -nr packets.pcap -c10
Running as user "root" and group "root". This could be dangerous.
  1          0 192.168.248.134 -> 14.215.177.39 TCP 74 28983 > 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652313 TSecr=0 WS=128
  2          0 14.215.177.39 -> 192.168.248.134 TCP 60 80 > 28983 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
  3          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > 80 [ACK] Seq=1 Ack=1 Win=29200 Len=0
  4          0 192.168.248.134 -> 14.215.177.39 HTTP 518 GET / HTTP/1.1 
  5          0 14.215.177.39 -> 192.168.248.134 TCP 60 80 > 28983 [ACK] Seq=1 Ack=465 Win=64240 Len=0
  6          0 14.215.177.39 -> 192.168.248.134 HTTP 558 HTTP/1.1 302 Found  (text/html)
  7          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > 80 [ACK] Seq=465 Ack=505 Win=30016 Len=0
  8          0 192.168.248.134 -> 14.215.177.39 TCP 74 37906 > 443 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652342 TSecr=0 WS=128
  9          0 14.215.177.39 -> 192.168.248.134 TCP 60 443 > 37906 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
 10          0 192.168.248.134 -> 14.215.177.39 TCP 54 37906 > 443 [ACK] Seq=1 Ack=1 Win=29200 Len=0

上述的例子查看前10个包,请分别仔细对比未加-n选项和加了-n选项的第7行数据,发现前者是http,后者是80。这说明在CentOS 7上这里的禁用名称解析起了作用。

3) 结论

通过以上对比分析-n选项在Windows 10不起作用,在CentOS 7起作用,禁用了端口和地址名称解析。

2.3 -N选项

如果使用-N选项,所有的名称解析都会被禁用,除非使用相应的值显示指定启用某层协议的名称解析。

可以和-N选项搭配使用的参数如下:

参数 说明
d DNS包启用地址解析
m 启用MAC地址解析
n 启用网络地址解析
N 网络地址解析使用外部解析器(例如DNS)
t 传输层端口数值解析
v 启用VLAN id来命名解析
2.3.1 widows 10示例

例一:下面的例子只启用传输层的地址解析
下面的例子会将传输层的端口转换成协议的形式,例如80使用http显示(HTTP基于TCP)。可以看到下面的代码中,原本的80被显示成http(80)的形式。

I:\packet\other_packets>tshark -r packets.pcap -Nt
    1   0.000000 192.168.1.101 → 140.206.78.133 TCP 66 50967 → http(80) [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    2   0.039864 192.168.1.101 → 140.206.78.133 TCP 54 50967 → http(80) [ACK] Seq=1 Ack=1 Win=66048 Len=0
    3   0.050252 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]
    4   0.087086 192.168.1.101 → 140.206.78.133 HTTP 744 POST /cloudquery.php HTTP/1.1
    5   0.134486 192.168.1.101 → 140.206.78.133 TCP 54 50967 → http(80) [ACK] Seq=975 Ack=592 Win=65536 Len=0
    6   0.134864 192.168.1.101 → 140.206.78.133 TCP 54 50967 → http(80) [FIN, ACK] Seq=975 Ack=592 Win=65536 Len=0
    7   0.343920 192.168.1.101 → 1.192.193.44 TCP 55 62532 → http(80) [ACK] Seq=1 Ack=1 Win=509 Len=1
    8   1.150469 192.168.1.101 → 140.206.78.133 TCP 66 50968 → http(80) [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1
    9   1.184993 192.168.1.101 → 140.206.78.133 TCP 54 50968 → http(80) [ACK] Seq=1 Ack=1 Win=66048 Len=0
   10   1.195384 192.168.1.101 → 140.206.78.133 TCP 338 POST /cloudquery.php HTTP/1.1  [TCP segment of a reassembled PDU]

例二:下面的例子启用传输层和Mac解析
下面的例子会将传输层的端口和Mac地址解析成名称。

[root@localhost sunft]# tshark -r packets.pcap -Ntm
2.3.2 CentOS 7示例

例一:下面的例子只启用传输层的地址解析
下面的例子会将传输层的端口转换成协议的形式,例如80使用http显示(HTTP基于TCP)。可以看到下面的代码中,原本的80被显示成http的形式。

[root@localhost sunft]# tshark -r packets.pcap -Nt
Running as user "root" and group "root". This could be dangerous.
  1          0 192.168.248.134 -> 14.215.177.39 TCP 74 28983 > http [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652313 TSecr=0 WS=128
  2          0 14.215.177.39 -> 192.168.248.134 TCP 60 http > 28983 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
  3          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > http [ACK] Seq=1 Ack=1 Win=29200 Len=0
  4          0 192.168.248.134 -> 14.215.177.39 HTTP 518 GET / HTTP/1.1 
  5          0 14.215.177.39 -> 192.168.248.134 TCP 60 http > 28983 [ACK] Seq=1 Ack=465 Win=64240 Len=0
  6          0 14.215.177.39 -> 192.168.248.134 HTTP 558 HTTP/1.1 302 Found  (text/html)
  7          0 192.168.248.134 -> 14.215.177.39 TCP 54 28983 > http [ACK] Seq=465 Ack=505 Win=30016 Len=0
  8          0 192.168.248.134 -> 14.215.177.39 TCP 74 37906 > https [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=652342 TSecr=0 WS=128
  9          0 14.215.177.39 -> 192.168.248.134 TCP 60 https > 37906 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
 10          0 192.168.248.134 -> 14.215.177.39 TCP 54 37906 > https [ACK] Seq=1 Ack=1 Win=29200 Len=0

例二:下面的例子启用传输层和Mac解析
下面的例子会将传输层的端口和Mac地址解析成名称。

[root@localhost sunft]# tshark -r packets.pcap -Ntm

结论

-N选项在Windows 10和CentOS 7都起了作用。

参考材料:
http://yenolam.com/writings/tshark.pdf
Practical Packet analysis, 3rd edition

欢迎关注我的技术公众号,一起学习技术!
个人技术微信公众号

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Oracle TNS 314 协议分析:一、方法论及基础知识

前言 Oracle 客戶端與服務端採用TNS作爲其數據交換協議。TNS全稱Transparent Network Substrate,是與Oracle數據庫服務器通訊的專有協議,該協議爲Oracle內部協議,不向外界公開,在此之前,已經有

yizhu2000 2020-07-08 09:39:07

Oracle TNS 314 协议分析:三、连接认证流程与包分析

Connect 流程 Client       Server 1 ------- Connect(01) -----> 獲取連接字符串 2 <----- Resend -------

yizhu2000 2020-07-08 09:39:05

Oracle TNS 314 协议分析:二、基础包结构

TNS包頭格式 每個數據都包含一個通用包頭,包含數據的長度、校驗和解析信息 Packet Header 8 通用包頭 Data 可變 數據 Packet Header Length 2 包的長度,包括通用

yizhu2000 2020-07-08 09:39:05

uClinux下Nor Flash的JFFS2文件系统构建

uClinux下Nor Flash的JFFS2文件系統構建 作者:廣州新太科技股份公司 賈東耀 文章來源:國外電子元器件 點擊數:1359 更新時間:2004-12-14 摘要:目前的嵌入式系統多使用FLASH作爲主存,因此,如何有效管理

NetGeek 2020-07-08 01:38:11

TCP服务器(以Echo服务器为例))

TCP服務器 他也涉及到兩個核心的類 ServerSocket Socket 這裏注意: UDP協議無連接,類似發微信,直接發就行 TCP協議有連接,類似打電話,要接通才能通話。 這裏依然用回顯服務器模式來體會TCP服務器: im

渴望成功! 2020-07-08 00:37:26

HTTP协议初认识

TCP和HTTP協議使我們之後都比較重要的協議。目前用瀏覽器打開的一個網頁都是基於HTTP協議來進行傳輸的,APP內部數據大概率也是基於HTTP協議傳輸的。 接下來我們具體看HTTP協議的細節: URL:就是我們一直說的網址的專

渴望成功! 2020-07-08 00:37:26

阻塞模式下socket多线程通信

客戶端創建線程負責收發數據,其餘操作封裝在函數中,方便其他應用程序調用。服務端創建了兩個線程,一個用於收發數據,對於接收連接accept部分開一個線程,這樣主窗口就不會因阻塞而掛掉。( 參考資料:《Windows API開發詳解——函數、

JochenZou 2020-07-07 22:02:42

JDBCTM 指南:入门3 - DriverManager

內容: 3 - DriverManager3.1 概述DriverManager 類是 JDBC 的管理層,作用於用戶和驅動程序之間。它跟蹤可用的驅動程序,並在數據庫和相應驅動程序之間建立連接。另外,DriverManager 類也處理諸

cyp0207 2020-07-07 19:59:59

Linux基础-Linux目录树

目錄樹可以分爲小的部分,每個部分可以在自己的磁盤或分區上。主要部分是/、/usr 、/var 和 /home 文件系統。每個部分有不同的目的。 每臺機器都有根文件系統,它包含系統引導和使其他文件系統得以 mount 所必要的文件,根文件

cnlx 2020-07-07 17:47:23

笔记整理:TCP的三次握手,四次挥手

TCP的三次握手,四次揮手 老生常談的“三次握手,四次揮手”,一直都知道這個理論,相關的圖也見不了少,但是從沒有自己重新畫一遍,自己好好的鋝一遍,這次抽空整理了下,作爲筆記記錄一下。 三次握手,四次揮手過程 上圖就是三次握手,四

Min_Monk 2020-07-07 13:50:41

牛皮了,头一次见有Java大牛架构师把TCP/IP协议解释的这么明白

前言 不管面試 Java 、C/C++、Python 等開發崗位, TCP 的知識點可以說是的必問的了。 任 TCP 虐我千百遍,我仍待 TCP 如初戀。 遙想LZ當年校招時常因 TCP 面試題被刷,真是又愛又恨…. 過去不會沒關係,今

Java技术剑 2020-07-07 13:13:56

HTTPS的疑问汇总

HTTPS的疑問彙總 一、https相較於http協議有什麼區別? https是運行在SSL/TSL協議上的http, 本質上在應用層都是http協議(文本協議),只是在https新增了一層安全層,通過SSL/TSL協議(二進制協

feiyingHiei 2020-07-07 07:57:14

TCP连接/撤离中的三次握手与四次挥手过程

 相對於SOCKET開發者,TCP創建過程和鏈接折除過程是由TCP/IP協議棧自動創建的.因此開發者並不需要控制這個過程.但是對於理解TCP底層運作

wangxingbao4227 2020-07-07 06:40:38

网络编程(理论看这一篇就够了)

計算機網絡概述1、數據交換1.1、最早的廣域網(電路交換)1.2、分組交換(又稱存儲轉發交換,報文交換)交換方式(存儲-轉發)2、網絡的分層結構2.1、七層模型:OSI/RM開放互聯模型(理論上的標準)2.2、四層模型:TCP/I

看见代码就想敲 2020-07-07 06:34:00

304 http状态码

之前被問到這個304狀態碼的含義是什麼?看了這篇文章,鞏固了一下http狀態碼的常識,4打頭是客戶端問題,5打頭是服務端問題。304就是你請求的文件沒有改變,200就是請求成功,差別就是200會在服務端走完整的請求。而304是校驗了客戶端

zhj574182446 2020-07-07 05:18:25