怎麼判斷 tcpdump 抓的包是 UDP 協議還是 TCP 協議 ?

原創 一得的跋涉 2020-05-23 01:59


有時候想抓個包,比如 53 端口的包:

tcpdump -i eth1  port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
14:19:01.545430 IP testsvr1_in.50145 > 12.12.12.12.domain: 12328+ PTR? 6.2.66.100.in-addr.arpa. (43)
14:19:01.545631 IP testsvr1_in.40356 > 12.12.12.12.domain: 42024+ PTR? 7.64.240.10.in-addr.arpa. (44)
14:19:01.547521 IP 12.12.12.12.domain > testsvr1_in.50145: 12328 NXDomain* 0/1/0 (97)
14:19:01.549520 IP 12.12.12.12.domain > testsvr1_in.40356: 42024 NXDomain* 0/1/0 (91)
14:19:01.553631 IP testsvr1_in.42410 > 12.12.12.12.domain: 39216+ PTR? 9.138.123.10.in-addr.arpa. (45)
14:19:01.553890 IP 12.12.12.12.domain > testsvr1_in.42410: 39216 NXDomain* 0/1/0 (92)
14:19:01.556864 IP testsvr1_in.50261 > 12.12.12.12.domain: 41101+ PTR? 10.34.110.100.in-addr.arpa. (45)
14:19:01.560803 IP 12.12.12.12.domain > testsvr1_in.50261: 41101 NXDomain* 0/1/0 (100)
14:19:01.566489 IP testsvr1_in.48541 > 12.12.12.12.domain: 55695+ PTR? 7.31.114.9.in-addr.arpa. (43)
14:19:01.568374 IP testsvr1_in.37978 > 12.12.12.12.domain: 46239+ PTR? 10.30.114.9.in-addr.arpa. (43)
14:19:01.568587 IP 12.12.12.12.domain > testsvr1_in.48541: 55695 NXDomain* 0/1/0 (90)
14:19:01.570414 IP 12.12.12.12.domain > testsvr1_in.37978: 46239 NXDomain* 0/1/0 (90)
14:19:01.585314 IP testsvr1_in.44524 > 12.12.12.12.domain: 39097+ PTR? 1.163.23.9.in-addr.arpa. (42)
14:19:01.586466 IP testsvr1_in.56737 > 12.12.12.12.domain: 60430+ PTR? 9.20.44.9.in-addr.arpa. (42)
14:19:01.587269 IP testsvr1_in.42586 > 12.12.12.12.domain: 33842+ PTR? 9.7.127.9.in-addr.arpa. (42)
14:19:01.587358 IP 12.12.12.12.domain > testsvr1_in.44524: 39097 NXDomain* 0/1/0 (89)
14:19:01.587511 IP 12.12.12.12.domain > testsvr1_in.42586: 33842 NXDomain* 0/1/0 (89)
14:19:01.589940 IP 12.12.12.12.domain > testsvr1_in.56737: 60430 NXDomain* 0/1/0 (89)

會發現這個包信息,看不出來是什麼協議的。

如果想看這個協議協議信息怎麼搞呢?

很簡單,加個 -v 即可看到 proto 信息了,如下:

tcpdump -i eth1 -v  port 53
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
13:44:47.529020 IP (tos 0x0, ttl 64, id 44377, offset 0, flags [DF], proto UDP (17), length 67)
    testsvr1_in.54668 > 10.20.64.17.domain: 25676+ A? ntp.cloud.com. (39)
13:44:47.529029 IP (tos 0x0, ttl 64, id 44378, offset 0, flags [DF], proto UDP (17), length 67)
    testsvr1_in.54668 > 10.20.64.17.domain: 52317+ AAAA? ntp.cloud.com. (39)
13:44:47.529307 IP (tos 0x0, ttl 64, id 44379, offset 0, flags [DF], proto UDP (17), length 72)
    testsvr1_in.43197 > 10.20.64.17.domain: 14414+ PTR? 177.64.240.10.in-addr.arpa. (44)
13:44:47.531106 IP (tos 0x60, ttl 59, id 12456, offset 0, flags [none], proto UDP (17), length 125)
    10.20.64.17.domain > testsvr1_in.54668: 52317 0/1/0 (97)

這個 -v 指詳細的輸出,比普通輸出多了一些TTL和服務類型信息。



如果想過濾下,比如只看 UDP 協議的信息輸出:

tcpdump -i eth1 -vnn udp port 53

這裏的 nn 經常會跟 -v 一起合併使用,順便解釋記錄下:

-n 是指不進行 IP 地址到 主機名 的轉換。

如果不使用這一項,
當系統中存在某一主機的主機名時,tcpdump 會把 IP地址轉換爲主機名顯示,
比如:

tcpdump -i eth1  port 53
14:19:01.545430 IP testsvr1_in.50145 > 1.20.4.1.domain:

使用 -n 後變成了:

tcpdump -i eth1 -n  port 53
14:19:01.545430 IP 12.11.2.1_in.50145 > 1.20.4.1.domain:

-nn 是指不進行端口名稱的轉換。

上面這條信息使用 -nn 後就變成了:

tcpdump -i eth1 -nn port 53
14:31:20.890512 IP 10.56.2.4.57210 > 10.20.64.17.53:


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MQTT 5.0 報文解析 05:DISCONNECT

歡迎閱讀 MQTT 5.0 報文系列 的第五篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 PINGREQ 和 PINGRESP 報文。現在,我們將介紹下一個控制報文:DISCONNECT。 在 MQTT 中,客戶端和服務端可以在

原創 2024-04-16 21:56:02

MQTT 5.0 報文解析 02:PUBLISH 與 PUBACK

歡迎閱讀 MQTT 5.0 報文系列 的第二篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 CONNECT 和 CONNACK 報文。現在,我們將介紹在 MQTT 中用於傳遞應用消息的 PUBLISH 報文以及它的響應報文。 不管

原創 2024-03-18 22:23:18

MQTT 5.0 報文解析 01:CONNECT 與 CONNACK

在 MQTT 5.0 報文介紹 中,我們介紹了 MQTT 報文由固定報頭、可變報頭和有效載荷三個部分組成,以及可變字節整數、屬性這類 MQTT 報文中的通用概念。現在,我們將按照實際的用途來進一步介紹各個類型的報文的組成。首先,我們將專注於

原創 2024-03-04 22:06:21

關於平臺工程的開發者工具鏈,你還想加點啥?

前言 從 Kubernetes 誕生以來,以 DevOps、容器化、可觀測、微服務、Serverless 等技術爲代表的雲原生,催生了應用架構新一輪的升級。有意思的是,與以往的技術迭代更新不同,原本是一個技術圈常規的一次技術實踐,在千行百

原創 2022-12-26 23:58:11

Http請求壓縮/tcpdump

啓動一個nginx進行轉發,然後請求,使用tcp dump來查看是否壓縮成功了 也可以啓動一個Java的8081端口來Tcp dump來看 #-i lo是監聽lo網卡 #port 是監聽端口 #host 是監控localhost發出

原創 2021-12-25 21:37:11

liux最常見使用命令

寫在前面 基本操作 Linux關機,重啓 查看系統,CPU信息 建立軟連接 rpm相關 sshkey 命令重命名 同步服務器時間 後臺運行命令 強制活動用戶退出 查看命令路徑 查看進程所有

原創 2021-12-25 21:35:24

linux Vlanif 轉發問題

[email protected]:~$ sudo tcpdump -Q out -i Ethernet8 -envv icmp6 tcpdump: listening on Ethernet8, link-type EN10MB

原創 2021-12-25 21:09:50

166 個最常用的 Linux 命令彙總,總有你需要用到的!

Linux命令是對Linux系統進行管理的命令,對於Linux系統來說,無論是中央處理器、內存、磁盤驅動器、鍵盤、鼠標,還是用戶等都是文件,Linux系統管理的命令是它正常運行的核心。以下列舉166個最常用的命令,總有一個是你需要用到的,

php開源社區 2021-10-19 21:28:41

基於網絡抓包實現K8S中微服務的應用級監控

微服務監控的挑戰 監控的目的是爲了讓集羣中所有的服務組件,不管是HTTP服務,數據庫服務,還是中間件服務。都能夠健康穩定的運行,能發現問題,遇到問題能找到原因。在過去,監控工具側重於基礎設施或單一軟件組件以及衡量運營健康。這些工具在實現這

php開源社區 2021-10-13 21:28:39

爲什麼Netflix“永不宕機”?

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

核子可乐 2021-11-25 15:48:52

解開 IP 的“窄腰”:名稱和 Web 服務的尋址敏捷性

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Marwan Fayed 2021-11-12 10:48:58

6 個多雲架構設計,實現有效的雲策略

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Jignesh Solanki 2021-10-15 15:03:50

定位你的到底是App,還是手機廠商的操作系統?

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Tina 2021-10-14 19:08:57

團隊管理之如何成爲核心員工

{"type":"doc","content":[{"type":"heading","attrs":{"align":null,"level":1},"content":[{"type":"text","text":"核心員工的三個階段"

小诚信驿站 2021-10-13 14:03:53

富途證券因數據中心故障導致交易中斷,創始人發文道歉

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Tina 2021-10-12 17:13:56