常见网络抓包工具和抓包分析( 三 )


(1) 数据链路层头信息
使用命令 #tcpdump --e host ice
ice 是一台装有linux 的主机,她的MAC 地址是0:90: 27:58 : AF : 1AH219 是一台装有SOLARIC的 SUN 工作站,它的MAC 地址是8: 0: 20:79: 5B:46;
上一条命令的输出结果如下所示:
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice. telnet 0:0(0) ack 22535 win 8760 (DF)
分析: 21:50:12是显示的时间,847509 是 ID 号,eth0 <表示从网络接口eth0 接受该数据包,eth0 > 表示从网络接口设备发送数据包, 8:0:20:79:5b:46 是主机H219 的 MAC地址它表明是从源地址H219 发来的数据包. 0:90:27:58:af:1a 是主机ICE 的 MAC 地址 ,表示该数据包的目的地址是ICE . ip是表明该数据包是IP 数据包 ,60 是数据包的长度, h219.33357 > ice. telnet 表明该数据包是从主机H219 的 33357 端口发往主机ICE 的 TELNET(23) 端口 . ack22535
表明对序列号是222535 的包进行响应. win 8760 表明发送窗口的大小是8760.:1a)
(2) ARP 包的 TCPDUMP 输出信息
使用命令 #tcpdump arp
得到的输出结果是:
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af
分析 : 22:32:42 是时间戳 , 802509 是 ID 号 , eth0 >表明从主机发出该数据包, arp 表明是ARP 请求包 , who-has route tell ice 表明是主机ICE 请求主机ROUTE的MAC地址 。0:90:27:5
8:af:1a 是主机ICE的MAC地址 。
(3) TCP 包的输出信息
用 TCPDUMP捕获的TCP 包的一般输出信息是:
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags 是 TCP 包中的标志信息,S 是 SYN 标志 , F (F IN), P (PUSH) , R (RST) "." (没有标记 ); data-seqno 是数据包中的数据的顺序号, ack 是 下次期望的顺序号, window 是接收缓存的窗口大小, urgent 表明数据包中是否有紧急指针.
Options 是选项 .
(4) UDP 包的输出信息
用 TCPDUMP捕获的UDP 包的一般输出信息是:
route.port1 > ice.port2: udp lenth
UDP 十分简单,上面的输出行表明从主机ROUTE 的 port1 端口发出的一个UDP 数据 包到主机ICE 的 port2 端口,类型是UDP ,包的长度是lenth
 
3、抓包场景及步骤
 
3.1 机顶盒抓包

常见网络抓包工具和抓包分析

文章插图
 
如果有需要抓机顶盒交互的报文,则可以通过HUB 和机顶盒连接进行抓包,可以通过windows的 wireshark 进行抓包,可以把所有交互的包抓下来,然后进行过滤分析,也可以通过过滤规则抓下来已经过滤后的包 。
3.2 Linux下抓包
软终端在通过SS5代理服务器进行接入IPTV 环境时,可能需要到 SS5所在的代理服务器上去抓包,抓包方式就是通过TCPDUMP命令来抓取,一般我们把与IPTV网口相关的所有包都抓下来存为PCAP文件进行分析 。
抓包命令为tcpdump -i eth1 -wxx.pcap,这样可以把抓过来的包保存到linux 服务器的用户登录当前文件夹下,然后通过SSH 传到本地进行分析,当然了也可以通过过滤规则抓包,详见TCPDUMP的常用命令 。




推荐阅读