TCPDUMP输出分析

Question

我正在我的主干网上运行以下命令来监视多播通信量。我刚开始使用tcpdump并寻求一些帮助：

sudo tcpdump -i eth1 -n -p multicast

我看到这样的输出--这只是其中的一部分。我真的不知道如何解释这个输出。有人能帮我亮一下灯吗。我看到的前几行似乎是正常的交通，但后来我看到了剩下的，我不知道该怎么做。为什么它只显示ARP？如果有些问题看起来很基本的话，我很抱歉。提前谢谢你。

22:18:22.038264 ARP, Request who-has 10.147.0.62 tell 10.147.0.64, length 46
22:18:22.244856 ARP, Request who-has 10.147.0.64 tell 10.147.0.61, length 46
22:18:22.245149 ARP, Request who-has 10.147.0.61 tell 10.147.0.64, length 46
22:18:22.888851 b4:99:ba:02:18:66 > Broadcast, ethertype Unknown    (0xcafe), length 90:
        0x0000:  0500 0100 0900 0000 0100 ffff 0c00 0002  ..... ...........
        0x0010:  4c00 0000 0000 0000 8300 0080 0000 0000  L...............
       0x0020:  0000 0000 4a59 7a55 ffff ffff 0000 0000  ....JYzU........
       0x0030:  8002 c000 0620 b499 ba02 1866 0103 0300  ...........f....
       0x0040:  0101 0402 515d 7303 7cda ca52            ....Q]s.|..R
       22:18:22.888860 b4:99:ba:02:18:66 > Broadcast, ethertype Unknown (0xcafe), length 90:
        0x0000:  0500 0100 0961 0200 0100 ffff 0c00 3a02  .....a........:.
        0x0010:  4c00 0000 0000 0000 8300 0080 0000 0000  L...............
        0x0020:  0000 0000 4a59 7a55 ffff ffff f74a 1789  ....JYzU.....J..
        0x0030:  5010 c000 0614 b499 ba02 1866 0a0a 0a00  P..........f....
        0x0040:  0101 0402 0000 0000 7cda ca52            ........|..R

Answer 1

有关如何解释tcpdump输出的基本信息可以在tcpdump手册页中找到。只需在您的机器上做man tcpdump并阅读(并做一些笔记，那里有很多东西)。接下来，您可能会发现google和tcpdump tutorial查询很有帮助，因为tcpdump显示的很多信息都是特定于协议的。几个很好的入门教程：

• https://danielmiessler.com/study/tcpdump/
• http://dillonhale.com/blog/linux-tutorials/tcpdump-primer/

您可能还会发现Wireshark，一个建立在tcpdump基础上的GUI工具，是日常工作中可以使用的很好的资源，也是协议解码的基本参考。

回答您的具体问题:为什么要监视这个特定节点上的多播？如果您想监视网络核心中的多播，您应该跨/RSPAN您的流量到这个主机，然后使用最喜欢的工具嗅探它-不管是tcpdump。如果您连接到的是一个交换网络，则很少会看到多播数据包--您的站点(默认情况下)没有办法成为所有多播通信的活动目的地，除非它注册为它(除了单独运行嗅探器之外，这还需要额外的工作)。

Answer 2

第一版TCP/IP插图也非常有用。你也可以知道协议和他们的行为。

举个例子-

1023873914.125606 fulton.ssh >蜘蛛1145:P 3066603742:3066603806(64) ack 1646168

4510 0068 7e87 4000 4006 3862 c0a8 011 e

c0a8 0128 0016 0479 b6c8 a8de 621 e 87

1023873914.125606

是数据包通过我们网卡的时间(不是数据包的一部分)。

fulton.ssh > spider.1145

是正在进行的通信的源和源端口以及目的地和目的地端口。

P

是TCP标志

3066603742:3066603806

是字节序列/范围。

典型的IP报头长度为20字节，TCP为另外20字节。十六进制中的两个数字相当于一个字节。这意味着头位于十六进制的前20块之内。

c0 =(12x16)+(0x1)=192个

a8 =(10x16)+(8x1)=168个

01 =(0x16)+(1x1)=1

28 =(2x16)+(8x1)= 40

有关更多细节，请查看此链接。

http://neerci.ist.utl.pt/neerci_shelf/LEIC/3%20Ano/1%20Semestre/Redes%20de%20Computadores/Laboratorios/2009%20-%202010/understanding_tcpdump.pdf