tcpdump输出分析

Question

这里还有另一个问题:)不确定这是不是一个愚蠢的问题。我正在试验tcpdump命令，并想知道如何分析一旦捕获的日志，例如: 06:47:41.060885 IP > IP -..us..us西-2.Compute.ssh:标志..。，ack 144，win 256，长度0 06:47:41.779943 ip-6.us-west-2 Compute.ssh>：P.，seq 144:208，ack 1，win 284，长度64

字段显示了什么?您如何确认流量有问题？谢谢你

Answer 1

这些字段表示什么？

06:47:41.060885 IP  > .us-west-2.compute.internal.ssh: Flags [.], ack 144, win 256, length 0
06:47:41.779943 IP .us-west-2.compute.internal.ssh > : Flags [P.], seq 144:208, ack 1, win 284, length 64

第一个字段是数据包到达的时间，为小时:分钟:第二，“秒”为秒，分数为一秒。

第二个字段是运行在链路层之上的协议-- IPv4，在本例中。

对于IP数据包：

第三个字段是发送数据包的主机的IP地址或主机名，以及TCP和UDP数据包的源端口。第一个包来自端口12601，第二个包来自IP-.us-West-2.Compute.inside的ssh端口(端口22)。

第四个字段(与带有">“字符的第三个字段分隔，指示数据包的方向，即它指向右侧，因此数据包从第三个字段到第四个字段)是接收数据包的主机的IP地址或主机名，以及TCP和UDP数据包的目的地端口。

“标志...”是TCP段标志。"P“是Push (PSH)标志，因此第一个数据包没有设置任何标志(ACK除外)，第二个包设置了Push标志。

"seq“是数据包中的序列号和该数据包之后的下一个数据的序列号。

"ack“是数据包中的确认号。默认情况下，tcpdump显示相对于初始序列号的序列和确认号。

" length“是TCP段中数据的长度。

你如何确认交通有问题？

通过知道你要找的是什么问题，看看它是否存在。Tcpdump并不会剖析所有的协议层，因此它可能不会在所有层显示问题。Wireshark可能会显示更多的信息，但同样，您需要知道可能会出现什么样的问题，以及如何识别它们。