今天我们继续来学习PERFORMANCE MONITORING AND STATISTICS(性能监测与统计),今天学习的是什么命令呢,那就是tcpdump(获取数据包信息),通常我们运维人员称之为抓包命令.
此命令是我们作为一个运维人员必须要知道并且会的命令。
Ready Go!!!
老规矩(注意:6版本和7版本的系统输出的参数结果不一样,这里已7版本的系统进行讲解)
tcp --help
参数解释:
-c 在收集到指定的包的数目后,停止命令
-C用于判断写入文件的大小是否超过某值,如果超过,就新建文件,命名后缀以1,2,3等依次增加
-F 从指定的文件中读取指定内容,忽略其他的内容
-G 指定多少秒后停止抓包
-i 监听主机上的该网卡上的数据流,如果没有指定那块网卡信息,默认会使用编号最新的网卡号。
-r 从指定的文件中读取数据包
-s 指定抓包内容一行显示的宽度
-T 将监听到的包直接解释为指定的报文内容
-w 直接将包写入文件中,不分析和打印内容
-y 数据链接类型
-Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID
由于参数过多,我们不一一讲解,只讲解部分常用的参数。
1.tcpdump -i eth0
捕获并显示接口eth0上的所有数据包,未加其他参数的情况下,命令刷新的非常快,使用肉眼根本无法辨别。
tcpdump -i eth0
2.tcpdump -i eth0 'port 80’
捕获并显示接口eth0上的端口为80的所有数据包
tcpdump -i eth0 'port 80'
初始在访问的时候,由于未进行页面访问,输出内容仅有这些。
好,我们来访问服务器上的80端口的页面,我这里部署的是一个Nignx服务。浏览器上输入URL地址:
看看是不是输出了更多抓取的信息内容
3.tcpdump -C 200 -Z root -i eth0 -s 0 -vv -w /tcptest/test.pcap port 8080
使用root用户进行网卡eth0上的内容抓取,端口为8080,默认大小指定200,超过后自动生成新的文件存放抓取内容,并且显示完整的抓包信息内容
tcpdump -C 200 -Z root -i eth0 -s 0 -vv -w /tcptest/test.pcap port 8080
我们到指定路径查看,按照命令已经生成了文件
把获取的文件存放好后,我们可以进行打开文件查看内容,进行问题分析了。
好,今天的命令就讲到这里。