2. 技术
    3. 直接可用的tcpdump的命令

    直接可用的tcpdump的命令

    技术2025-05-13  52

    需求描述

    最近,项目中与其他平台交互时,出现了建立http请求失败的情况,在项目中设置了重试3次的机制,仍然出现了少量的失败,由于要求成功率需要99.999%,所以需要处理下这个网络失败的原因。我们使用的是RestTemplate,配置的连接时间是5S,但是实际上1S左右就直接报错失败了,初步怀疑是在tcp三次握手的时候就失败了,所以需要在后台抓包,看下请求中的交互情况。

    使用的抓包工具tcpdump

    服务器上没有的,可以自己百度安装过程。先贴一份tcpdump各参数的详解,再结合我们的项目使用下。 A 以ASCII格式打印出所有分组,并将链路层的头最小化。

    -c 在收到指定的数量的分组后,tcpdump就会停止。

    -C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。

    -d 将匹配信息包的代码以人们能够理解的汇编格式给出。

    -dd 将匹配信息包的代码以C语言程序段的格式给出。

    -ddd 将匹配信息包的代码以十进制的形式给出。

    -D 打印出系统中所有可以用tcpdump截包的网络接口。

    -e 在输出行打印出数据链路层的头部信息。

    -E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。

    -f 将外部的Internet地址以数字的形式打印出来。

    -F 从指定的文件中读取表达式,忽略命令行中给出的表达式。

    -i 指定监听的网络接口。

    -l 使标准输出变为缓冲行形式,可以把数据导出到文件。

    -L 列出网络接口的已知数据链路。

    -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。

    -M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。

    -b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。

    -n 不把网络地址转换成名字。

    -nn 不进行端口名称的转换。

    -N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。

    -t 在输出的每一行不打印时间戳。

    -O 不运行分组分组匹配(packet-matching)代码优化程序。

    -P 不将网络接口设置成混杂模式。

    -q 快速输出。只输出较少的协议信息。

    -r 从指定的文件中读取包(这些包一般通过-w选项产生)。

    -S 将tcp的序列号以绝对值形式输出,而不是相对值。

    -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。

    -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。

    -t 不在每一行中输出时间戳。

    -tt 在每一行中输出非格式化的时间戳。

    -ttt 输出本行和前面一行之间的时间差。

    -tttt 在每一行中输出由date处理的默认格式的时间戳。

    -u 输出未解码的NFS句柄。

    -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。

    -vv 输出详细的报文信息。

    -w 直接将分组写入文件中,而不是不分析并打印出来。

    -W 限制文件的个数

    由于我们的失败情况时偶发的,需要长时间进行后台抓包,所以我们需要让抓包程序在后台运行,并将抓包的文件保存下来,后面再进行详细的分析。

    命令内容

    nohup tcpdump -i bond23 tcp port 8080 and host 10.10.10.11 or 10.10.10.10 -s 0 -G 3600 -Z root -w /root/tcppackge/tcp_%Y_%m%d_%H%M_%S.pcap &

    -i: 来指定具体的端口 tcp:指定过滤的消息类型 host:指定抓包的IP,用src\dst可以来指定目的IP和源IP,在我们项目中没用,因为我们要观察下三次握手的流程。多个IP的情况下,我们用or语句就可以执行。 -s0:全部保存数据格式,不去切割。 -G:指定下保存信令的时间,我们这里设置1小时保存一次,如果多个小时的话,我们不好遍历定位问题。 -Z:防止没有权限,所以我们用root来执行 -w:我们将信令保存到需要保存的目录下。 文件名称就按照时间来保存。 最后跟下一个& 用来在后台执行。

    效果

    执行后,可以用ps -ef|grep tcpdump命令在后台看见我们这个命令正在执行啦。保密原则我这就不看命令了,直接看下我们抓的包吧。

    注意

    我们在执行命令的时候,会在当前目录下生成的.out的文件,会输入到这来一些错误日志等,如果命令有误的话,可以进来看一下。 我在执行的时候,出现了这样一个错误:tcpdump: NFLOG link-layer type filtering not implemented。意思是我们没有指定端口,所以ifconfig一下,取第一个默认端口来执行以下,就完美运行啦。当我们抓到了想要的包后,kill -9 下,停止抓包,使用wireshark来分析我们的pcap文件就可以了。谢谢!

    Processed: 0.010, SQL: 9