分析 tcpdump 输出

分析 tcpdump 输出

这里还有另一个问题 :) 不确定这是不是个愚蠢的问题.. 我正在尝试使用 tcpdump 命令并想知道如何分析捕获的日志例如:06:47:41.060885 IP > ip-.us-west-2.compute.internal.ssh:Flags [.],ack 144,win 256,长度 0 06:47:41.779943 IP ip-6.us-west-2.compute.internal.ssh >:Flags [P.],seq 144:208,ack 1,win 284,长度 64

这些字段表示什么?您如何确认流量存在问题?谢谢

答案1

这些字段表示什么

06:47:41.060885 IP  > .us-west-2.compute.internal.ssh: Flags [.], ack 144, win 256, length 0
06:47:41.779943 IP .us-west-2.compute.internal.ssh > : Flags [P.], seq 144:208, ack 1, win 284, length 64

第一个字段是数据包到达的时间,格式为时:分:秒,“秒”表示秒和秒的分数。

第二个字段是在链路层上运行的协议 - 在本例中为 IPv4。

对于 IP 数据包:

第三个字段是发送数据包的主机的 IP 地址或主机名,以及 TCP 和 UDP 数据包的源端口。第一个数据包来自端口 12601,第二个数据包来自 ip-.us-west-2.compute.internal 的 ssh 端口(端口 22)。

第四个字段(与第三个字段之间用“>”字符分隔,表示数据包的方向,即它指向右边,因此数据包来自第三个领域数据包头字段(英语:第四个字段)是接收数据包的主机的 IP 地址或主机名,以及(对于 TCP 和 UDP 数据包)目标端口。

“Flags [...]” 是 TCP 段标志。“P” 是 Push (PSH) 标志,因此第一个数据包没有设置任何标志(ACK 除外),而第二个数据包设置了 Push 标志。

“seq” 是数据包中的序列号以及该数据包之后的下一个数据的序列号。

“ack” 是数据包中的确认号。tcpdump 默认显示相对于初始序列号的序列号和确认号。

“length”是TCP段中数据的长度。

如何确认交通存在问题

通过了解您要查找的问题并查看是否存在。Tcpdump 不会剖析所有协议层,因此它可能不会显示所有层的问题。Wireshark可能显示更多信息,但同样,你需要知道什么样的问题可以是否存在以及如何识别它们。

相关内容