tcpdump 抓包命令学习

节点k8s-node-4中的calic211b2bb019抓包

1

tcpdump -i calic211b2bb019 tcp and port 80

-i 是指定什么设备后面跟着的是要抓取什么的数据 tcpdump -i calic211b2bb019 tcp and port 80 解释一下这个命令

这个命令用于捕获通过网络接口 calic211b2bb019 的 TCP 流量，并且过滤端口为 80 的数据包。具体解释如下：

tcpdump：这是一个命令行工具，用于捕获和分析网络流量。
-i calic211b2bb019：指定要监听的网络接口为 calic211b2bb019。
tcp：过滤条件，表示只捕获 TCP 协议的数据包。
and port 80：进一步过滤条件，表示只捕获目标端口或源端口为 80 的 TCP 数据包。端口 80 通常用于 HTTP 流量。再添加条件试试抓取

1

tcpdump -i tunl0 tcp and port 80 and host 10.10.55.134

tcpdump -i tunl0 tcp and port 80 and host 10.10.55.134 这个命令再解释一下

这个命令用于捕获通过网络接口 tunl0 的 TCP 流量，并且过滤端口为 80 且主机地址为 10.10.55.134 的数据包。具体解释如下：

tcpdump：这是一个命令行工具，用于捕获和分析网络流量。
-i tunl0：指定要监听的网络接口为 tunl0。
tcp：过滤条件，表示只捕获 TCP 协议的数据包。
and port 80：进一步过滤条件，表示只捕获目标端口或源端口为 80 的 TCP 数据包。端口 80 通常用于 HTTP 流量。
and host 10.10.55.134：进一步过滤条件，表示只捕获与 IP 地址 10.10.55.134 相关的 TCP 数据包。抓包工具再使用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


root@k8s-node-4:~# tcpdump -i enp0s8 ip and host 192.168.99.205 | grep 10.10.86.131.http
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s8, link-type EN10MB (Ethernet), capture size 262144 bytes
12:51:52.288259 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [S], seq 1172730419, win 64860, options [mss 1410,sackOK,TS val 3504145157 ecr 0,nop,wscale 7], length 0 (ipip-proto-4)
12:51:52.288717 IP k8s-node-5 > k8s-node-4: IP 10.10.86.131.http > 10.10.55.134.48402: Flags [S.], seq 3623141981, ack 1172730420, win 65160, options [mss 1460,sackOK,TS val 2558713973 ecr 3504145157,nop,wscale 7], length 0 (ipip-proto-4)
12:51:52.288761 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [.], ack 1, win 507, options [nop,nop,TS val 3504145157 ecr 2558713973], length 0 (ipip-proto-4)
12:51:52.288806 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [P.], seq 1:77, ack 1, win 507, options [nop,nop,TS val 3504145157 ecr 2558713973], length 76: HTTP: GET / HTTP/1.1 (ipip-proto-4)
12:51:52.289089 IP k8s-node-5 > k8s-node-4: IP 10.10.86.131.http > 10.10.55.134.48402: Flags [.], ack 77, win 509, options [nop,nop,TS val 2558713973 ecr 3504145157], length 0 (ipip-proto-4)
12:51:52.289277 IP k8s-node-5 > k8s-node-4: IP 10.10.86.131.http > 10.10.55.134.48402: Flags [P.], seq 1:143, ack 77, win 509, options [nop,nop,TS val 2558713974 ecr 3504145157], length 142: HTTP: HTTP/1.1 200 OK (ipip-proto-4)
12:51:52.289318 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [.], ack 143, win 506, options [nop,nop,TS val 3504145158 ecr 2558713974], length 0 (ipip-proto-4)
12:51:52.289576 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [F.], seq 77, ack 143, win 506, options [nop,nop,TS val 3504145158 ecr 2558713974], length 0 (ipip-proto-4)
12:51:52.289856 IP k8s-node-5 > k8s-node-4: IP 10.10.86.131.http > 10.10.55.134.48402: Flags [F.], seq 143, ack 78, win 509, options [nop,nop,TS val 2558713974 ecr 3504145158], length 0 (ipip-proto-4)
12:51:52.289891 IP k8s-node-4 > k8s-node-5: IP 10.10.55.134.48402 > 10.10.86.131.http: Flags [.], ack 144, win 506, options [nop,nop,TS val 3504145159 ecr 2558713974], length 0 (ipip-proto-4)

这个命令用于捕获通过网络接口 enp0s8 的 IP 流量，并且过滤主机地址为 192.168.99.205 的数据包，然后使用 grep 命令进一步过滤包含 10.10.86.131.http 的数据包。具体解释如下：

tcpdump -i enp0s8 ip and host 192.168.99.205：
- tcpdump：这是一个命令行工具，用于捕获和分析网络流量。
- -i enp0s8：指定要监听的网络接口为 enp0s8。
- ip：过滤条件，表示只捕获 IP 协议的数据包。
- and host 192.168.99.205：进一步过滤条件，表示只捕获与 IP 地址 192.168.99.205 相关的 IP 数据包。
| grep 10.10.86.131.http：
- |：管道符号，用于将前一个命令的输出作为下一个命令的输入。
- grep 10.10.86.131.http：使用 grep 命令进一步过滤包含 10.10.86.131.http 的数据包。