在网络调试过程中,有很多情况下需要抓取网络流量数据来分析网络问题。抓取网络数据包是一种非常有效的分析网络问题的方法,在Linux系统中,我们可以使用类似Tcpdump或Wireshark的工具来抓取网络数据包。但是仅仅使用这些工具仅仅能够抓取入口数据,对于调试网络问题来说,往往还需要抓取网卡出口的数据包。接下来,我们将介绍如何在Linux系统中抓取网卡出口数据。
抓取网卡出口数据
抓取网卡出口数据的常见场景是调试网络防火墙或者路由器等设备时。在这种情况下,我们需要抓取从网卡中发出的数据,可以使用libpcap库中的pcap_sendpacket函数发送一个数据包到网卡中,并通过数据包捕获工具抓取数据包。
我们需要打开一个网卡并捕获它的数据包,可以使用以下命令:
sudo tcpdump -i eth0 -w /tmp/capture.pcap
这样,我们就可以在/tmp目录下生成一个捕获网卡eth0数据的文件。接下来,我们就可以使用libpcap库中的pcap_sendpacket函数向网卡中发送数据包并捕获。下面是一个捕获出口数据包的示例:
#define ETHER_ADDR_LEN 6
/* Ethernet header */
struct sniff_ethernet {
u_char ether_dhost[ETHER_ADDR_LEN]; /* destination host address */
u_char ether_shost[ETHER_ADDR_LEN]; /* source host address */
u_short ether_type; /* IP? ARP? RARP? etc */
/* IP header */
struct sniff_ip {
u_char ip_vhl; /* version > 2 */
u_char ip_tos; /* type of service */
u_short ip_len; /* total length */
u_short ip_id; /* identification */
u_short ip_off; /* fragment offset field */
#define IP_RF 0x8000 /* reserved fragment flag */
#define IP_DF 0x4000 /* don’t fragment flag */
#define IP_MF 0x2023 /* more fragments flag */
#define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
u_char ip_TTL; /* time to live */
u_char ip_p; /* protocol */
u_short ip_sum; /* checksum */
struct in_addr ip_src,ip_dst; /* source and dest address */
void send_packet(char *iface, u_char *pkt, int pkt_len)
char errbuf[PCAP_ERRBUF_SIZE];
pcap_t *iface_Handle;
u_char* pkt_ptr;
struct pcap_pkthdr *hdr;
struct sniff_ethernet *eth_hdr;
struct sniff_ip *ip_hdr;
iface_handle = pcap_open_live(iface, 65535 /* snaplen */, 0 /* non-promiscuous */, 1000 /* read timeout, ms */, errbuf);
if (iface_handle == NULL) {
printf(“Fled to open device %s: %s\n”, iface, errbuf);
pkt_ptr = pkt;
memset((void *)pkt_ptr, 0, pkt_len);
memcpy((void *)pkt_ptr, “\x00\x11\x22\x33\x44\x55”, ETHER_ADDR_LEN); // destination MAC
memcpy((void *)(pkt_ptr+ETHER_ADDR_LEN), “\x66\x55\x44\x33\x22\x11”, ETHER_ADDR_LEN); // source MAC
eth_hdr = (struct sniff_ethernet *)pkt_ptr;
eth_hdr->ether_type = htons(0x0800);
pkt_ptr += sizeof(struct sniff_ethernet);
ip_hdr = (struct sniff_ip *)pkt_ptr;
ip_hdr->ip_vhl = 0x45; // version 4 and header length 5
ip_hdr->ip_tos = 0x00; // type of service
ip_hdr->ip_len = htons(pkt_len – sizeof(struct sniff_ethernet)); // length of the packet without the Ethernet header
ip_hdr->ip_id = 0x0000; // identification
ip_hdr->ip_off = 0x0000; // no fragmentation
ip_hdr->ip_ttl = 0xff; // time to live
ip_hdr->ip_p = 0x11; // protocol: ICMP
ip_hdr->ip_src.s_addr = inet_addr(“192.168.1.1”); // source IP address
ip_hdr->ip_dst.s_addr = inet_addr(“192.168.1.2”); // destination IP address
pkt_ptr += sizeof(struct sniff_ip);
/* dummy payload, 48 bytes */
memset((void *)pkt_ptr, ‘A’, 48);
pcap_sendpacket(iface_handle, pkt, pkt_len);
printf(“Packet sent to %s\n”, iface);
pkt_ptr = NULL;
pkt_ptr = pcap_next(iface_handle, hdr);
if (pkt_ptr != NULL) {
printf(“Packet captured from device %s, length %d\n”, iface, hdr->len);
/* print ethernet and IP headers */
eth_hdr = (struct sniff_ethernet *)pkt_ptr;
printf(“source MAC address: %.2x:%.2x:%.2x:%.2x:%.2x:%.2x\n”, eth_hdr->ether_shost[0], eth_hdr->ether_shost[1], eth_hdr->ether_shost[2], eth_hdr->ether_shost[3], eth_hdr->ether_shost[4], eth_hdr->ether_shost[5]);
printf(“destination MAC address: %.2x:%.2x:%.2x:%.2x:%.2x:%.2x\n”, eth_hdr->ether_dhost[0], eth_hdr->ether_dhost[1], eth_hdr->ether_dhost[2], eth_hdr->ether_dhost[3], eth_hdr->ether_dhost[4], eth_hdr->ether_dhost[5]);
ip_hdr = (struct sniff_ip *)(pkt_ptr + sizeof(struct sniff_ethernet));
printf(“source IP address: %s\n”, inet_ntoa(ip_hdr->ip_src));
printf(“destination IP address: %s\n”, inet_ntoa(ip_hdr->ip_dst));
char iface[] = “eth0”;
u_char pkt[1024];
memset((void *)pkt, 0, sizeof(pkt));
send_packet(iface, pkt, 1024);
在这个例子中,我们使用的是pcap_sendpacket函数发送一个数据包到网卡中。可以看到我们先使用pcap_open_live打开了一个网卡句柄iface_handle,然后我们构造了一个Ethernet和IP数据包并使用pcap_sendpacket函数将该数据包发送到网卡中。最后使用pcap_next函数捕获从该网卡中发出的数据包。
相关问题拓展阅读:
在RHEL5.5下,如何做到从一个网卡读取数据,从另外一个网卡发送出去?
你可以派态这样试试:
1.开启Linux的路由功粗孙能
2.在Linux中设置岩羡链一条默认路由,出口选择eth1
关于linux 抓网卡出口数据的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
香港服务器首选树叶云,2H2G首月10元开通。树叶云(shuyeidc.com)提供简单好用,价格厚道的香港/美国云 服务器 和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。
linux嗅探 抓包
在linux上输入命令 tcpdump -nn -A -i eth0 not port 22 -w 就可以抓包了,并且包的内容如果包含wifi账号和密码,也就在里面了参数说明:-nn IP和端口都不解析,直接显示数字-A 以ASCII显示数据包内容-X 以hex(十六进制)和ASCII显示内容-q 仅简短,精简内容-w 写入某个文件-r 读取-w写入的文件内容但是还要满足以下条件:1.人家wifi上网是通过你这台linux的,2.你抓包的时候人家正在登陆wifi,而不是已经成功登陆过wifi了,或一直没有登陆wifi,3.密码是明文的,而不是加密的。 那抓的包里面就可以看到wifi账号和密码了。 另外,有基于linux系统的去破解wifi的,这个是基于暴力破解,跟抓包又不一样了。
android 如何查看指定的端口号是否被占用
在命令行中输入 netstat -a -n
关于ping命令和WIRESHARK的使用
(1)可靠 ,可靠性100%,因为丢包是客观事实,时间也是按照本地时间来得。 ping不管对方是什么设备,只要其尅有ip寻址。 (2)wireshark是一个可以看到网络包的捕获软件。 只能看到ack之类的和对方可以接受的。 拥塞窗口不可以直接读取。 backlog不可以【这玩意是你创建server的时候设定的可以同时接收的客户端,再多的就要排队等待了,不会在网络包上体现出来,所以不可以】,网络可用带宽不可以。 丢包率可以,往返时间需要自己算。 wireshark类只是个软件,你只能根据tcp协议和截包判断这些是否可得。 不是什么参数都可以得到的。
发表评论