封包助手使用教程封包助手教程( 三 )

(1) 数据链路层头信息
使用命令 #tcpdump --e host ice
ice 是一台装有linux 的主机，她的MAC 地址是0：90： 27：58 ： AF ： 1AH219 是一台装有SOLARIC的 SUN 工作站，它的MAC 地址是8： 0： 20：79： 5B：46；
上一条命令的输出结果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice. telnet 0:0(0) ack 22535 win 8760 (DF)
分析： 21：50：12是显示的时间，847509 是 ID 号，eth0 <表示从网络接口eth0 接受该数据包，eth0 > 表示从网络接口设备发送数据包, 8:0:20:79:5b:46 是主机H219 的 MAC地址它表明是从源地址H219 发来的数据包. 0:90:27:58:af:1a 是主机ICE 的 MAC 地址 ,表示该数据包的目的地址是ICE . ip是表明该数据包是IP 数据包 ,60 是数据包的长度, h219.33357 > ice. telnet 表明该数据包是从主机H219 的 33357 端口发往主机ICE 的 TELNET(23) 端口 . ack22535
表明对序列号是222535 的包进行响应. win 8760 表明发送窗口的大小是8760.:1a)
(2) ARP 包的 TCPDUMP 输出信息
使用命令 #tcpdump arp
得到的输出结果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af
分析 : 22:32:42 是时间戳 , 802509 是 ID 号 , eth0 >表明从主机发出该数据包, arp 表明是ARP 请求包 , who-has route tell ice 表明是主机ICE 请求主机ROUTE的MAC地址。0:90:27:5
8:af:1a 是主机ICE的MAC地址。
(3) TCP 包的输出信息
用 TCPDUMP捕获的TCP 包的一般输出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags 是 TCP 包中的标志信息,S 是 SYN 标志 , F (F IN), P (PUSH) , R (RST) "." (没有标记 ); data-seqno 是数据包中的数据的顺序号, ack 是下次期望的顺序号, window 是接收缓存的窗口大小, urgent 表明数据包中是否有紧急指针.
Options 是选项 .
(4) UDP 包的输出信息
用 TCPDUMP捕获的UDP 包的一般输出信息是：
route.port1 > ice.port2: udp lenth
UDP 十分简单，上面的输出行表明从主机ROUTE 的 port1 端口发出的一个UDP 数据包到主机ICE 的 port2 端口，类型是UDP，包的长度是lenth

3、抓包场景及步骤

3.1 机顶盒抓包

文章插图
如果有需要抓机顶盒交互的报文，则可以通过HUB 和机顶盒连接进行抓包，可以通过windows的 wireshark 进行抓包，可以把所有交互的包抓下来，然后进行过滤分析，也可以通过过滤规则抓下来已经过滤后的包。
3.2 Linux下抓包
软终端在通过SS5代理服务器进行接入IPTV 环境时，可能需要到 SS5所在的代理服务器上去抓包，抓包方式就是通过TCPDUMP命令来抓取，一般我们把与IPTV网口相关的所有包都抓下来存为PCAP文件进行分析。
抓包命令为tcpdump -i eth1 -wxx.pcap，这样可以把抓过来的包保存到linux 服务器的用户登录当前文件夹下，然后通过SSH 传到本地进行分析，当然了也可以通过过滤规则抓包，详见TCPDUMP的常用命令。

封包助手使用教程 封包助手教程( 三 )

秒懂生活扩展阅读

封包助手使用教程封包助手教程( 三 )