网络流量异常分析

2016-10-17 0

核心提示：1. 介绍本文主要演示下分析网络流量异常的方法和步骤：使用iftop和netstat确定流量消耗较大的进程和端口使用tcpdump抓取流量较大端口的包使用winshark分析包内数据2. 准备工作2.1 tcpdump在运行alluxio的各个节点上安装tcpdump。yum install tcpdump用法：

1. 介绍

本文主要演示下分析网络流量异常的方法和步骤：

使用iftop和netstat确定流量消耗较大的进程和端口
使用tcpdump抓取流量较大端口的包
使用winshark分析包内数据

2. 准备工作

2.1 tcpdump

在运行alluxio的各个节点上安装tcpdump。

yum install tcpdump

用法：

tcpdump -i 网络设备名 [可选的其他额外选项]

通过几个例子来了解tcpdump的主要用法：

#1. 获取10.8.12.16和10.8.12.17或者10.8.12.18在非80端口上通信的tcp包信息，并且以详细方式显示，再写入当前目录下的net.dump文件。注意host port信息放在最后
sudo tcpdump -vv -w net.dump host 10.8.12.16 and \(10.8.12.17 or 10.8.12.18\) and port ! 80 and tcp 

#2. src 和dsc用法,可以用在hostname或者端口前面。下面例子表示只抓取10.8.12.16为源，目标是80端口的数据包
tcpdump src host 10.8.12.16  and dst port 80

2.2 winshark

服务器上只有终端，我们在本地的win环境下安装下winshark.

winshark官方下载

2.3 安装iftop

iftop工具可以帮助我们定位哪些端口上的流量比较大，这样我们使用tcpdump的时候就更加的有针对性了。

关于iftop的安装使用可以参考我的另外一篇文章： iftop工具监控网络流量

经过实验发现：

10.8.12.18上在JOB运行时消耗流量较多的端口如下：

网络流量异常分析

10.8.12.16上在JOB运行时消耗流量较多的端口如下：

网络流量异常分析

3.iftop 锁定消耗流量最大的端口

4. dump数据

alluxio是主从结构的，我们就监控下master 和worker之间通信的包信息即可。

master地址：10.8.12.16:19998

worekr地址：10.8.12.17:30000,10.8.12.18:30000,10.8.12.19:30000

3.1 抓取master->worker的日志信息

使用命令

# 监控master到worker上30000端口的流量,每个包65535字节，我们这里抓个10个包
sudo tcpdump -vv -w MasterToWorker.dump src host 10.8.12.16 and dst port  30000

未完待续~~~

标签： Tcpdump

点赞 0反对 0举报 0 评论 0

免责声明：本文仅代表作者个人观点，与乐学笔记（本网）无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
本网站有部分内容均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责，若因作品内容、知识产权、版权和其他问题，请及时提供相关证明等材料并与我们留言联系，本网站将在规定时间内给予删除等相关处理.

Fedora下交叉编译libpcap和tcpdump

一、编译libpcap1.编译tcpdump前要首先编译安装libpcap，下载地址：http://www.tcpdump.org/，(tcpdump的源码也从该地址下载)，压缩包下载好后先编译libpcap。2.解压进入libpcap目录，执行：./configuremake make install 3.如果一切顺利，那么恭喜你，可以

02-10
如何读懂tcpdump的输出

tcpdump 是 Linux 下的抓包工具，使用参数比较多，输出条目比较细。tcpdump的命令行格式tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]tcpdump的参数选项-A：以ASCI

02-05 Tcpdump
【技术分享】Android恶意软件分析

2016-12-29 13:58:54 来源：resources.infosecinstitute.com作者：开个小号阅读：160次翻译：开个小号预估稿费：200RMB（不服你也来投稿啊！）投稿方式：发送邮件至 linwei#360.cn ，或登陆网页版在线投稿目的这个练习涵盖了技术分析Android恶意软件通过使

01-06 Java Tcpdump
通过tcpdump在抓包的同时获取协议栈信息快照

2016年产生了很多的错觉。 -----------------------------------网络问题的排查过程，能够供我们进行事后分析的，只有数据包。通过分析pcap文件，可以得到很多的信息，但这些信息都是从数据包的属性中获得的，然而我们知道，数据包是协议栈发出的，协议栈为什

01-06 Tcpdump Wireshark
tcpdump、nc网络工具使用

tcpdump: 网络嗅探器nc:nmap: 端口扫描混杂模式（promisc） C设置为监控，当A和B通信，C是无法探测到数据的，除非有交换机的权限，将全网端口的数据通信都发送副本到C的端口上。此设置过程为镜像端口tcpdump-i: interface指定网卡-w file-nn: 将ip解析为数字

01-06 Tcpdump 网络工具
tcpdump的移植和使用方法

简介用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、

01-06 Tcpdump
30 分钟掌握 tcpdump

这是一篇关于tcpdump的文章，分为使用tcpdump 、解读输出两部分。其中“解读输出”部分中关于分片的解释是个人认为最有价值的，当然如果你肯花30分钟自己动手抓个包尝试用本文介绍的方式还原IP、TCP头部肯定会对你调试网络程序有帮助(成为老司机专治各种

12-23 Tcpdump
tcpdump 4.5.2拒绝服务漏洞

转载请注明出处漏洞说明软件下载：https://www.exploit-db.com/apps/973a2513d0076e34aa9da7e15ed98e1b-tcpdump-4.5.1.tar.gzPoC:from subprocess import callfrom shlex import splitfrom time import sleepdef crash():command = 'tcpdump -r crash'buffer

10-31 Tcpdump
网络流量异常分析(以alluxio做为案例)

1. 介绍前段时间对alluxio做性能测试。发现结果并没有到达自己的预期。监控流量发现网络流量比较大。按理说alluxio应该是做了数据本地化了，不会产生这么多网络流量才是（单纯不使用alluxio而采用MR就不会有这么多网络流量）。为了搞明白这个问题，也尝试调整

10-17 Alluxio Tcpdump
tcpdump 基于mac地址抓取数据包

1、刚刚接触tcpdump时，常用tcpdump -i eth1 host 192.168.1.1 这个命令基于ip地址抓取数据包信息。 tcpdump -i eth1(接口名称) host 192.168.1.1(计算机IP地址) 2、在分析客户的网络中，经常会用到设备中自带的tcpdump软件，再配合PC端的wireshark软件来简单

10-17 Tcpdump MAC地址