查询进程打开的网络连接
lsof -i pid该命令最后一列Name显示了连接信息。有时候端口显示的不是数字,而是一个名字,比如:
localhost:fmtp->localhost:62309 (ESTABLISHED)
这个是因为linux内置了常见的端口及服务名,我们可以查询这个映射表,知道该名字代表那个端口
该映射表为 cat /etc/services
注 : \color{red}{注:} 注:lsof默认所有的查询条件是 或 \color{red}{或} 或的关系,如果需要与的关系需要加-a选项。比如查询某进程打开的网络连接lsof -a -i -p pid
tcpdump
有些时候缺少应用层日志时,只能通过抓包工具抓网络包进行分析。tcpdump抓的都是原始数据,不方便查看,可以使用tcpdump导出.pcp文件,然后下载到windows中,使用wireshark进行分析。tcpdump命令格式如下:
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ][ -C file_size ] [ -F file ][ -i interface ] [ -m module ] [ -M secret ][ -r file ] [ -s snaplen ] [ -T type ] [ -w file ][ -W filecount ][ -E spi@ipaddr algo:secret,... ][ -y datalinktype ] [ -Z user ][ expression ]
常用的参数如下:
-A 以ASCII:码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据-c count :tcpdump将在接受到count个数据包后退出.-i interface: 指定tcpdump监听的网卡接口,尤其是tcpdum默认不监控环路,需要通过-i lo进行指定-s snaplen:设置抓取包的长度为snaplen,默认为262144,为了防止截断,使用-s 0解除改限制-n 不对地址(比如, 主机地址, 端口号)进行数字表示到名字表示的转换.-w file:将数据写入到文件,比如使用tcpdump -i lo tcp port xx -w dump.pcap,然后使用wireshark打开dump.pcap
expression表示数据包的过滤条件,表达式可以包含多个条件,每个条件使用逻辑表达式串联。比如:
条件1 and 条件2 or (not 条件3)
单个条件由primitive组成,primitive分3类:
type 可选的对象类型有: host, net, port 以及portrange(nt: host 表明id表示主机, net 表明id是网络, port 表明id是端而portrange 表明id 是一个端口范围). 如, ‘host foo’, ‘net 128.3’, ‘port 20’, ‘portrange 6000-6008’(nt: 分别表示主机 foo,网络 128.3, 端口 20, 端口范围 6000-6008).
dir 上述type所对应的传输方向,可取的方向为: src, dst。
proto 修饰符描述id 所属的协议. 可选的协议有: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp以及 upd.
