TCPDUMP工具的使用

[复制链接]
发表于 : 2018-12-11 15:44:11 最新回复:2018-12-12 13:08:10
1037 1
Michal666
Michal666  导师

   
1. tcpdump的文件传到vm所在的主机/home/Galax8800目录下

  
2. 登录cna主机使用root用户进行抓包,把抓包取下来分析报文(抓包过程中对vm的网卡进行dhcp启停操作,重新触发dhcp请求):

  
(1)如果需要抓固定主机的包,如下命令,trunk0是vm所在nic挂载的bond口

  
    ./tcpdump -i trunk0 host 10.239.212.60 –nne -w test.cap

  
(2)如果无地址,仅指定接口即可

  
    ./tcpdump -i trunk0 –nne  -w test.pcap

  
(3) 主机的trunk0敺eth 口怎么找,参考如下方法:

  
A. 在虚拟机所在CNA上执行virsh list | grep i-00000108,记录第一列显示的Id,如下图,Id5368

TCPDUMP工具的使用-2818351-1

      
再执行virsh dumpxml i-00000108,根据虚拟机MAC地址找对该网卡对应的pci号,如下图,pci号为0

  
TCPDUMP工具的使用-2818351-2

  
此时可以确认虚拟机网卡对应的后端网卡为vif5368.0.

  
B.  CNA上执行ovs-vsctl port-to-br vifX.X,查询后端网卡所属的ovs

  
TCPDUMP工具的使用-2818351-3

  
 

  
再执行ovs-vsctl list-ports br-2 (br-2是上一条命命令查询出的ovs名称),查询该ovs内其他网卡,识别出加入该ovs的物理网卡聚合的名称,常已ethbond名称开头,如下图,加入该ovs的物理网卡为eth2

  
TCPDUMP工具的使用-2818351-4

  
C.  如果上一步中查询到的是bond设备,则执行cat /proc/net/bonding/bondXX,查看bond类型以及其包含的物理网卡的简单信息。如下图,bond13为主备模式,主网卡为eth0,其速率为千兆。发出CNA的报文,会经过bond设备,然后经过eth0网卡到达外部网络设备。

  
 

  
TCPDUMP工具的使用-2818351-5

  

工具下载:
http://3ms.huawei.com/hi/group/1501725/file_4515373.html?for_statistic_from=my_group_file

 http://3ms.huawei.com/hi/group/1501725/file_12779435.html
 KVM

http://vault.centos.org/7.3.1611/os/x86_64/Packages/


tcpdump-4.5.1-3.el7.x86_64.rpm

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
建赟
建赟  专家 发表于 2018-12-12 13:08:10 已赞(0) 赞(0)

感谢分享
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录