Poo*_*til 2 tcpdump pcap netcat
是否可以在已使用的端口上侦听(而不是创建新连接)TCP 数据包,即将数据从路由器发送到服务器。
我知道以下内容启动了上述端口上的侦听过程,并将其保存在文件中pcap:
服务器端:nc -l -p <port> > file_name.pcap
客户端:sudo tcpdump -s 0 -U -n -i eth0 not host <server_ip> -w file_name.pcap | nc <server_ip> <port>
但这会在给定端口上创建一个新连接并捕获与其相关的数据包。我想捕获已用于发送数据包的端口上的数据包。
Netcat 目前似乎不具备该功能(根据手册页)。
监听时netcat通常会打开一个族(网络层,即TCP/UDP)和类型(双向连接)的套接字。相反,为了转储数据包,tcpdump 打开一个系列(设备驱动程序层)和类型(直接访问接收到的数据包)的套接字。AF_INETSOCK_STREAMAF_PACKETSOCK_RAW
您可以使用 strace 来观察这一点,以跟踪系统调用(此处socket以及后续的bind)及其参数:
$ sudo strace -e trace=socket,bind nc -l 8888
socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
bind(3, {sa_family=AF_INET, sin_port=htons(8888), sin_addr=inet_addr("0.0.0.0")}, 16) = 0
$
$ sudo strace -e trace=socket,bind tcpdump -w tmp.pcap
[...]
socket(PF_PACKET, SOCK_RAW, 768) = 3
bind(3, {sa_family=AF_PACKET, proto=0x03, if2, pkttype=PACKET_HOST, addr(0)={0, }, 20) = 0
[...]
您可以使用 类型的套接字在设备驱动程序级别(如 tcpdump)或网络层转储流量SOCK_RAW。AF_INET也就是说,您可以通过打开系列和类型的套接字来很好地检索通过 netcat 发送的文件SOCK_RAW,正如本博客文章中所实现的那样。