軟路由 tcpdump抓包詳解: 網口詳解、抓包詳解、多網卡同時抓包

軟路由詳解：

 

 

 

 

個人軟路由有四張千兆網卡。其中Eth3是WAN口，Eth012是三個LAN口，Eth0接網線鏈接一臺PC，Eth1鏈接一臺無線路由器，Eth2未使用。

 

進入軟路由系統中用ifconfig 命令查看（迴環地址省略）：

 （這邊dropped是路由器丟棄的包，overruns的是內存不夠丟棄的包）

能夠看到有eth0、eth一、eth二、eth3三張網卡

Br-lan是網卡橋接，把eth0、eth一、eth2三張網卡橋接成一個網口，能夠看到地址是192.168.100.1 也是網關的入口。

Brctl show 能夠顯示具體的橋接信息

 

 

Eth3 是鏈接外網的wan口，地址也是公網IP：121.124.52.135

 

軟路由抓包

軟路由上能夠直接使用tcpdump命令抓包，能夠對於每一張網卡單獨抓包，

示例：tcpdump -i br-lan -w ./test.pcap，即爲抓取經過eth012三張網卡的包。

 

 

如今同時抓eth0和eth3的方法是：

tcpdump -i eth3 -w ./test5en3wlan.pcap&  tcpdump -i eth0 -w ./test6en0lan.pcap&

（這邊抓包的時候打錯了是wan不是wlan）

 

記住不用使用；&& ||等方法，直接後跟&表示後臺運行，而後空格就能夠並行執行了，兩個命令會一塊兒後臺執行。

結束抓包的方法不夠優雅，須要kill掉兩個進程，能夠經過pid或者用jobs查看工做序號，而後用kill %num的方式結束抓包。

 

 

 

數據包分析

同時對wan和lan1口抓包，lan1口鏈接個人PC，訪問了youtube幾分鐘。

能夠看到以太網上，wan口抓到的數據有很是多的設備，lan口只有我PC一臺設備

 

 

過濾掉其餘流量，看下從wan口走到lan1的數據：

 

發現wlan口的數據是youtube服務器和wan口ip的鏈接，

而抓取lan口的數據看到TCP鏈接是個人代理服務器和我主機的ip的鏈接。

 

 

有興趣的小夥伴能夠拿到6次測試的數據，github不讓傳大文件，因此百度雲了：

連接：https://pan.baidu.com/s/1s1VRG0hLwEXadNBs1Z77Fg
提取碼：y0ly

 

六次抓包測試註釋：

test1brlan.pcap 用上圖中鏈接無線路由器的手機測試在br-lan網口抓的數據包

test2brlan.pcap 用上圖中鏈接無線路由器的PC測試在br-lan網口抓的數據包

test3brlan.pcap 用上圖中鏈接軟路由的PC測試在br-lan網口抓的數據包

test4en3wlan.pcap 用上圖中鏈接軟路由的PC測試在wan網口抓的數據包

test5en3wlan.pcap 用上圖中鏈接軟路由的PC測試在wan網口抓的數據包

test6en0lan.pcap 用上圖中鏈接軟路由的PC測試在eth0（LAN1接口）網口抓的數據包

 

注：1. 其中test1-4是圖片網頁，5-6是youtube視頻

    2. wlan全都是當時寫錯了，應該是wan