软路由 tcpdump抓包详解: 网口详解、抓包详解、多网卡同时抓包

软路由详解：

 

 

 

 

个人软路由有四张千兆网卡。其中Eth3是WAN口，Eth012是三个LAN口，Eth0接网线链接一台PC，Eth1链接一台无线路由器，Eth2未使用。

 

进入软路由系统中用ifconfig 命令查看（回环地址省略）：

 （这边dropped是路由器丢弃的包，overruns的是内存不够丢弃的包）

能够看到有eth0、eth一、eth二、eth3三张网卡

Br-lan是网卡桥接，把eth0、eth一、eth2三张网卡桥接成一个网口，能够看到地址是192.168.100.1 也是网关的入口。

Brctl show 能够显示具体的桥接信息

 

 

Eth3 是链接外网的wan口，地址也是公网IP：121.124.52.135

 

软路由抓包

软路由上能够直接使用tcpdump命令抓包，能够对于每一张网卡单独抓包，

示例：tcpdump -i br-lan -w ./test.pcap，即为抓取经过eth012三张网卡的包。

 

 

如今同时抓eth0和eth3的方法是：

tcpdump -i eth3 -w ./test5en3wlan.pcap&  tcpdump -i eth0 -w ./test6en0lan.pcap&

（这边抓包的时候打错了是wan不是wlan）

 

记住不用使用；&& ||等方法，直接后跟&表示后台运行，而后空格就能够并行执行了，两个命令会一块儿后台执行。

结束抓包的方法不够优雅，须要kill掉两个进程，能够经过pid或者用jobs查看工做序号，而后用kill %num的方式结束抓包。

 

 

 

数据包分析

同时对wan和lan1口抓包，lan1口链接个人PC，访问了youtube几分钟。

能够看到以太网上，wan口抓到的数据有很是多的设备，lan口只有我PC一台设备

 

 

过滤掉其余流量，看下从wan口走到lan1的数据：

 

发现wlan口的数据是youtube服务器和wan口ip的链接，

而抓取lan口的数据看到TCP链接是个人代理服务器和我主机的ip的链接。

 

 

有兴趣的小伙伴能够拿到6次测试的数据，github不让传大文件，因此百度云了：

连接：https://pan.baidu.com/s/1s1VRG0hLwEXadNBs1Z77Fg
提取码：y0ly

 

六次抓包测试注释：

test1brlan.pcap 用上图中链接无线路由器的手机测试在br-lan网口抓的数据包

test2brlan.pcap 用上图中链接无线路由器的PC测试在br-lan网口抓的数据包

test3brlan.pcap 用上图中链接软路由的PC测试在br-lan网口抓的数据包

test4en3wlan.pcap 用上图中链接软路由的PC测试在wan网口抓的数据包

test5en3wlan.pcap 用上图中链接软路由的PC测试在wan网口抓的数据包

test6en0lan.pcap 用上图中链接软路由的PC测试在eth0（LAN1接口）网口抓的数据包

 

注：1. 其中test1-4是图片网页，5-6是youtube视频

    2. wlan全都是当时写错了，应该是wan