利用tcpdump +wireshark阐明linux网络机能问题

linux网络问题阐明的大刀：tcpdump +wireshark

1.参考
2.熟悉tcpdump东西
3.以事情中dhcp处事为例，查找linux下的网络问题。

本文主要来自网络各家：
http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
http://www.tuicool.com/articles/EVVBrq
http://www.cnblogs.com/AloneSword/p/4510189.html
http://www.doc88.com/p-5807317030896.html
http://www.daxueba.net/?p=328
http://www.cr173.com/html/20128_4.html
http://www.linuxfly.org/post/183/

2.关于tcpdump
在 Linux 里抓包，然后在Windows 里阐明包。

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的范例
(2)-i eth1 : 只抓颠末接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取方针端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地点为192.168.1.0/24
(8)-w ./target.cap : 生存成cap文件，利便用ethereal(即wireshark)阐明

DHCP的浸染：

在局域网中，用户电脑都需要IP地点才利用网络处事，可是客户并不城市设置IP地点，这时，可以在网络中陈设一个DHCP处事器，用来给这些客户主灵活态的分派IP。所有DHCP的客户端，在向DHCP处事器租用到地点后，会在DHCP处事器端留下租用信息，网络打点员可以按照这些分派信息统一打点这些客户。

DHCP的一些观念：

DHCP是一个典范的Client/Server模子的协议，利用UDP传输
<1>.DHCP Server端，利用UDP端口：67 DHCP
<2>. Client端，利用UDP端口：68

DHCP的根基事情流程

DHCP的客户端假如把网卡的IP地点设置为动态获取IP的方法，就会发送DHCP请求，来寻找DHCP处事器申请地点；

DHCP的在客户端申请、处事器下发地点的进程中，一共会发生四个数据包，如下：

按照这四个数据包来看，DHCP的事情流程如下图：

DHCP具体事情流程理会

第一步：

DHCP客户端主动提倡DHCP
Discover包，用来寻找DHCP处事器，个中：源MAC是本身的MAC地点，目标MAC是FFFF.FFFF.FFFF的广播。源IP是0.0.0.0（此刻还没有IP，就用全0地点），目标IP是255.255.255.255的三层广播。因为DHCP处事器在那边还不知道，所以利用广播来寻找，广播会泛洪到整个网段中；
譬喻：在 Windows 的预设景象下，Dhcpdiscover 的期待时间预设为 1 秒，也就是当客户端将第一个
Dhcpdiscover 封包送出去之后，在 1 秒之内没有获得回应的话，就会举办第二次 Dhcpdiscover
广播。若一直得不到回应的环境下，客户端一共会有四次 Dhcpdiscover 广播(包罗第一次在内)，除了第一次会期待 1
秒之外，其余三次的期待时间别离是 9﹑13﹑16 秒。假如都没有获得 DHCP 伺服器的回应，客户端则会显示错误信息，宣告
Dhcpdiscover 的失败。之后，基于利用者的选择，系统会继承在 5 分钟之后再反复一次 Dhcpdiscover
的进程。

第二步：

DHCP处事器收到客户端发的DHCP
Discover之后，会在本身的地点池中拿出一个没有分派的地点以及配套的参数（如：掩码、DNS、网关、域名、租期……），然后以一个DHCP
Offer包发送出去。这个DHCP
Offer数据包的地点如下：源MAC是DHCP处事器的MAC，目标MAC是FFFF.FFFF.FFFF的广播。源IP是DHCP处事器的IP，目标IP是255.255.255.255的广播。这时客户端还没有得到IP，DHCP处事器端此刻还无法定位客户端，所以用广播往返应。

第三步：

客户端收到这个DHCP Offer后，会再发出一个DHCP
Request给处事器来申请这个Offer中包括的地点。这个时候，客户端还没有正式拿到地点，所以还需要向DHCP处事器申请，汇报所有
DHCP 伺服器它将指定接管哪一台伺服器提供的 IP
位址。这时客户端的源IP照旧0.0.0.0，目标IP照旧255.255.255.255。源MAC是客户端的MAC，目标MAC是FFFF.FFFF.FFFF广播包。
同时，客户端还会向网路发送一个 ARP 封包，查询网路上面有没有其它呆板利用该 IP 位址；假如发明该 IP
已经被占用，客户端则会送出一个
DHCPDECLINE 封包给 DHCP 伺服器，拒绝接管其 Dhcpoffer ，并从头发送 Dhcpdiscover
信息。
事实上，并不是所有 DHCP 客户端城市无条件接管 DHCP 伺服器的 offer ，尤其这些主机安装有其它 TCP/IP
相关的客户软体。客户端也可以用 Dhcprequest 向伺服器提出 DHCP 选择，而这些选择会以差异的号码填写在 DHCP
Option
Field 内里：