f5抓包命令

⑴ 2020-05-20 通過SNMP採集F5信息無響應問題處理

通過snmpwalk訪問F5無響應

首先思考可能的原因：

1、ip不可達。

由於路由、網路分區等原因，IP不可達

驗證：通過ping 命令確認網路可達

2、埠不可達。

由於防火牆策略等原因，埠不可達

驗證：由於snmp默認訪問udp 161埠，不能用telnet來進行驗證，只能登陸F5抓包，查看snmpwalk的請求是否到達了F5,經過驗證確定埠可達

3、ACL拒絕了發起端IP。

F5的ACL只允許白名單訪問

驗證：登陸到F5控制台，查看SNMP配置中的白名單，白名單中確實沒有發起端IP

在F5控制台的SNMP配置中，將發起端IP加入到白名單中即可。

⑵ cisco 如何抓取

如果指的是在Cisco設備上抓包的話，應該是要做埠鏡像。

幾個命令就夠了，例如：

Switch(config)# monitor session 1 source interface fastethrnet 5/l both //指定抓取F5/1的流量，both指代抓取進和出兩個方向的流量，both可以換成tx或rx，分別代表發送和接受流量
Switch(config)# monitor session 1 destination interface fastethrnet 5/2
//將session1的流量從F5/2口輸出

之後將計算機接入F5/2口就可以偵聽所有經過F5/1的數據包了，這是最常見的抓包案例。

希望能有所幫助。

⑶ Fiddler抓包基本使用

Fiddler_官方網站
Fiddler_官方文檔
Fiddler_官方視頻
Fiddler_官方插件
1、Filddler簡介
Fiddler是最強大最好用的Web調試工具之一，它能記錄所有客戶端和伺服器的http和https請求，允許你監視，設置斷點，甚至修改輸入輸出數據，Fiddler包含了一個強大的基於事件腳本的子系統，並且能使用.net語言進行擴展。
2、Filddler工作原理
Fiddler是以代理WEB伺服器的形式工作的,瀏覽器與伺服器之間通過建立TCP連接以HTTP協議進行通信，瀏覽器默認通過自己發送HTTP請求到伺服器，它使用代理地址:127.0.0.1, 埠:8888. 當Fiddler開啟會自動設置代理， 退出的時候它會自動注銷代理，這樣就不會影響別的程序。不過如果Fiddler非正常退出，這時候因為Fiddler沒有自動注銷，會造成網頁無法訪問。解決的辦法是重新啟動下Fiddler.

4、界面介紹
4.1 Fiddler主界面

4.2 工具面板

工具欄說明：說明注釋、重新請求、刪除會話、繼續執行、流模式/緩沖模式、解碼、保留會話、監控指定進程、尋找、保存會話、切圖、計時、打開瀏覽器、清除IE緩存、編碼/解碼工具、彈出控制監控面板、MSDN、幫助。
兩種模式：
1、 緩沖模式（Buffering Mode）： Fiddler直到HTTP響應完成時才將數據返回給應用程序。可以控制響應，修改響應數據。但是時序圖有時候會出現異常
2、流模式（Streaming Mode）： Fiddler會即時將HTTP響應的數據返回給應用程序。更接近真實瀏覽器的性能。時序圖更准確。但是不能控制響應。

4.3會話面板

4.4 監控面板

統計報表
(1) 請求總數、請求包大小、響應包大小；
(2) 請求起始時間、響應結束時間、握手時間、等待時間、路由時間、TCP/IP傳輸時間；
(3) HTTP狀態碼統計；
(4) 返回的各種類型數據的大小統計以及餅圖展現。

時間軸
每個網路請求都會經歷域名解析、建立連接、發送請求、接受數據等階段。把多個請求以時間作為 X 軸，用圖表的形式展現出來，就形成了瀑布圖。在Fiddler 中，只要在左側選中一些請求，右側選擇Timeline標簽，就可以看到這些請求的瀑布圖

1）綠色的請求表示這是一個「有條件的請求」。HTTP 協議定義了 5 個條件請求頭部，最常見的兩個是「If-Modified-Since」和「If-None-Match」。伺服器根據這兩個頭部來驗證本地緩存是否過期，如果過期則正常返回資源的最新版本；否則僅返回 304 Not Modified，瀏覽器繼續使用本地緩存。包含條件請求頭部的請求用綠色顯示，否則用黑色。
2）有陰影線的請求是緩沖模式下的請求，實心的是流模式下的請求。Fiddler 提供了緩沖（Buffering）和流（Streaming）兩種抓包模式：緩沖模式下，Fiddler 會在響應完成時才將數據返回給應用程序（通常是瀏覽器），這種模式下可以控制響應，方便地修改響應內容；流模式下，Fiddler 會實時返回響應數據給瀏覽器，但沒辦法控制響應。一般使用流模式，瀑布圖會更真實一些。這兩種模式可以通過 Fiddler 的工具欄選擇。特別的，通過 Fiddler 的「AutoResponder」功能返回的響應，只能是緩沖模式。
3）請求條的不同顏色對應著不同類型的響應，根據響應頭的 MIME Type 來歸類。如淺綠色表示圖片類型的響應；深綠色是 JavaScript；紫色是 CSS；其它都是藍色。
4）請求中的黑色豎線，表示的是瀏覽器收到服務端響應的第一個位元組這一時刻。這個時間受 DNS 解析、建立連接、發送請求、等待服務端響應等步驟的影響。
5）請求條後面的圖標表示響應的某些特徵。如軟盤圖標表示這個響應正文從本地獲得，也就是說服務端返回了 304；閃電表示這是 Fiddler 的「AutoResponder」的響應；向下的箭頭表示響應是 302，需要重定向；紅色感嘆號說明這個請求有錯誤發生（狀態碼是 4XX 或 5XX）。特別的，如果請求條後面有一個紅色的X，說明服務端響應完這個請求之後，斷開了連接。出現這種情況一般有兩種可能：HTTP/1.0 的響應中沒有 Connection: Keep-Alive；或者是 HTTP/1.1 的響應中包含了 Connection: close。使用持久連接可以省去建立連接的開銷，也可以減小 TCP 慢啟動和其它擁塞控制機制帶來的影響，總之是好處多多。
6）請求前面的紅色圓圈表示這個連接是新建的，綠色表示是復用的。上面的圓圈表示的是瀏覽器到 Fiddler 的連接，下面的圓圈是 Fiddler 到服務端的連接。

4.5 狀態面板

控制台
Fiddler的左下角有一個命令行工具叫做QuickExec,允許你直接輸入命令。
help 打開官方的使用頁面介紹，所有的命令都會列出來
cls 清屏 (Ctrl+x 也可以清屏)
select 選擇會話的命令
?.png 用來選擇png後綴的圖片
bpu 截獲request
bpafter 截獲response

5、HTTP協議簡介
5.1、HTTP消息的結構
5.1.1、Request

先看Request 消息的結構, Request 消息分為3部分，第一部分叫Request line, 第二部分叫Request header, 第三部分是body. header和body之間有個空行。第一行中的Method表示請求方法,比如"POST","GET", Path-to-resoure表示請求的資源， Http/version-number 表示HTTP協議的版本號,當使用的是"GET" 方法的時候， body是為空的。

5.1.2、Response

5.2 狀態碼
Response 消息中的第一行叫做狀態行，由HTTP協議版本號， 狀態碼， 狀態消息 三部分組成。
狀態碼用來告訴HTTP客戶端,HTTP伺服器是否產生了預期的Response.
HTTP/1.1中定義了5類狀態碼， 狀態碼由三位數字組成，第一個數字定義了響應的類別

1XX —— 提示信息，表示請求已被成功接收，繼續處理
2XX —— 成功，表示請求已被成功接收，理解，接受
3XX —— 重定向，要完成請求必須進行更進一步的處理
4XX —— 客戶端錯誤，請求有語法錯誤或請求無法實現
5XX —— 伺服器端錯誤，伺服器未能實現合法的請求

常見響應碼說明：
200：響應成功，這表明該請求被成功地完成，所請求的資源發送回客戶端
302：重定向，新的URL會在response 中的Location中返回，瀏覽器將會自動使用新的URL發出新的Request
304：代表上次的文檔已經被緩存了， 還可以繼續使用，例如打開博客園首頁, 發現很多Response 的status code 都是304
[提示：如果你不想使用本地緩存可以用Ctrl+F5 強制刷新頁面]
400 ： 客戶端請求與語法錯誤，不能被伺服器所理解
403：伺服器收到請求，但是拒絕提供服務
404 ：找不到網頁，請求的資源不存在
500 ： 伺服器發生了不可預期的錯誤
503 ：伺服器當前不能處理客戶端的請求，一段時間後可能恢復正常

6、 常用功能
6.1 監聽HTTPS

6.3 模擬各類場景
通過GZIP壓縮，測試性能
模擬Agent測試，查看服務端是否對不同客戶端定製響應
模擬慢速網路，測試頁面的容錯性
禁用緩存，方便調試一些靜態文件或測試服務端響應情況

6.4 Compare（對比文本）

Fiddler中設置斷點修改Response跟斷點修改Request用法差不多。

參考文檔： http://www.cnblogs.com/FounderBox/p/4653588.html?utm_source=tuicool&utm_medium=referral
http://kb.cnblogs.com/page/130367/

⑷ 如何在 android 手機上實現抓包

使用 tPacketCapture，
無需 root，可以保存下 pcap 格式的流量捕獲，然後在電腦上打開分析。

它的原理是建立一個虛擬的 VPN 連接，
讓所有的流量都通過它。
因此它捕獲不到二層的信息，但這對於基本參考需求來說已經足夠了。

⑸ F5負載均衡虛擬伺服器配置FTP埠訪問不了

正常情況下主動模式FTP是使用21埠進行通訊，20埠傳輸數據。
81埠是對外，真實伺服器的埠是21么，還是也改掉了？
你需要看一下是否20埠也做了更改，如果更改了，需要新創建一個ftp profile，然後把數據傳輸的埠修改為你設置的傳輸埠。
另外，1024以下的埠都已經是被分配出去的，建議使用高一點的埠。
訪問方式應該為ftp://vip:port或直接在命令行下訪問

⑹ 如何使用抓包命令

.抓包命令tcpmp，
例：抓獲192.168.1.32 的主機收到和發出的所有的數據包
tcpmp host 192.168.1.32
截獲特定的埠
tcpmp tcp port 21 host 192.168.1.32

⑺ 如何使用fidder 進行抓包

Android系統手機端抓包方法有如下：一、抓包準備 1. Android手機需要先獲得root許可權。一種是否獲得root許可權的檢驗方法：安裝並打開終端模擬器（可通過安卓市場等渠道獲得）。在終端模擬器界面輸入su並回車，若報錯則說明未root，若命令提示符從$變#則為rooted。 2. 如果Android手機尚未root，可通過superoneclick或其它方法進行root處理（需要先安裝Microsoft .NET Framework）。 3. 需要先獲得 Android SDK，Android的開發環境。 4. 需要獲得tcpmp軟體。 二、抓包步驟 1. 將Android手機與電腦USB相連，打開windows命令提示符窗口。 2. 將tcpmp程序至android手機（該命令前面那個目錄文件為本地地址，後面那個目錄為目的手機端地址）。C:\android-sdk-windows\platform-tools>adb push c:/tcpmp /data/local/tcpmp 3. 修改tcpmp的許可權。C:\android-sdk-windows\platform-tools>adb shell #chmod 777 /data/local/tcpmp 4. 進入root許可權 C:\android-sdk-windows\platform-tools>adb shell,執行$ su ,在運行su指令後，手機終端桌面會出現相應提示信息以確認您對root操作的認可。 5. 運行tcpmp，輸入以下命令啟動抓包。/data/local/tcpmp -p -vv -s 0 -w /sdcard/capture.pcap。 6. 在手機端執行相應需要進行抓包分析的操作，執行完成後在命令提示符窗口執行Ctrl+C中斷抓包進程。 7. 將抓包結果復制至本地（前面那個目錄為手機端地址，後面那個目錄為本地地址），C:\android-sdk-windows\platform-tools>adb pull /sdcard/capture.pcap c:/ 8. 使用Wireshark等工具查看抓包文件capture.pcap。

⑻ wireshark抓包命令總結

參考的循環抓包命令，其中的過濾條件需要根據實際情況修改（該命令最多佔用4G的存儲空間，且會在後台持續運行）：sudo nohup tcpmp -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &

-W filecount .  -C file_size . -s 80  snaplen 截取特定的長度

常用排錯過濾條件:

對於排查網路延時/應用問題有一些過濾條件是非常有用的：

tcp.analysis.lost_segment：表明已經在抓包中看到不連續的序列號。報文丟失會造成重復的ACK，這會導致重傳。

tcp.analysis.plicate_ack：顯示被確認過不止一次的報文。大涼的重復ACK是TCP端點之間高延時的跡象。

tcp.analysis.retransmission：顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的，過多重傳可能有問題。這通常意味著應用性能緩慢和/或用戶報文丟失。

tcp.analysis.window_update：將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零，這意味著發送方已經退出了，並等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了。

tcp.analysis.bytes_in_flight：某一時間點網路上未確認位元組數。未確認位元組數不能超過你的TCP窗口大小（定義於最初3此TCP握手），為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小。如果看到連續低於TCP窗口大小，可能意味著報文丟失或路徑上其他影響吞吐量的問題。

tcp.analysis.ack_rtt：衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網路延時（報文丟失，擁塞，等等）。

⑼ Linux下如何抓指定IP的包

用tcpm命令可以抓指定IP的包，具體命令為：

tcpmp tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap

參數解析：

tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型。

-i eth1 : 只抓經過介面eth1的包

-t : 不顯示時間戳

-s 0 : 抓取數據包時默認抓取長度為68位元組。加上-S 0 後可以抓到完整的數據包

-c 100 : 只抓取100個數據包

dst port 22 : 抓取目標埠是22的數據包

src net 192.168.1.0/24 : 數據包的源網路地址為192.168.1.1

-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

(9)f5抓包命令擴展閱讀

tcpmp語法格式：

tcpmp [-adeflnNOpqStvx][-c<數據包數目>][-dd][-ddd][-F<表達文件>][-i<網路界面>][-r<數據包文件>][-s<數據包大小>][-tt][-T<數據包類型>][-vv][-w<數據包文件>][輸出數據欄位]

tcpmp主要參數說明：

1、-a 嘗試將網路和廣播地址轉換成名稱。

2、-c<數據包數目> 收到指定的數據包數目後，就停止進行傾倒操作。

3、-d 把編譯過的數據包編碼轉換成可閱讀的格式，並傾倒到標准輸出。

4、-dd 把編譯過的數據包編碼轉換成C語言的格式，並傾倒到標准輸出。

5、-ddd 把編譯過的數據包編碼轉換成十進制數字的格式，並傾倒到標准輸出。

6、-e 在每列傾倒資料上顯示連接層級的文件頭。

7、-f 用數字顯示網際網路地址。

8、-F<表達文件> 指定內含表達方式的文件。

9、-i<網路界面> 使用指定的網路截面送出數據包。

10、-l 使用標准輸出列的緩沖區。

11、-n 不把主機的網路地址轉換成名字。

12、-N 不列出域名。

⑽ 應用抓包之tcpmp命令抓包

原料
1.預抓包的App一個（我們以app抓包為例）
2.已配置android sdk
3.分析軟體Wireshark（Windows版）
4.抓包命令：tcpmp
5.模擬器或真機（以模擬器為例，真機需root）

首先我們先配置下環境變數
1.先來個ANDROID_HOME:SDK的路徑，類似於JAVA_HOME。（一勞永逸，以後安裝到別的路徑，改變一下HOME路徑就行）

2.把sdk路徑下的platfrom-tools和tools添加到環境變數

配置好就可以用adb命令了

1.執行tcpmp命令
tcpmp可以將網路中傳送的數據包完全截獲下來提供分析。

以上命令將截獲的數據包保存到sdcard，capture.pcap抓取是數據包，pcap為Wireshark分析文件的後綴。

這時抓包就開始了，在手機上刷新幾下要抓取數據的app。
抓完之後按ctrl+c停止抓包

2.將抓取的數據導出到電腦上（從sdcard導出到電腦上分析）
退出android shell環境(命令行輸入兩次exit)，回到Windows環境。

接著執行

導出剛才抓到的文件到電腦d盤。（如果導出失敗，自己手動把抓包數據復制到電腦上）

或者通過DDMS導出到電腦

3.Wireshark打開剛才獲取到的.pcap文件
過濾出http

點擊某一個抓到的http包，可以查看它的詳細信息(自己判斷一下可能是哪個域名)

我們可以看到是get請求

復制出來去請求一下（右鍵->復制->值）

去瀏覽器中請求

再結合app，看看是哪個界面的內容
4.新建個文本文件，保存抓到的借口。例如：

看看請求出來ip地址，順著ip找出所有的api借口

54開頭的就是我要抓的app。