如何使用 tcpdump 过滤 MongoDB 副本集心跳？

在此文档的基础上，首先我们需要确定我们的识别特征是什么，以便过滤器成功并且只挑选出心跳。然后，我们需要获取该标识符的十六进制表示。从出站心跳本身（本质上只是一个查询/命令）开始，它是一个管理命令，包含以下字符串：

replSetHeartBeat = 0x7265706c536574486561727446265174 (16 bytes)

现在我们有了识别字符串，我们需要弄清楚在 TCP 内部的位置。偏移量计算如下：

TCP 的 32 个字节让您使用MongoDB 有线协议，然后：

• 4 个字节 - 消息长度
• 4 个字节 - 请求 ID
• 4 个字节 - 响应
• 4 个字节 - 操作码
• 4 个字节 - 标志
• 11 个字节 - 集合名称（在这种情况下始终相同，但通常可能会有所不同）
• 4 个字节 - numtoskip
• 4 个字节 - numtoreturn
• 4 个字节 - 文档长度
• 1 字节 - 类型

因此总偏移量为： (32+4+4+4+4+4+11+4+4+4+1) = 76 字节

因此，您会认为需要这样的东西：

sudo tcpdump -i eth0 'tcp[76:16] = 0x7265706c536574486561727446265174'

遗憾的是，tcpdump 一次最多只能匹配 4 个字节，因此您实际上需要将其分解为 4 x 4 字节块并使用逻辑 AND 来组合匹配项：

sudo tcpdump -i eth0 '(tcp[76:4] = 0x7265706c) and (tcp[80:4] = 0x53657448) and (tcp[84:4] = 0x65617274) and (tcp[88:4] = 0x62656174)'

这涵盖了心跳的出站部分，但是回复呢？

值得庆幸的是，心跳上的回复更容易匹配——我们正在寻找文档的 rs:true 部分，它的翻译如下，很容易适应 4 个字节：

rs : true = 0x72730001 (4 bytes)

以类似的方式计算偏移量（唯一真正的区别是 8 字节的游标 ID 而不是 11 字节的集合名称）我们得到 73 字节的偏移量，这就得到了这个过滤器：

sudo tcpdump -i eth0 'tcp[73:4] = 0x72730001'

最后，让我们把它们放在一起，并添加一些我喜欢的 tcpdump 选项。最后我们得到这个命令：

sudo tcpdump -Xs0 -nnpi eth0 -w heartbeats.pcap '((tcp[76:4] = 0x7265706c) and (tcp[80:4] = 0x53657448) and (tcp[84:4] = 0x65617274) and (tcp[88:4] = 0x62656174)) or tcp[73:4] = 0x72730001'

（在 Mac OS X 和 Linux 上使用 MongoDB 2.4.4 成功测试）

当然，这也可以应用得更普遍，你只需要制定出合适的匹配标准、偏移量和字节匹配即可。

作为参考，您可以使用相同的标准，但语法略有不同，以在 Wireshark 中测试这种类型的过滤。上述标准的等效 Wireshark 过滤器是：

tcp[76:16]==72:65:70:6c:53:65:74:48:65:61:72:74:62:65:61:74
tcp[73:4]==72:73:00:01