Tcpdump 和 Wireshark 的结合使用(一)

原创 2015年11月18日 13:03:07

1.Tcpdump 和Wireshark的简介

(1)Tcpdump

   我们用尽量简单的话来定义tcpdump,就是:dump the traffice on anetwork.,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。

    tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。


(2)Wireshark

   Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。

 Wireshark 是世界上最流行的网络分析工具,听说华为中兴的大部分网络工程师都在使用它,但是在Linux系统下面,我们没有这样一款图形界面的工具,为了在Linux系统下面更好的进行网络数据分析,我们一般会Tcpdump 和Wireshark结合起来,及用Tcpdump抓包,然后用Wireshark来分析。


2.Tcpdump 和 Wireshark 的使用

(1)Tcpdump

  关于Tcpdump 这个抓包工具的详细使用,请参考上一篇博文,这里只讲一下一个几个我们将要用到的命令:

  指定网卡抓包,并将包写入文件中,

  #  tcpdump  -i   eth0  -w  a.cap

  默认情况下tcpdump 对 eth0 网口抓包,我们可以使用 tcpdump -D 来列出可以使用的网口,其中any表示任意网口,lo表示本地回环网口。

   # tcpdump –D

   1.eth0                       

   2.any            

   3.lo。  


(2) Wireshark

     我们在Windows 系统中安装好 Wireshark 之后打开,打开界面如下,




wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包。




3. Wireshark 抓包界面介绍

 

WireShark 主要分为这几个界面

(1)Display Filter(显示过滤器),  用于过滤

(2)Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

(3)Packet Details Pane(封包详细信息), 显示封包中的字段

(4)Dissector Pane(16进制数据)

(5)Miscellanous(地址栏,杂项)


下面重点介绍一下Display Filter(显示过滤器) 和 .Packet Details Pane(封包详细信息)


(1)Display Filter(显示过滤器)

   

  使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
  过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
  

过滤器有两种,
  一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
  一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置。

过滤表达式的规则:

1.协议过滤

 比如TCP,只显示TCP协议。


2.IP 过滤

  比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
       ip.dst==192.168.1.102, 目标地址为192.168.1.102

3.端口过滤
  tcp.port ==80,  端口为80的
  tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4.Http模式过滤
  http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR


(2).Packet Details Pane(封包详细信息)


这个面板是我们最重要的,用来查看数据包和协议栈各层之间的关系,以及协议中的每一个字段的信息。
各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议






  

      


 




 

版权声明:本文为博主原创文章,未经博主允许不得转载。

使用tcpdump和wireshark进行网络抓包与分析

网络抓包与分析方法 1、hub+wireshark 使用hub+wireshark抓包保存为文件,然后再使用wireshark来分析。 该方法适用大多数情况。 2、tcpdump+wireshar...
  • dashon2011
  • dashon2011
  • 2014年12月04日 14:54
  • 1314

使用wireshark分析tcpdump出来的pcap文件

个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做...
  • zeze_Z
  • zeze_Z
  • 2017年02月27日 09:12
  • 2178

使用tcpdump抓取Android模拟器或真机上的HTTP包

前面我介绍了如何使用Fiddler在真实的Android手机上抓取HTTPS包的方法。但是那个方法有一个比较大的前提条件,就是被分析的应用程序必须支持代理服务器,如果不支持的话则无能为力。然而现实的情...
  • Roland_Sun
  • Roland_Sun
  • 2014年11月25日 16:32
  • 4892

Centos6.5下使用tcpdump抓包并用wireshark分析

在Centos6.5下通过使用tcpdump抓包和wireshark分析包,初步了解抓包和解包。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.co...
  • maxwell_nc
  • maxwell_nc
  • 2015年04月25日 14:25
  • 5585

如何抓取访问特定URL的HTTP流的数据包

工作中遇到了一个问题,需要抓取访问特定URL的TCP流的包。这也许不是什么问题,很多人会觉得使用tcpdump抓包,然后用Wireshark来过滤即可,但如果不能那么做呢?如果必须要仅仅抓取特定URL...
  • dog250
  • dog250
  • 2016年06月26日 01:07
  • 8920

tcpdump 抓包让wireshark来分析

在linux下面用tcpdump 抓包非常方便, 但是抓的包要提取出来进行分析, 还是得用wireshark来过滤分析比较方便。   1. 下面先介绍一下 TCPDUMP 的使用 例: tcpd...
  • u013354805
  • u013354805
  • 2015年12月10日 12:42
  • 511

Android利用tcpdump和wireshark抓取网络数据包

http://www.trinea.cn/android/tcpdump_wireshark/ 主要介绍如何利用tcpdump抓取andorid手机上网络数据请求,利用Wireshark可以清晰...
  • forlong401
  • forlong401
  • 2014年04月12日 16:43
  • 4233

20151208 Linux系统日常管理 (第二部分抓包工具tcpdump,、wireshark;防火墙工具:selinux,iptables)

1.抓包工具   tcpdump(都需要root的身份去执行) tcpdump 系统自带抓包工具 tcpdump -nn -i eth0 tcp and host 192.168.0.1 ...
  • niejicai
  • niejicai
  • 2015年12月08日 15:29
  • 1072

Tcpdump一次抓包记录(Postgresql通信)

数据库版本:postgresql 9.2.1 Jack.Gao mutex73@gmail.com 2016年7月14日 1 背景  最近在调试一个gsql灌数据时的卡死...
  • u014539401
  • u014539401
  • 2016年07月14日 23:52
  • 1139

tcpdump交叉编译和一些简单命令

下面介绍一下具体过程。 1.在http://www.tcpdump.org下载libpcap-1.0.0.tar.gz和tcpdump-4.0.0.tar.gz两个文件。 2.将这两个文件放在/h...
  • petershina
  • petershina
  • 2013年05月25日 14:20
  • 3209
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Tcpdump 和 Wireshark 的结合使用(一)
举报原因:
原因补充:

(最多只允许输入30个字)