tcpdump抓包命令和wireshark抓包分析

测试技能 专栏收录该内容
21 篇文章 0 订阅

tcpdump抓包命令

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap

  • 抓eth1的包
    tcpdump -i eth1 -w /tmp/xxx.cap
  • 抓 192.168.1.123的包
    tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
  • 抓192.168.1.123的80端口的包
    tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
  • 抓192.168.1.123的icmp的包
    tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap
  • 抓192.168.1.123的80端口和110和25以外的其他端口的包
    tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
  • 抓vlan 1的包
    tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
  • 抓pppoe的密码
    tcpdump -i eth1 pppoes -w /tmp/xxx.cap
  • 以100m大小分割保存文件, 超过100m另开一个文件
    -C 100m
  • 抓10000个包后退出
    -c 10000
  • 后台抓包, 控制台退出也不会影响
    nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &

使用wireshark分析tcpdump出来的pcap文件

我们需要过滤一些想要的数据,那么在如图所示的输入框中输入表达式过滤即可:
这里写图片描述

Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数据来源:

tcp.port== 80 //过滤来自80端口的TCP数据
udp.port== 12345 //过滤来自12345端口的UDP数据
ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据

关于wireshark:

wireshark面板介绍:
这里写图片描述
1. Display Filter(显示过滤器), 用于过滤。
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表不同的数据流。
3. Packet Details Pane(封包详细信息), 显示封包中的字段。
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)

封包详细信息:

Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

wireshark与对应的OSI七层模型:

这里写图片描述

封包详细内容中,TCP包具体内容:

这里写图片描述


实例分析TCP三次握手:

这里写图片描述

上图是TCP三次握手的过程图,那么在wireshark上,我们也可以看到这个过程:

打开浏览器和wireshark,任意输入并浏览一个网址,然后在wireshark中,找到protocol为TCP的数据包,右键->追踪流->TCP流,既可以看到两台主机之间,进行的通信:
这里写图片描述
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。 如下图:
这里写图片描述

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图:
这里写图片描述

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
这里写图片描述

TCP三次握手四次挥手过程:

这里写图片描述

回到具体问题,我们知道了这些wireshark的面板中,各项中,字段含义,那么怎么知道一步操作具体使用了多少流量呢?
前提:清除掉你的应用缓存,不然不能得到你想要的数据。
1.使用过滤器,过滤出你想要的数据包(此步可以省略);
2.找到你想统计的主机地址和目的地址通信的包,右键,追踪流,TCP流,如图:
这里写图片描述
3.在筛选出的TCP Stream中,将各条记录的Length进行求和,即可得到总的大小;
这里写图片描述

当然,这里wireshark给我们提供了一个简单的方法,查看流量的统计结果:

点击统计,端点;在弹出来的窗口中,选择TCP,勾选“显示过滤器的限制”,如图所示:
这里写图片描述

PS:这部分是之和,是包含了TCP连接所消耗的数据,如果你想剔除这部分数据,那么,可以(右键->追踪流->TCP流),这样,可以在左下角看到有个entire conversation(114kB),及不包含TCP连接的通信数据流量为114KB;

原文链接:https://blog.csdn.net/zhou1021jian/article/details/79631422

  •                     <li class="tool-item tool-active is-like "><a href="javascript:;"><svg class="icon" aria-hidden="true">
                            <use xlink:href="#csdnc-thumbsup"></use>
                        </svg><span class="name">点赞</span>
                        <span class="count">5</span>
                        </a></li>
                        <li class="tool-item tool-active is-collection "><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;popu_824&quot;}"><svg class="icon" aria-hidden="true">
                            <use xlink:href="#icon-csdnc-Collection-G"></use>
                        </svg><span class="name">收藏</span></a></li>
                        <li class="tool-item tool-active is-share"><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;1582594662_002&quot;}"><svg class="icon" aria-hidden="true">
                            <use xlink:href="#icon-csdnc-fenxiang"></use>
                        </svg>分享</a></li>
                        <!--打赏开始-->
                                                <!--打赏结束-->
                                                <li class="tool-item tool-more">
                            <a>
                            <svg t="1575545411852" class="icon" viewBox="0 0 1024 1024" version="1.1" xmlns="http://www.w3.org/2000/svg" p-id="5717" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><defs><style type="text/css"></style></defs><path d="M179.176 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5718"></path><path d="M509.684 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5719"></path><path d="M846.175 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5720"></path></svg>
                            </a>
                            <ul class="more-box">
                                <li class="item"><a class="article-report">文章举报</a></li>
                            </ul>
                        </li>
                                            </ul>
                </div>
                            </div>
            <div class="person-messagebox">
                <div class="left-message"><a href="https://blog.csdn.net/weixin_42961782">
                    <img src="https://profile.csdnimg.cn/D/9/1/3_weixin_42961782" class="avatar_pic" username="weixin_42961782">
                                            <img src="https://g.csdnimg.cn/static/user-reg-year/1x/2.png" class="user-years">
                                    </a></div>
                <div class="middle-message">
                                        <div class="title"><span class="tit"><a href="https://blog.csdn.net/weixin_42961782" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}" target="_blank">今晚吃水煮鱼</a></span>
                                            </div>
                    <div class="text"><span>发布了0 篇原创文章</span> · <span>获赞 5</span> · <span>访问量 1万+</span></div>
                </div>
                                <div class="right-message">
                                            <a href="https://im.csdn.net/im/main.html?userName=weixin_42961782" target="_blank" class="btn btn-sm btn-red-hollow bt-button personal-letter">私信
                        </a>
                                                            <a class="btn btn-sm  bt-button personal-watch" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}">关注</a>
                                    </div>
                            </div>
                    </div>
    
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值