抓取网络包与分析网络报文的相关记录

最新推荐文章于 2024-01-28 22:59:38 发布
最新推荐文章于 2024-01-28 22:59:38 发布
阅读量534 收藏 2
点赞数 1
分类专栏: android系统学习轨迹
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angelsmiling/article/details/103546606
版权

文章目录

1. 前言

写这篇文章主要目的是为了结合日志辅助分析网络状况,算是比较基础,这也方便初学者学习理解。

2. tcpdump解析

先来看一下它的简介:tcpdump 是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。

常见命令如下:

tcpdump -n -s 0 -w /data/tcp.cap

tcpdump的可选参数介绍:

-a:将网络地址和广播地址转变成名字;

-d:将匹配信息包的代码以人们能够理解的汇编格式给出;

-dd :将匹配信息包的代码以c语言程序段的格式给出;

-ddd:将匹配信息包的代码以十进制的形式给出;

-e:在输出行打印出数据链路层的头部信息,包括源mac和目的mac,以及网络层的协议;

-f :将外部的Internet地址以数字的形式打印出来;

-l :使标准输出变为缓冲行形式;

-n:指定将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字;

-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

-t :在输出的每一行不打印时间戳;

-v :输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;

-vv :输出详细的报文信息;

-c :在收到指定的包的数目后,tcpdump就会停止;

-F:从指定的文件中读取表达式,忽略其它的表达式;

-i :指定监听的网络接口;

-p:将网卡设置为非混杂模式,不能与host或broadcast一起使用

-r:从指定的文件中读取包(这些包一般通过-w选项产生);

-w:直接将包写入文件中,并不分析和打印出来;

-s snaplen :snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。

-T :将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)

-X:告诉tcpdump命令,需要把协议头和包内容都原原本本的显示出来(tcpdump会以16进制和ASCII的形式显示),这在进行协议分析时是绝对的利器。

3. Wireshark使用

我这边选择wiresharp来分析抓取的网络数据包,这里对初学者来说,只要理解下面几个小节内容即可,其他使用方式不在这篇文章的讨论范畴之内.

3.1 工具简介

Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……。

Wireshark相对于tcpdump而言,界面更友好,功能更强大。

3.2 界面理解

很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看,如下图所示并做了简单说明:
在这里插入图片描述

说明:

常用按钮从左到右的功能依次是:

1、列出可用接口。

2、抓包时需要设置的一些选项。一般会保留最后一次的设置结果。

3、开始新的一次抓包。

4、暂停抓包。

5、继续进行本次抓包。

6、打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件,也可以打开tcpdump使用-w参数保存的文件。

7、保存文件。把本次抓包或者分析的结果进行保存。

8、关闭打开的文件。文件被关闭后,就会切换到初始界面。

9、重载抓包文件。

3.3 过滤规则

如果不设置过滤器,会抓取很多杂乱冗余的数据,以至于很难找到自己需要的部分,使用过滤器可以帮助我们精准找到需要的信息。以下介绍几种实用的过滤器:

1.协议过滤器:

arp:显示所有包括ARP请求和回复在内的所有ARP数据流。

ip:显示内含IPv4头在内的(如ICMP目的地址不可达报文,在ICMP报文头之后返回到来方向的IPv4头)IP数据流。

ipv6:显示所有IPv6数据流,包括内含IPv6报文头的IPv4报文,如6to4,Teredo,以及ISATAP数据流。

tcp:显示所有基于TCP的数据流。

2.应用过滤器:

bootp:显示所有DHCP数据流(基于BOOTP)。

dns:显示包括TCP区域传输以及基于标准UDP的DNS请求和回复在内的所有DNS数据流。

tftp:显示所有TFTP(Trivial File Transfer Protocol)数据流。

http:显示所有HTTP命令,回复以及数据传输报文,但不显示TCP握手报文,TCP ACK报文以及TCP结束报文。

icmp:显示所有ICMP报文。

3.域过滤器:

boot.option.hostname:显示所有包含主机名的DHCP数据流(DHCP基于BOOTP)。

http:host:显示所有包含HTTP主机名字段的所有HTTP报文。此报文是客户端向网络服务器发送请求时发出的。

ftp.request.command:显示所有包含命令的FTP数据流,比如USER,PASS,或RETR命令。

4.字符过滤器:

tcp.analysis.flags:显示所有包含TCP分析标识的所有报文,包括报文丢失,重传,或零窗口标识。

tcp.analysis,zero_window:显示含有表明发送方的接收缓存用完标识的报文。

5.显示过滤器比较运算符:

通过扩展过滤条件可查找某一域值,Wireshark针对此功能支持数字比较运算符。

4. OSI七层模型

借用网上的一张图,以辅助理解:
在这里插入图片描述

星空梦想plus
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
四统一四规范专业检测-网络报文记录分析装置
12-28
四统一四规范专业检测-网络报文记录分析装置(采集单元)
【原创】网络报文抓取研究
weixin_33889665的博客
04-12 296
1 引言 网络报文抓取是指通过对主机网络设备的探测,实现获取该网络当前传输的所有信息,并根据信息的源主机、目标主机、服务协议和端口等信息简单过滤掉不关心数据,然后提交给上层应用程序进行进一步处理。 2 网络数据包捕获原理 一个包捕获机制包含三个主要部分 1) 包捕获机制 不同的操作系统实现的底层包捕获机制可能是不一样的,但从形式上看大同小异。数据包常规的传输路径依次为网卡...
使用wireshark进行网络报文抓取分析
qq_38883139的博客
11-29 5305
Wireshark介绍 Wireshark(前称Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探工具”,像一只猎狗,忠实地守候在接口旁,抓获进出该进口的报文分析其中携带的信息,判...
网络报文转发记录
zhen7620的博客
07-03 484
 9:48:05【嵌入式实习生】跑步前进 2018-07-03 9:48:05网络报文的转发,有没有大佬清楚?每经过一个主机都会被转发一次,那岂不是同一份报文网络中被复制了好多次?【群主】老衲五木(亿联物联 2018-07-03 9:49:22主机不会转发报文,只有路由器才会帮忙转发报文9:53:35【嵌入式实习生】跑步前进 2018-07-03 9:53:35这样网络中也会出现报文复制成多份的...
网络数据包抓取分析工具
10-09
一款比简单易用的网络抓包分析工具。我们在开发网络程序的过程会出现收不到包,或者包结构错误的情况,很希望能直接从网卡抓包,看看的有没有收到以及收到时包的结构。这款工具就能很好的胜任。
华南理工大学计算机网络网络报文抓取分析实验报告.pdf
07-14
计算机网络实践指南 - 网络报文抓取分析实验报告 本实验报告详细介绍了计算机网络实验的指南,涵盖了网络报文抓取分析的实验目的、实验环境、实验步骤和实验结果。 实验目的 1. 学习了解网络侦听 2. 学习抓包...
wireshark对于网络抓包与协议分析抓取文件包
01-23
2、对报文在每一层的封装进行分析,特别是DNS、HTTP、FTP与Email协议,对端口复用与分解、应用层服务与协议的通信过程进行分析。 3、对HTTP协议的请求-响应过程及协议数据封装进行详细分析,编写一个页面,能够记录...
网络工具+分析抓包+应用服务、功能强大
05-05
4. **抓包**:工具内置了数据包捕获功能,类似Wireshark,能够记录网络上的所有传输数据,帮助分析网络流量、查找问题或者学习网络协议。 5. **终端工具**:包括SSH(安全外壳协议)、TELNET(远程登录协议)、COM...
网络抓包工具
04-08
网络抓包工具是IT行业中用于诊断网络问题、分析通信数据和理解网络协议的重要软件。它们能够捕获在局域网或互联网上传输的数据包,并提供详细的信息,帮助用户深入洞察网络活动。本篇文章将深入探讨网络抓包工具的...
抓包协议分析.doc
08-11
(1)假设邻座同学的主机为A,IP地址为w.x.y.z,运行抓包软件,新建一个Filter,只捕获本机与w.x.y.z之间的以太网帧。 (2)进入DOS仿真窗口,执行“arp –a”查看本机的ARP缓存内容,若有w.x.y.z的记录,执行“arp ...
计算机网络——数据包抓取分析
热门推荐
上山打老虎的博客
03-28 3万+
数据包抓取分析 目录 一、实验目的 二、实验内容 三、实验环境 四、实验步骤与过程 一、实验目的 学习安装、使用协议分析软件,掌握基本的数据报捕获、过滤和协议的分析技巧,能对抓取数据包进行分析。 二、实验内容 协议分析软件的安装和使用、学会抓取数据包的方法并对对抓取数据包进行分析。 三、实验环境 使用Windows操作系统;Internet连接 抓包软件Wireshark。 四、实验步骤与过程 WireShark的使用 选择接口过滤器 安装Wiresh
WireShark分析抓包报文示例
格子的博客
01-17 1万+
WireShark分析抓包报文示例 WireShark抓包很多人都会,也知道简单的分析,我这个例子是比较经典的一个分析过程,判断是本端发送问题还是对端接收问题。
网络-IP协议详解(报文格式、分类、NAT、子网、CIDR、抓包分析
关注网络安全、云原生安全
02-01 2万+
简介 IP(网际互连协议,Internet Protocol)是TCP/I P协议族中最为核心的协议。所有的 TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输。网际协议IP又称为Kahn-Cerf协议,因为这个重要协议正是Robert Kahn和Vint Cerf二人共同研发的,这两位学者在2005年获得图灵奖。 报文格式 IP报文格式 版本:占4位,指IP协议的版本。通信双方使用的IP协议的版本必须一致。目前广泛使用的IP协议版本号为4(即IPv4),以后要使用IPv6(即版本6的I
RPC配合多线程多进程实现简单远程抓包服务器
weixin_42099319的博客
08-30 573
1,rpc服务器基本搭建和介绍 1.自己理解的基本介绍 rpc分为客户端和服务端,现在互联网中的微服务架构应该就是http服务器和rpc服务器之间的一对多,或者多对多的模式建立的。 rpc客户端和服务端之间通信的协议好像是http协议,客户端和服务端之间的通信也是不安全的。 简单的rpc服务器代码如下,服务器端只需要创建一个类,将类当做入参传入rpc类开启rpc服务器即可。但是该服务是单进程的,当多个客户端访问时抓包时,只能有一个在抓包,效率低 from xmlrpc.serve
TCP 报文格式及TCP Flags
gyunling的专栏
04-16 3万+
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 报文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
常见的几种网络抓包及协议分析工具
最新发布
qq_43842093的博客
01-28 2073
网络工程师必备技能-抓取网络数据。在本篇博客中,我们将集中记下几个问题进行探讨:Wireshark 是免费的抓取数据包、分析数据包的工具,兼容 Windows、Linux、Mac等主流平台。使用 wireshark 抓包需要的工具是:安装了 wireshark 的 PC。wireshark 抓包的范围是:抓取安装了 wireshark 的 PC 本机的网卡上流经的数据包。其中,网卡指的是 PC 上网使用的模块,常见的包括:以太网网卡、wifi 无线网卡,PC 分别使用它们用于连接以太网、wifi 无线网络
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5327
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
通过抓包工具抓取UDP网络通信的以太网帧数据并分析字段含义
风雨无阻
08-15 1万+
本文主要记录使用抓包工具抓取网络数据包的过程,可以更好的理解Linux网络协议栈。 1、实验环境 一个嵌入式开发板:加载好网卡驱动程序 一台笔记本:装好抓包工具,如wireshark,装一个网络通信助手。 开发板通过直连接到PC的网口。 2、抓取UDP通信数据包 数据包包含内容如下(https://xingxingzhihuo.blog.csdn.net/article/details...
wireshark使用
夏沫的杂物间
10-15 4650
Wireshark网络工具的一些操作分析及说明。。
radius报文抓包分析
11-10
网络通信中,我们可以使用抓包工具如Wireshark来捕获并分析Radius报文。 Radius报文是通过UDP协议进行传输的。首先,我们要在Wireshark中设置过滤器,以便只显示捕获到的Radius报文。一旦设置完成,我们就可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值