TCP抓包和数据包分析

已于 2023-05-22 17:29:17 修改
阅读量3.2k 收藏 8
点赞数 2
分类专栏: 网络 文章标签: 网络协议
于 2023-05-22 16:04:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banzhuantuqiang/article/details/130807382
版权

tcpdump是Linux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。在Linux系统中由于tcpdump命令的简单和强大,我们一般直接使用tcpdump命令来抓取数据包。保存之后,拖下来在wireshark中分析

一、TCP数据包抓取

tcpdump常用参数:
-c:表示要抓取的包数量,比如-c 100表示我要抓取100个满足条件的包。
-i:表示指定对哪个网卡接口进行抓包,比如-i eth0,表示对eth0这个网卡进行抓包
-n:不对具体ip地址进行域名解析,直接显示ip地址
-nn:不对具体ip进行域名解析,并且端口号也不显示服务的名称,直接显示数字
-D:列出可用于抓包的接口。将会列出接口的数值编号和接口名,它们都可以用于"-i"后。
-w:将抓包数据输出到文件中而不是打印到屏幕上。
以下这两个参数:可作抓包的时候打印出信息,作为参考,毕竟我们要在wireshark分析的
-XX:输出数据包的头部数据。
-vvv:打印和分析的时候,产生非常详细的输出

1、环境

博主这边,BMC(Linux系统)中有一个Client客户端,简称BMCClient,安卓卡(安卓系统)中有一个Server端,简称CardServer,BMCClient和CardServer基于TCP连接.

2、情景介绍和逻辑分析

如果出现网络不稳定或者网络丢包等情况,就会影响BMCClient和CardServer之间收发消息,可能存在BMCClient发送的消息,CardServer程序未接收到;也可能是CardServer程序发送的消息,BMCClient程序未接收到。这时,就需要两端抓包分析

3、抓包命令

根据BMC和安卓卡的网卡,指定网卡抓包

BMC中查询网卡的方法:ip addr (或者ifconfig)

 博主BMC中使用的网卡是br0,因此抓包抓取的是br0网卡的

(1)、抓取BMC tcp包 (或者.pcap)

tcpdump -i br0 -w /home/bmctest.cap   BMC tcp包 (或者.pcap)

(2)、抓取安卓卡 tcp包

tcpdump -i eth1 -w /home/cardtest.cap

(3)、其他常用抓包命令

a、抓取所有该网卡和该IP之间,收到的数据,src表示服务器收到的数据,如果该参数缺省,默认抓取所有数据
tcpdump -i eth0 src host 192.39.45.66

b、抓取所有该网卡和该IP之间,收到的数据,dst表示服务器发出去的数据,如果该参数缺省,默认抓取所有数据

tcpdump -i eth0 dst host 192.39.45.66

c、查看8080端口号的会话数据包,port表示端口号,后面比如跟8080。-n表示不对具体ip地址做域名解析,直接显示会话两边的具体ip地址

tcpdump -n -i eth0 port 8080 and host 192.39.45.66

d、一条完整的常用抓包命令

tcpdump -c 10 -nn -i eth0 tcp dst port 8080 and host 192.39.45.66 -w /home/xxx/MyTest.pcap

二、使用wireshark工具分析数据包

TCP的状态FLAGS字段状态

  1. SYN表示建立连接,
  2. FIN表示关闭连接,
  3. ACK表示响应,
  4. PSH表示有 DATA数据传输,
  5. RST表示连接重置

常用筛选方法使用示例如下:

1、根据ip筛选
IP源地址(Source):可以理解为发送方的IP
IP目的地址(Destination):可以理解为接收方的IP

(1)、筛选IP源地址为5.5.13.165的数据包---------------------- ip.src==5.5.13.165 

(2)、筛选IP目的地址为 5.5.13.81的数据包---------------------- ip.dst == 5.5.13.81 

一般看PSH状态的,可以看到传输的数据

(3)、筛选5.5.13.165 到 5.5.13.81的数据包---------------------- ip.src==5.5.13.165  && ip.dst == 5.5.13.81  

(4)、筛选IP为5.5.13.81的数据包---------------------- ip.addr==5.5.13.81

2、根据port筛选
TCP源端口:可以理解为发送方的端口
TCP目的端口:可以理解为接收方的端口

(1)、筛选TCP源端口为10302的数据包----------------------tcp.srcport==10302 

(2)、筛选TCP目的端口为16678的数据包----------------------tcp.dstport == 16678 

(3)、筛选TCP端口为10302的数据包----------------------tcp.port==10302 

3、 根据目的ip和目的端口筛选数据包----------------------ip.dst == 5.5.13.165 && tcp.dstport==10302

4、筛选mac地址为04:f9:38:ad:13:26的数据包----------------------eth.src == 04:f9:38:ad:13:26

三、TCP三次握手过程

四、丢包示例,丢包时,比较明显的会出现很多TCP Dup ACK

 

粤M温同学
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
超详细的网络抓包神器 tcpdump 使用指南
wjianwei666的专栏
02-27 1007
本文主要介绍了tcpdump的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的man手册。
解析TCP
m0_46661757的博客
07-11 3198
TCP
TCP数据包及连接建立过程分析
05-31
TCP数据包及连接建立过程分析,是一个实验报告。希望对大家有用
tcpdump、wireshark 抓包分析(小白快速上手)
热爱数据库的小胖
01-23 1346
网络世界中的数据包一般都是不可见的,导致在学习计算机网络的时候会觉得其非常抽象,加大了学习的难度。自从有了网络包分析工具:tcpdump 和 Wireshark,使不可见的数据包得以可视化。问题:tcpdump 和 wireshark 有什么区别?tcpdump 和 wireshark 是最常用的网络抓包分析工具,更是分析网络性能必不可少的利器。1)tcpdump 仅支持命令行格式使用,常在 Linux 服务器中抓取和分析网络包;
tcpdump 抓包工具详细图文教程(上)
Stars.Sky 的博客
06-01 8284
tcpdump 抓包工具详细图文教程!!!
TCP协议流程详解,抓包分析
weixin_40355471的博客
06-13 4082
TCP协议详解,TCP三次握手,四次挥手,TCP抓包TCP协议头部解析,数据链路层,IP层,传输层抓包
实验一 :抓包观察TCP报文
qq_58701255的博客
12-06 4568
实验一 :抓包观察TCP报文、UDP报文
基于抓包详解TCP协议
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
10-05 6197
为保证tcp可靠传输的一个方案,其特点就是累计确认,例如 接受方受到连续按序的五个报文时候发送确认消息6,就代表前五个数据包都收到了,期待第六个数据包
抓包分析tcp协议】
u010976938的博客
12-10 3521
TcpDump + WireShark 三次握手四次挥手
计算机网络协议TCP数据报的分析
愿你饱经冷暖,仍保纯真
02-02 4459
一、TCP协议的特点 TCP是面向连接的运输层协议;即应用程序在使用TCP协议通信之前,要先建立TCP连接,通信结束后必须释放已建立的TCP连接 每一条TCP连接只能有两个端点;即TCP是点对点(一对一)的通信 TCP提供全双工通信;即TCP的接收端和发送端都设有缓存,用来临时存放双方的通信数据;在发送时,应用程序将数据传送给TCP缓存后就可以做自己的事,TCP选择合适的时间把数据发送出去;...
Wireshark 的抓包分析,看这篇就够了!
伤心的辣条
08-18 9737
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
tcp/ip选修课期末大作业,资源内有为分析相关微信功能所抓取的数据包和完整大作业报告(word版),适合Wireshark入门的小伙伴们或者赶期末大作业无从下手的uu们。铁汁们,放心食用
tcp/udp数据包格式详解 抓包分析二进制数据代表的意思
11-10
tcp/udp网络数据包帧格式详解
tcp.rar_抓包 tcp
09-24
tcpflood 验证类型的程序,可惜似乎很多错误,抓包软件也没办法抓到其数据包
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获的数据包进行筛选分析分析网络流量是否正常。 通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何...
TCP数据包转发程序
12-08
基于MFC对话框和Winpcap实现的接收TCP数据包、伪造包头并转发给目的主机的程序 并附带过程文档 基于MFC对话框和Winpcap实现的接收TCP数据包、伪造包头并转发给目的主机的程序 并附带过程文档
HTTP 网络协议的请求头信息,响应头信息,具体详解(2024-04-26)
hap1994的博客
04-26 1138
HTTP 响应头信息是服务器在响应客户端的HTTP请求时发送的一系列头字段,它们提供了关于响应的附加信息和服务器的指令。这些响应头信息在实际的 HTTP 响应中可能会有所不同,具体值取决于服务器的配置和处理逻辑。
计算机网络 2.4差错检验与校正
最新发布
XD_356A的博客
04-28 582
2.循环冗余码校验:可以用检测出多位突发性差错,是最广泛使用的校验方法,又称多项式码。1.奇偶校验:是最简单的校验方法,在传输过程中使“1”的个数变为奇数或偶数。内部因素(随机错):噪声脉冲、脉动噪声、衰减、延迟失真等。外部因素(突发错):电磁干扰、太阳噪声、工业噪声等。3.常用方法:使用定比码、正反码、奇偶校验等。2.差错控制编码分类:检错码和纠错码。
沪深websocket level2/level1行情推送接入示例
04-28 483
【代码】沪深websocket level2/level1行情推送接入示例。
wiresharkTCP抓包分析
05-19
Wireshark 是一款常用的网络协议分析工具,可以用来抓包分析网络数据包。下面是一个简单的 TCP 抓包分析案例。 首先,打开 Wireshark,选择需要抓包的网络接口。在本示例中,我们使用 Wi-Fi 网络接口。接着,点击开始捕获按钮开始抓包抓包过程中,我们可以进行一些操作,例如打开浏览器访问网站或者发送一些 HTTP 请求。当我们完成一些操作后,可以停止捕获并分析抓到的数据包。 在数据包列表中,可以看到每个数据包的详细信息,包括源 IP、目标 IP、源端口、目标端口、协议类型、数据包大小等信息。我们可以通过过滤器来筛选出特定的数据包,例如只显示 TCP 数据包。 接下来,我们选择一个 TCP 数据包进行分析。在数据包详细信息面板中,我们可以看到 TCP 协议的详细信息,包括 TCP 标志位、序号、确认号、窗口大小等信息。我们还可以查看数据包的十六进制数据。 通过分析 TCP 数据包,我们可以了解到数据包的来源、目的地、协议类型、数据包内容等信息。这对于网络调试和安全审计非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

粤M温同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值