Linux使用tcpdump命令抓包并使用wireshark分析常见的场景和解读

最新推荐文章于 2024-09-25 09:46:16 发布
最新推荐文章于 2024-09-25 09:46:16 发布
阅读量3.6k 收藏 21
点赞数 52
文章标签: linux tcpdump wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethnicitybeta/article/details/140317736
版权

使用 tcpdump 抓包并使用 Wireshark 分析网络流量是一项重要的网络管理和故障排除技能。以下是一个简单的步骤指南,涵盖了从抓包到分析的常见场景。

抓包

  1. 安装 tcpdump

    在大多数 Linux 发行版上,您可以使用包管理器安装 tcpdump。例如,在基于 Debian 的系统上:

    sudo apt-get install tcpdump

    在基于 Red Hat 的系统上:

    sudo yum install tcpdump

  2. 使用 tcpdump 抓包

    要抓取所有接口的流量,可以使用以下命令:

    sudo tcpdump -i any -w capture.pcap
    • -i any 表示监听所有网络接口。
    • -w capture.pcap 表示将抓到的数据保存到 capture.pcap 文件中。

    如果只想抓取特定接口(例如 eth0),可以指定接口名称:

    sudo tcpdump -i eth0 -w capture.pcap

    要抓取特定端口的数据包(例如 HTTP 端口 80),可以使用过滤器:

    sudo tcpdump -i eth0 port 80 -w capture.pcap

  3. 捕获指定数量的数据包

    您可以使用 -c 选项来限制捕获的数据包数量:

    sudo tcpdump -i eth0 -c 100 -w capture.pcap

  4. 实时查看抓包数据

    如果希望在抓包过程中实时查看数据,可以不使用 -w 选项,而是直接在终端输出:

    sudo tcpdump -i eth0

使用 Wireshark 分析抓包数据

  1. 安装 Wireshark

    在大多数 Linux 发行版上,可以使用包管理器安装 Wireshark。例如,在基于 Debian 的系统上:

    sudo apt-get install wireshark

    在基于 Red Hat 的系统上:

    sudo yum install wireshark

  2. 打开抓包文件

    启动 Wireshark,然后打开 tcpdump 生成的 capture.pcap 文件。可以通过 Wireshark 的菜单 File > Open 来打开文件。

  3. 基本分析步骤

    • 过滤数据包:使用 Wireshark 的显示过滤器来筛选感兴趣的数据包。例如,过滤 HTTP 流量:

      http

    • 查看会话:使用 Statistics > Conversations 查看 TCP 会话,了解主机之间的通信情况。

    • 分析特定流量:右键点击某个感兴趣的数据包,选择 Follow > TCP StreamFollow > UDP Stream,可以查看特定会话的全部数据包。

    • 检查错误和异常:使用 Statistics > Protocol Hierarchy 查看协议分布,识别异常流量。使用 Analyze > Expert Information 查看分析专家信息,以识别可能的错误和异常。

  4. 解读常见场景

    • HTTP 请求与响应:在 HTTP 流量中,可以查看请求方法(如 GET、POST)、URL、响应状态码(如 200、404)、内容类型等。

    • DNS 查询与响应:在 DNS 流量中,可以查看域名查询和响应的 IP 地址,识别解析时间和可能的解析失败。

    • TCP 握手与关闭:查看 TCP 握手过程(SYN、SYN-ACK、ACK)和连接关闭过程(FIN、ACK),识别重传和连接超时问题。

    • SSL/TLS 握手:在 HTTPS 流量中,可以查看 SSL/TLS 握手过程,识别加密协议和证书信息。

示例

假设我们需要抓取并分析 HTTP 流量:

  1. 使用 tcpdump 抓包

    sudo tcpdump -i eth0 port 80 -w http_traffic.pcap

  2. 在 Wireshark 中打开文件

    启动 Wireshark,打开 http_traffic.pcap 文件。

  3. 使用过滤器

    在过滤栏中输入 http,仅显示 HTTP 流量。

  4. 分析 HTTP 流量

    • 查看 HTTP 请求和响应:点击某个 HTTP 数据包,查看详细信息,如请求方法、URL、响应状态码等。
    • 检查延迟和错误:使用 Statistics > HTTP > Packet Counter 查看请求和响应统计信息,识别延迟和错误响应。

通过以上步骤,您可以使用 tcpdump 和 Wireshark 有效地捕获和分析网络流量,解决常见的网络问题。

在网络流量分析中,常见的异常场景通常包括网络性能问题、安全问题和协议异常等。以下是一些常见的异常场景及其分析方法:

1. 网络延迟和丢包

症状:用户报告网络响应慢,网站加载时间长,视频缓冲等。

分析方法

  • 检查丢包:在 Wireshark 中,使用 tcp.analysis.flags && !tcp.analysis.window_update 过滤器,查看 TCP 分析标志是否显示重传、丢包等信息。
  • 查看 RTT(往返时间):在 Wireshark 中右键点击 TCP 数据包,选择 Conversation Filter > TCP,然后使用 Statistics > TCP Stream Graph > Round Trip Time 查看 RTT 图表,识别高延迟。

解决方法:检查网络设备配置,增加带宽,优化路由等。

2. TCP 重传和重置

症状:网络连接不稳定,经常断开,文件传输中断等。

分析方法

  • 查看重传包:使用 tcp.analysis.retransmission 过滤器,查看重传数据包。
  • 识别 TCP 重置:使用 tcp.flags.reset==1 过滤器,查看 TCP 重置(RST)包,识别连接被异常关闭的情况。

解决方法:检查网络设备、优化 TCP 参数(如窗口大小)、调整超时设置等。

3. DNS 解析失败

症状:无法访问网站,域名解析错误等。

分析方法

  • 查看 DNS 查询和响应:使用 dns 过滤器,查看 DNS 查询和响应数据包。
  • 识别失败原因:查看 DNS 响应中的状态码(如 NXDOMAIN 表示域名不存在,SERVFAIL 表示服务器失败)。

解决方法:检查 DNS 服务器配置,确保 DNS 服务器可用,更新 DNS 缓存等。

4. HTTP 错误响应

症状:网页显示错误信息,如 404 错误页面,500 内部服务器错误等。

分析方法

  • 查看 HTTP 状态码:使用 http.response.code >= 400 过滤器,查看所有错误响应。
  • 分析具体错误:查看 HTTP 响应中的详细信息,如 404 表示资源未找到,500 表示服务器内部错误等。

解决方法:检查服务器配置,确保资源存在,修复服务器错误等。

5. SSL/TLS 握手失败

症状:无法建立 HTTPS 连接,SSL/TLS 握手失败。

分析方法

  • 查看 SSL/TLS 握手包:使用 ssl.handshake 过滤器,查看 SSL/TLS 握手过程。
  • 识别错误:查看握手过程中的错误消息,如证书无效、协议不匹配等。

解决方法:更新 SSL/TLS 证书,确保客户端和服务器支持相同的加密协议和算法等。

6. 网络攻击和安全威胁

症状:发现异常流量,高流量峰值,服务器被入侵等。

分析方法

  • 检测 DDoS 攻击:查看大量相似的请求包,使用 ip.src == <victim_ip>ip.dst == <victim_ip> 过滤器查看特定 IP 地址的流量。
  • 识别扫描和爆破攻击:使用 tcp.flags.syn == 1 && tcp.flags.ack == 0 过滤器查看 SYN 扫描,使用 ftp.request.command == "USER" || ftp.request.command == "PASS" 过滤器查看 FTP 爆破尝试。

解决方法:启用防火墙规则,设置流量限制,使用入侵检测系统等。

7. ARP 欺骗和中间人攻击

症状:网络中断,数据包被劫持,通信内容被篡改等。

分析方法

  • 检测 ARP 欺骗:使用 arp.duplicate-address-frame 过滤器查看重复的 ARP 响应包。
  • 识别中间人攻击:查看可疑的 IP 地址和 MAC 地址配对,检查网络中的 ARP 广播包。

解决方法:使用静态 ARP 表,启用 ARP 检测,使用加密协议(如 HTTPS)等。

通过使用上述方法,您可以在 Wireshark 中识别和分析常见的网络异常场景,并采取相应的措施来解决这些问题。

网络拥堵和丢包率高是常见的网络问题,会影响网络性能,导致连接不稳定、响应时间长等问题。以下是如何分析网络拥堵和高丢包率场景的方法。

1. 使用 tcpdump 抓包

首先,我们需要使用 tcpdump 抓取网络流量数据:

sudo tcpdump -i eth0 -w congestion.pcap

2. 在 Wireshark 中打开抓包文件

使用 Wireshark 打开 congestion.pcap 文件,开始分析流量。

3. 分析网络拥堵和丢包

检查丢包

  1. TCP 重传

    • 使用过滤器 tcp.analysis.retransmission 来查看 TCP 重传的数据包。
    • 重传是丢包的一个明显标志。当网络拥堵时,TCP 会检测到数据包没有到达目的地并重新发送。

  2. TCP 窗口缩小

    • 使用过滤器 tcp.window_size < 1000 来查看窗口大小缩小的数据包。
    • 当网络拥堵时,TCP 的接收窗口可能会缩小,这是由于接收端无法处理数据的速度跟不上发送端的速度。
检查网络延迟
  1. RTT(往返时间)
    • 在 Wireshark 中右键点击任意 TCP 数据包,选择 Conversation Filter > TCP,然后使用 Statistics > TCP Stream Graph > Round Trip Time Graph 查看 RTT 图表。
    • 高 RTT 表示网络延迟增加,这通常是网络拥堵的结果。
检查流量峰值
  1. I/O 图表
    • 使用 Statistics > I/O Graph,查看流量的变化情况。
    • 如果在特定时间段内流量突然增加,这可能导致网络拥堵。
检查带宽利用率
  1. 带宽利用情况
    • 使用 Statistics > Endpoints 查看每个 IP 地址的流量。
    • 使用 Statistics > Conversations 查看各对端之间的流量。
    • 带宽过度使用是网络拥堵的常见原因,尤其是在共享网络环境中。

4. 识别问题根源

通过上述分析步骤,可以帮助识别网络拥堵和丢包的根源:

  • 高流量应用:某些应用或服务可能占用了大量带宽,如视频流、文件传输等。
  • 网络设备性能问题:路由器、交换机等设备可能性能不足,无法处理高流量。
  • 网络配置问题:不合理的网络配置,如过低的带宽限制、错误的路由配置等,可能导致拥堵。

5. 解决方案

优化网络配置
  • 增加带宽:根据需求增加带宽,避免带宽不足导致的拥堵。
  • 优先级设置:配置 QoS(服务质量)策略,为关键应用和服务设置优先级。
  • 流量控制:使用流量控制技术(如流量整形)来平衡网络流量。
设备升级
  • 升级网络设备:升级路由器、交换机等设备,以处理更高的流量。
  • 优化设备配置:确保设备配置合理,如调整缓冲区大小、优化路由表等。
监控和预警
  • 持续监控网络流量:使用网络监控工具(如 Nagios、Zabbix)持续监控网络流量,及时发现和处理问题。
  • 设置预警机制:当流量达到一定阈值时,自动触发预警,及时采取措施。

通过这些步骤,可以有效地分析和解决网络拥堵和丢包问题,确保网络的稳定和高效运行。

网络攻击是严重的安全问题,会导致数据泄露、服务中断等。以下是一些常见的网络攻击场景分析方法,包括检测、分析和缓解措施。

1. 使用 tcpdump 抓包

首先,我们需要使用 tcpdump 抓取网络流量数据:

sudo tcpdump -i eth0 -w attack_scenario.pcap

2. 在 Wireshark 中打开抓包文件

使用 Wireshark 打开 attack_scenario.pcap 文件,开始分析流量。

3. 分析常见的网络攻击场景

1. DDoS 攻击

症状:网络流量异常高,服务响应缓慢或无法访问。

分析方法

  • 检测流量峰值:使用 Statistics > I/O Graph 查看流量变化情况。如果流量在短时间内急剧增加,可能是 DDoS 攻击。
  • 检查同源 IP 地址:使用 Statistics > Endpoints 查看同一 IP 地址发出的大量请求。

解决方法

  • 设置流量限制:使用防火墙规则限制每个 IP 地址的最大连接数。
  • 启用 DDoS 保护:使用 DDoS 防护服务,如 Cloudflare 或 Akamai。
2. SYN 洪泛攻击

症状:大量半开连接,服务器资源耗尽。

分析方法

  • 检测大量 SYN 包:使用 tcp.flags.syn==1 && tcp.flags.ack==0 过滤器查看大量 SYN 包。
  • 检查未完成的 TCP 握手:使用 tcp.flags.syn==1 && tcp.flags.ack==0 && tcp.flags.fin==0 过滤器查看未完成的 TCP 握手。

解决方法

  • 启用 SYN Cookies:在服务器上启用 SYN Cookies 机制,以防止资源耗尽。
  • 设置连接限制:使用防火墙规则限制每个 IP 地址的 SYN 包数量。
3. ARP 欺骗(中间人攻击)

症状:网络通信被拦截和篡改,可能导致数据泄露。

分析方法

  • 检测重复的 ARP 响应:使用 arp.duplicate-address-frame 过滤器查看重复的 ARP 响应包。
  • 检查 ARP 表:在受攻击的主机上检查 ARP 表是否有可疑的 IP-MAC 对。

解决方法

  • 使用静态 ARP 表:在网络中设置静态 ARP 表,防止 ARP 欺骗。
  • 启用 ARP 检测:使用支持 ARP 检测功能的交换机,识别和阻止欺骗行为。
4. DNS 欺骗

症状:用户访问的域名解析到错误的 IP 地址,导致访问恶意网站。

分析方法

  • 检查 DNS 响应:使用 dns 过滤器查看 DNS 查询和响应数据包。
  • 检测可疑的 IP 地址:查看 DNS 响应中的 IP 地址是否异常,例如与预期不符或解析到多个不同的 IP 地址。

解决方法

  • 使用 DNSSEC:启用 DNSSEC 来验证 DNS 响应的真实性。
  • 使用可信 DNS 服务器:配置网络使用可信的 DNS 服务器,避免被攻击。
5. FTP 暴力破解

症状:大量 FTP 登录尝试,账户被破解风险增加。

分析方法

  • 检测 FTP 登录尝试:使用 ftp.request.command == "USER" || ftp.request.command == "PASS" 过滤器查看 FTP 登录尝试。
  • 检查登录失败次数:分析 FTP 响应包,查看登录失败的次数。

解决方法

  • 设置账户锁定:在服务器上设置账户锁定策略,连续失败多次后锁定账户。
  • 使用强密码策略:强制用户使用强密码,增加破解难度。

4. 识别攻击根源

通过上述分析步骤,可以帮助识别攻击的根源:

  • 同一 IP 地址的异常行为:大量的请求或尝试来自同一 IP 地址。
  • 不合理的流量模式:短时间内流量急剧增加或出现大量重复的包。
  • 异常的协议行为:例如,非正常的 TCP 握手、大量的 SYN 包等。

5. 缓解措施

启用安全设备和服务
  • 防火墙:配置防火墙规则,限制可疑流量。
  • 入侵检测系统(IDS)和入侵防御系统(IPS):启用 IDS/IPS 来检测和阻止攻击。
  • WAF(Web 应用防火墙):保护 web 应用免受常见 web 攻击。
实施安全策略
  • 网络分段:将网络划分为多个子网,限制攻击范围。
  • 定期更新:及时更新系统和软件,修补已知漏洞。
  • 安全审计:定期进行安全审计,发现并修复潜在的安全问题。

通过这些步骤,可以有效地分析和缓解网络攻击,确保网络的安全和稳定运行。

完颜振江
关注
Tcpdump 详解(抓包
weixin_46837396的博客
10-07 2335
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息包的代码以c语言程序段的
Linux网络抓包分析工具(tcpdumpwireshark
热门推荐
m0_71521555的博客
08-20 1万+
tcpdumpwireshark
Wireshark抓包以及tcpdump抓包
blog
09-01 5310
tcpdump抓包命令 tcpdump抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的80端口的包 tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 抓192.168.
Wireshark如何帮助你发现网络中的安全隐患详解,零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
09-25 1174
在数字化时代,网络安全已成为企业和个人不可忽视的重要议题。网络攻击、数据泄露和隐私侵犯等风险无处不在,而Wireshark作为一款强大的网络协议分析工具,为我们提供了深入洞察网络流量、发现潜在安全隐患的利器。本文将详细探讨Wireshark如何帮助你发现网络中的安全隐患,并提供一些实用的操作指南。
linux使用wireshark抓包
04-18
linux使用wireshark软件涉及命令
Linux tcpdump抓包Wireshark 分析
新法的博客
03-12 3337
tcpdumpLinux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdumpwireshark 分析网络流量 命令行参数解析
CentOS中使用tcpdump抓包
weixin_30555515的博客
03-20 310
安装: yum install tcpdump 命令使用: 监听特定网卡 tcpdump 抓取第一块网卡所有数据包 [root@server110 tcpdump]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10...
Linux使用Wireshark抓包教程
踏雨歌青春,诗酒趁年华
12-31 1万+
本文将介绍如何在Linux系统中安装Wireshark抓包工具,以CentOS7为例。在实际开发中,涉及网络传输的环节是非常多的。在这些过程中,我们经常有查看被传输的数据信息的需求,因此,抓包工具应运而生。Wireshark便是一款非常有名的抓包分析软件,具有强大的协议解析能力。
Linux使用tcpdump抓包的实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
Android中使用tcpdumpwireshark进行抓包分析技术介绍
09-03
本篇文章将详细介绍如何在Android设备上使用tcpdump进行抓包,以及在PC上使用Wireshark进行数据包分析。 首先,tcpdump是一款开源的网络数据包分析工具,它可以在多个操作系统上捕获网络流量。在Android设备上使用...
tcpdump抓包并用于wireshark解析
way2016的博客
03-18 2766
tcpdump抓包工具,wireshark
linux下开源的tcpdump,类似于wireshark
07-17
此资源包里面是tcpdump最新源码包,以及简单的使用手册
linux系统下使用tcpdump进行抓包方法
09-15
本文将深入探讨如何使用TCPDump进行抓包,包括基本命令、过滤器和高级技巧。 首先,让我们来看一下TCPDump的基本用法。在命令行中,我们通常以以下格式启动TCPDump: ```bash tcpdump [参数] [过滤表达式] ``` 1....
Linux抓包wireshark+tcpdump
爱敲代码的三毛的博客
07-08 1万+
Wireshark是一款图形化的抓包软件,在LInux和Windows下都可以下载。用命令安装 wireshark相关软件包 命令查看安装wireshark产生了哪些文件直接通过命令打开 或者是图形化页面点开就好 点击Interface List,就可以看到接口列表,选择需要抓哪个网卡的包这里我选择ens33网卡,点击start开始抓包我们ping我们的主机地址,看看抓包情况ping 工具使用的就是 协议,ICMP是IP协议的附属协议。IP层用它来与其他主机或路由器交换错误报文和其他重要信息。它主要是
linux 使用tcpdump 进行抓包分析
托塔天王的博客
07-01 354
在工作中,有些数据交互需要对数据交互进行抓包分析,这里将使用tcpdump 命令 简略命令如下 tcpdump -i <int> -w <path> host 参数说明 -i 指定抓包的网卡名称 -w 抓包存放的路径 host 对方服务器iip ...
Linux抓包神器 tcpdump 使用指南
Licky13的博客
09-01 928
tcpdump是一款强大的网络抓包工具,它使用libpcap库来抓取网络数据包,这个库在几乎所有的Linux/Unix系统中都有。熟悉tcpdump使用能够帮助用户分析调试网络数据。
Tcpdump抓包命令使用
木木与呆呆的专栏
08-07 1628
tcpdump命令需要使用root执行 1. 查看网卡命令 ifconfig 2. 监视编址到指定端口的TCP或UDP数据包,那么执行以下命令tcpdump -i eth0 host 10.43.159.11 and port 8983 输出信息到文件 tcpdump -i eth0 host 10.43.159.11 and port 8983 -w...
tcpdump抓包
Qnn_blog的博客
03-27 3090
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net,port, 例如 host 192.168.2.2,指明 192.168.2.2是一台主机,net 192.168.2.0 指明 192.168.2.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
linux怎么使用tcpdump抓包
06-07
使用tcpdump命令可以在Linux系统中抓包。下面是使用tcpdump抓包的基本步骤: 1. 打开终端或命令行窗口,输入以下命令来启动tcpdump: ``` sudo tcpdump ``` 需要使用sudo或者root权限来执行tcpdump命令,否则可能会出现权限不足的错误。 2. 在tcpdump命令后面加上抓包选项,例如: ``` sudo tcpdump -i eth0 ``` 其中,-i选项指定抓包的网络接口,eth0表示第一个以太网接口。 3. 可以加上更多的选项来过滤抓取的数据包,例如: ``` sudo tcpdump -i eth0 host 192.168.1.100 ``` 其中,host选项指定抓包的主机IP地址。 4. 执行tcpdump命令后,它将开始抓取网络数据包,并将它们输出到终端窗口中。可以按Ctrl+C键来停止抓包。 5. 可以将抓取的数据包保存到文件中,例如: ``` sudo tcpdump -i eth0 -w capture.pcap ``` 其中,-w选项指定保存文件的名称和路径。 6. 可以使用Wireshark抓包工具来打开保存的文件,以便进一步分析和处理数据包。 以上是使用tcpdump抓包的基本步骤。需要注意的是,tcpdump抓包需要一定的网络知识和技能,使用不当可能会对网络造成影响,建议在专业人士的指导下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

完颜振江

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值