tcpdump 及 wireshark 的使用

最新推荐文章于 2022-10-10 10:32:19 发布
最新推荐文章于 2022-10-10 10:32:19 发布
阅读量724 收藏 2
点赞数
分类专栏: network 文章标签: tcpdump https wireshark pre_master_secret
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helowken2/article/details/96481039
版权

本文包含以下内容

  1. tcpdump 的基本使用说明
  2. wireshark 的基本使用说明
  3. wireshark 对 https 的查看

tcpdump的用法

PS: 如果提示没有权限,需要切换到root或者有权限的用户,或使用sudo tcpdump xxxx

查看网络接口

通过 ifconfig 可以看到host上所有的网络接口
ifconfig
或者使用命令:tcpdump -D | grep Running
tcpdump -D

指定网络接口

窗口1运行:tcpdump -i enp0s3
窗口2运行:curl https://www.baidu.com

指定主机

窗口1运行:tcpdump host 10.0.2.15
窗口2运行:curl https://www.baidu.com

根据源和目标过滤流量

只看以 “10.0.2.15” 为源头的流量:
窗口1运行:tcpdump src 10.0.2.15
窗口2运行:curl https://www.baidu.com

只看以 “10.0.2.15” 为目标的流量:
窗口1运行:tcpdump dst 10.0.2.15
窗口2运行:curl https://www.baidu.com

16进制输出包内容

窗口1运行:tcpdump -c 1 -X icmp
-c 1:只获取一个包
-X:使用16进制
窗口2运行:ping www.baidu.com

查看某个端口的流量

窗口1运行:tcpdump port 443
窗口2运行:curl https://www.baidu.com

根据源和目标端口过滤流量

查看源端口为443的流量
窗口1运行:tcpdump src port 443
窗口2运行:curl https://www.baidu.com

查看目标端口为443的流量
窗口1运行:tcpdump dst port 443
窗口2运行:curl https://www.baidu.com

查看某个协议的流量

窗口1运行:tcpdump icmp
窗口2运行:ping www.baidu.com

把流量输出到文件

窗口1运行:tcpdump port 443 -w ssl.pcap
窗口2运行:curl https://www.baidu.com

从文件读取流量

窗口1运行:tcpdump -r ssl.pcap

条件组合

and 的使用:
窗口1运行:tcpdump dst port 443 or icmp
窗口2运行命令1:curl https://www.baidu.com
窗口2运行命令2:ping www.baidu.com

or 的使用:
窗口1运行:tcpdump host 10.0.2.15 and dst port 443
窗口2运行:curl https://www.baidu.com

not 的使用:
窗口1运行:tcpdump not tcp
窗口2运行命令1:curl https://www.baidu.com
窗口2运行命令2:ping www.baidu.com

Wireshark 的使用

使用wireshark打开 tcpdump 生成的 pcap包:
wireshark

查看包的各层协议头部

选择一个包,可以在下方看到 eth,ip,tcp,http 各层协议各种头部信息:
eth: 包含源和目标的 mac 地址
ip:包含源和目标的 ip 地址
tcp:包含源和目标的端口
http:包含 url,header,各种参数
在这里插入图片描述

使用“表达式”过滤包

wireshark filter
搜索结果:
wireshark filter result

查看完整的 http 请求和回应

选择包后,右键菜单 -> 跟踪流 -> HTTP流
follow http stream
http 流结果:
follow http stream result

Wireshark 查看 https 的内容

打开 https 的 pcap 包:
https pcap
可以看到当前TLS层协议版本为 SSLv2,以及https 的 handshake 协议是如何协商秘钥的,但是Application Data是被加密后的,如果想查看它的内容,需要以下步骤
Preference
从首选项选择 Protocols
Protocols
找出 TLS 项,编辑 “RSA keys list”
TLS
添加从服务器端获取到的 private key。“Key File” 就是 private key 文
add private key
添加成功后,可以看到网络包已经被解密:
decrypted packets
也可以通过右键菜单 跟踪流 -> http流 来查看完整的内容:
decrypted follow http

TLS无法被查看

看一下这个 TLS 协议版本为 TLSv1.2 的https pcap包:
TLSv1.2
按上面的步骤,导入服务器端提供的 private key:
add private key
回到包列表,发现 Application Data 没有被解密。
回到 首选项 -> TLS,添加 TLS debug file:
TLS debug file
回到包列表,刷新一下(一般会自动刷新),然后查看刚才添加的 tls.log,在里面搜索 master,就会看到原因:

ssl_generate_pre_master_secret: found SSL_HND_CLIENT_KEY_EXCHG, state 197
ssl_restore_master_key can't find pre-master secret by Unencrypted pre-master secret
ssl_decrypt_pre_master_secret: session uses Diffie-Hellman key exchange (cipher suite 0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) and cannot be decrypted using a RSA private key file.
ssl_generate_pre_master_secret: can't decrypt pre-master secret
ssl_restore_master_key can't find pre-master secret by Encrypted pre-master secret
dissect_ssl3_handshake can't generate pre master secret

参考资料

  1. A tcpdump Tutorial with Examples — 50 Ways to Isolate Traffic
  2. HTTP/HTTPS Analysis Using Wireshark
懒惰的劳模
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android中使用tcpdumpwireshark进行抓包并分析技术介绍
09-03
本篇文章将详细介绍如何在Android设备上使用tcpdump进行抓包,以及在PC上使用Wireshark进行数据包分析。 首先,tcpdump是一款开源的网络数据包分析工具,它可以在多个操作系统上捕获网络流量。在Android设备上使用...
Tcpdump+Wireshark抓取Nginx-https协议数据
weixin_49319422的博客
08-13 4657
1.nginx 介绍 Nginx 是高性能的 HTTP 和反向代理的服务器,处理高并发能力是十分强大的,能经受高负 载的考验,有报告表明能支持高达 50,000 个并发连接数。 NGINX可以实现正向代理、反向代理、负载均衡等操作,总之就是强大,这里就不多介绍了,想要了解详情的可以参考:https://www.cnblogs.com/muhy/p/10528543.html 安装 在安装nginx前首先要确认系统中安装了gcc、pcre-devel、zlib-devel、openssl-devel。 y
利用Tcpdump抓包结合Wireshark分析
qq_43568915的博客
02-24 4179
利用Tcpdump抓包结合Wireshark分析
可能是我见过的最简单易懂且实用的 TCPDumpWireshark 抓包及分析教程!( 强烈建议收藏 )...
easylife206的专栏
04-23 1577
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdumpwireshark 分析网络流...
38 | 案例篇:怎么使用 tcpdumpWireshark 分析网络流量?
元贞
11-22 304
通常,需要暴露到公网的服务,都会绑定一个域名,既方便了人们记忆,也避免了后台服务 IP 地址的变更影响到用户。 不过要注意,DNS 解析受到各种网络状况的影响,性能可能不稳定。比如公网延迟增大,缓存过期导致要重新去上游服务器请求,或者流量高峰时 DNS 服务器性能不足等,都会导致 DNS 响应的延迟增大。 此时,可以借助 nslookup 或者 dig 的调试功能,分析 DNS 的解析过程,再配...
tcpdump高级过滤
happylzs2008的专栏
10-07 1114
tcpdump高级过滤 https://www.cnblogs.com/jiujuan/p/9017495.html 一:查看帮助选项# tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ ...
tcpdump以及wireshark使用文档
03-14
tcpdump以及wireshark的部分功能教程
Tcpdump & Wireshark
06-05
- **Wireshark使用教程.doc**:这份文档详细介绍了Wireshark的安装、使用方法和高级技巧。 - **TCPDUMP中文手册最详细的手册.doc**:提供Tcpdump的中文详细指南,包括所有选项和用法。 - **wireshark-win32-1.6.8....
busybox/tcpdump/wireshark
04-03
开发者或网络管理员经常使用`tcpdump`来诊断网络问题,查看网络流量,或者进行安全审计。通过命令行界面,用户可以指定特定的网络接口、协议、主机、端口等条件来过滤数据包。例如,`tcpdump -i eth0 port 80`将捕获...
WiresharkTcpDump抓包分析心得
ctknq的专栏
05-21 1520
WiresharkTcpDump抓包分析心得 分类: Network2010-12-14 20:19 3242人阅读 评论(5) 收藏 举报     1. Wiresharktcpdump介绍  Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,
抓取的HTTPS数据包(新)
09-12
请求的url:https://blog.qihooyun.cn/ 响应内容:https-test 方便自己以后查看,不必每次都重新抓取一个包了。 Server端设置了keep-alive为65秒。
tcpdump使用详解
SL_ss123的博客
10-10 2142
tcpdump使用
用python编写脚本从wireshark导出的数据文件中提取数据
热门推荐
asmc51的专栏
03-04 2万+
上篇文章搭建了一个UDP多播程序的基础,所谓基础,就是看着它,我可以写简单的多播程序了,可以在这个基础上面开始工作了。  会多播了,多播的内容从哪里来,播出什么内容呢?呵呵,有个设备,没有通讯协议,用wireshark抓包,分析协议,编程实现之,这就是此次多播的任务。 启动wireshark,抓取数据包,导出为文本文件,三五十兆的文件,ultraedit搜索,观察,眼睛都看直了,有
用excel解析wireshark log中的RTT
u011208220的专栏
07-29 6138
wireshark工具自带RTT分析工具,如下:
Wireshark 导出特定分组
u011186532的专栏
09-18 6118
本文主要介绍如何通过wireshark导出你所需的数据包。
wireshark 导出二进制文件_使用 Wireshark 完整分析最新的Ursnif恶意软件
weixin_39623411的博客
12-12 662
Ursnif是一种银行恶意软件,有时也称为Gozi或IFSB ,Ursnif恶意软件家族已经活跃了很多年。本文将回顾使用Wireshark捕获Ursnif流量的数据包捕获(pcaps),在检测和调查Ursnif感染时,了解新的流量模式对于安全专业人员至关重要。 Ursnif分配方法Ursnif可以通过基于Web的感染链和恶意垃圾邮件(malspam)进行传播,在某些情况下,Ursn...
wireshark导出解码后的报文内容
Hansel的专栏
07-07 2万+
Wireshark可以对抓到的报文进行解码并显示出来,如何把显示的文本内容保存下来以便进行报文内容比对? 1. 选择 "File" -> "Export" -> "File", 输入文件名,需要自己加.txt后缀 2. 选择 "Save as Type" 为 "Plain Text" 3. 选中 "Packet Range" 的 "Displayed" 4.选择其他选择,一般我
Wireshark菜单栏中文件菜单介绍6-5
hou09tian的博客
07-18 393
12 导出PDU到文件 该项的作用是过滤捕获到的PDU并且将其导入到文件中。 相关链接9 PDU是Protocol Data Units的简写,即协议数据单元。是网络分层中,对等层次之间传递的数据单位。例如物理层之间的PDU是位(bit);数据链路层之间的PDU是帧(frame);网络层之间的PDU是包(package);传输层之间的PDU是段(segment);其他更高层的PDU是数据(data)。 选择该项之后,弹出如图16所示的对话框。 图16 保存PDU对话框 其中,“显示过滤器”中.
wireshark解密https流量
weixing100200的专栏
08-16 3287
2、谷歌浏览器启动参数带入"C:\Program Files\Google\Chrome\Application\chrome.exe"--ssl-key-log-file=c:\users\admin\documents\ssl-key.log,把预主密钥保存到本地用于解密。3、抓包后,tls数据报文变为http协议。登录网站的密码可以正常抓取到。1、wireshark首选项-协议配置-tls-导入证书私钥。...
tcpdumpwireshark使用
最新发布
07-25
TCPDumpWireshark都是网络抓包工具,用于捕获和分析网络数据包...使用TCPDumpWireshark可以帮助我们分析网络问题,识别网络瓶颈、排查安全问题以及进行协议分析等。它们是网络工程师和安全研究人员常用的工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值