网络抓包与分析

抓包命令：
1.指定网卡、搜集所有报文、保存到指定位置:tcpdump -i eth0 -s 0 -w /home/test.pcap
2.指定tcp/udp协议：tcpdump tcp -i eth0 -s 0 -w /home/test.pcap
3.指定源ip:tcpdump -i eth0 src host xx.xx.xx.xx
4.指定目的ip:tcpdump -i eth0 dst host xx.xx.xx.xx
5.指定源端口:tcpdump -i eth0 src port xx
6.指定目的端口:tcpdump -i eth0 dst port xx

报文查看：使用wirshark工具解析查看
报文过滤：
1.过滤ip：
  过滤源ip:ip.src eq xx.xx.xx.xx 或者 ip.src == xx.xx.xx.xx
  过滤目的ip:ip.dst eq xx.xx.xx.xx 或者 ip.dst == xx.xx.xx.xx
2.过滤端口：
  过滤tcp源端口:tcp.srcport eq xx 或者 tcp.srcport == xx
  过滤tcp目的端口:tcp.dstport eq xx 或者 tcp.dstport == xx
  过滤udp端口和tcp类似，将tcp换为upd即可
3.过滤协议：
  过滤tcp协议:tcp
  过滤udp协议:udp
  过滤http协议:http
  过滤dns协议:dns
  ...
4.过滤mac：
  过滤源mac:eth.src eq xx:xx:xx:xx:xx:xx 或者 eth.src == xx:xx:xx:xx:xx:xx
  过滤目的mac:eth.dst eq xx:xx:xx:xx:xx:xx 或者 eth.dst == xx:xx:xx:xx:xx:xx
5.http请求模式过滤：
  get请求过滤:http.request.method == GET（注意大写）
  post请求过滤:http.request.method == POST（注意大写）

上面是一些基本的过滤操作，wireshark中支持一些基本的运算符号，如下：
1.等于：eq 或 ==
2.大于：gt
3.小于：lt
4.大于等于：ge
5.不等于：ne
3.与、或：&&、or

HTTP三次握手报文：
1.第一次握手：客户端向服务端发送syn报文
2.第二次握手：服务端向客户端发送syn+ack报文
3.第三次握手：客户端向服务端发送ack报文

具体详情查看下图：

报文详情：
Frame:   物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议